El correo electrónico “más seguro”, pillado entregando datos de usuarios a la policía

Activistas contra el cambio climático han sido arrestados en Francia, después de que ProtonMail aportase su información por una petición de Europol.

ProtonMail está considerado el servicio de correo electrónico más privado, por funciones como el cifrado extremo a extremo. Pero los dos detalles que lo hacen más especial, y que más promociona en su página web, son que los servidores están en Suiza, donde hay leyes más “estrictas” para proteger la privacidad, y que la compañía no registra direcciones IP, las que tiene cada usuario que se conecta a Internet y que puede servir para rastrearlos e identificarlos.

Y sin embargo, este fin se semana se ha revelado todo lo contrario: que la compañía sí que puede registrar la dirección IP, y que estar en Suiza no supone una protección ‘mágica’ para nuestros datos. Miembros del movimiento Youth for Climate, inspirado por Greta Thunberg, han sido arrestados por haber instalado “campamentos climáticos” en protestas organizadas en el 2020 y el 2021; al igual que muchos activistas, usaban ProtonMail para realizar comunicaciones de manera segura.

El CEO de ProtonMail, Andy Yen, ha confirmado que recibieron una petición legal de Europol, a través de las autoridades suizas, a la que no pudieron negarse. De esta manera, aportaron las direcciones IP e información sobre el tipo de dispositivo usado para conectarse al servicio. No se ha confirmado que hayan compartido correos electrónicos, que en teoría están cifrados de extremo a extremo, y por lo tanto, sólo los participantes pueden leer, según su web.

Sin embargo, la web también promete que el servicio no registra la dirección IP, ni la puede asociar con nuestra cuenta de correo. Ante esto, la compañía ha usado Reddit para explicar que, bajo la ley suiza, Proton puede ser obligada a registrar información de las cuentas de los usuarios que estén bajo una investigación criminal; pero también afirma que “a diferencia de otras”, ProtonMail lucha por evitar eso, afirmando que en el 2020 denegó 700 casos semejantes. También recuerda que cualquier otro servicio también tendría que haber aportado los datos, y que su caso es mejor porque hizo falta tres autoridades en dos países para obtener la información de ProtonMail.

Pero esa es la cuestión, que ProtonMail se suponía que era diferente al resto. Decir que los usuarios están decepcionados con esta revelación es quedarse corto, y las respuestas en Twitter y Reddit están llenas de usuarios confusos y enfadados, con más de uno amenazando con cancelar su cuenta.

Some thoughts on the French "climate activist" incident. It's deplorable that legal tools for serious crimes are being used in this way. But by law, @ProtonMail must comply with Swiss criminal investigations. This is obviously not done by default, but only if legally forced.

— Andy Yen (@andyyen) September 5, 2021

En respuesta, Andy Yen y ProtonMail se han centrado en criticar la acción de Europol, calificando de “deplorable” que hayan usado herramientas legales “de esta manera”, llamando a los fiscales del caso “agresivos” y llamando la atención sobre el uso en Francia de leyes diseñadas contra el terrorismo. Sin embargo, también han confesado que quieren cambiar el lenguaje usado en la página web, y fomentar el uso de TOR (la llamada ‘deep web’) para evitar el rastreo de direcciones IP.

Fuente: El Economista.