La ley por encima de la libertad: Proton Mail traiciona a su usuario
Cómo Proton Mail se ve obligado a compartir información con la policía.
Recientemente, se han planteado nuevamente cuestiones sobre la privacidad cuando Proton Mail entregó a la policía española la dirección de correo electrónico secundaria de una persona bajo el seudónimo "Xuxo Rondinaire". Se sospecha que esta persona es un oficial de policía de Cataluña (Mossos d’Esquadra), que utilizó su conocimiento para ayudar al movimiento "Democratic Tsunami". Fuentes cercanas a la investigación confirmaron que el sospechoso es efectivamente un policía en activo.
Tras recibir información sobre la dirección de correo recuperada de Proton Mail, las autoridades españolas se dirigieron a Apple con una solicitud para proporcionar información adicional, lo que llevó a la identificación de la persona.
El caso se destaca por incluir una serie de solicitudes que afectan a diferentes jurisdicciones y compañías, destacando la compleja interacción entre las empresas tecnológicas, la privacidad de los usuarios y las fuerzas del orden.
Las solicitudes se realizaron en base a las leyes de lucha contra el terrorismo, aunque las principales actividades de "Democratic Tsunami" incluían protestas y bloqueos de carreteras, lo que plantea preguntas sobre la proporcionalidad y justificación de tales medidas.
Proton Mail, siguiendo las leyes suizas, estaba obligado a cooperar con las solicitudes legales internacionales formalizadas a través del sistema judicial suizo. El año pasado, la empresa cumplió con casi 6,000 solicitudes de entrega de datos. Proton Mail enfatiza que el contenido de los correos, los adjuntos y los archivos siempre permanecen cifrados e inaccesibles para su lectura.
Al comentar sobre la situación, Proton Mail declaró que dispone de información mínima del usuario, lo cual se evidencia por el hecho de que en este caso, los datos obtenidos de Apple fueron utilizados para identificar al sospechoso de terrorismo. Proton por defecto garantiza la confidencialidad, no la anonimidad, ya que la anonimidad requiere ciertas acciones del usuario para garantizar la adecuada seguridad operativa (OpSec), como por ejemplo, evitar agregar una cuenta de Apple como método adicional de recuperación.
Este caso recuerda la importancia de mantener una rigurosa seguridad operacional (OPSEC), especialmente para usuarios involucrados en actividades políticas. Se recomienda evitar vincular correos electrónicos o números de teléfono para recuperación que puedan indicar directamente la identidad, y considerar el uso de correos electrónicos secundarios o números de teléfono virtuales para una mayor anonimidad.
En el caso también se menciona un incidente de 2021, cuando ProtonMail reveló las direcciones IP de varios de sus usuarios franceses vinculados al movimiento "Youth for Climate". Los datos fueron proporcionados a petición de las autoridades francesas, tras lo cual los usuarios revelados fueron arrestados.
El caso descrito no es aislado. En agosto de 2023, el FBI logró obtener datos de un usuario estadounidense de ProtonMail acusado de amenazas, y luego, basándose en esos datos, determinar su ubicación física y arrestarlo.
Las huellas digitales son tu debilidad, y los hackers lo saben