ProtonMail registró y entregó la dirección IP de un activista francés
El proveedor de correo electrónico ProtonMail, que asegura respetar la privacidad y proporcionar cifrado de extremo a extremo, “violó” sus términos. La empresa se vio obligada a registrar la dirección IP de un activista francés y entregársela a Europol. Esto según un informe de la policía francesa que salió a la luz durante el fin de semana.
El activista fue arrestado como resultado de dicha acción.
A raíz de la noticia, los usuarios han estado lanzando preguntas a la compañía, a pesar de que ProtonMail afirma que no registra direcciones IP de forma predeterminada. ProtonMail asegura que solo cumplió con las regulaciones locales, en este caso, la ley suiza.
A continuación, hay una traducción del informe policial redactado, seguido de un tweet de ese informe:
- “La empresa PROTONMAIL nos informa que la dirección de correo electrónico ha sido creada el… La dirección IP vinculada a la cuenta es la siguiente: …
- El dispositivo utilizado es un … dispositivo identificado con el número …
- Los datos transmitidos por la empresa se limitan a eso debido a la política de privacidad de PROTONMAIL TECHNOLOGIES”.
Declaraciones del CEO de ProtonMail
Andy Yen, fundador y CEO de ProtonMail, publicó el domingo una declaración sobre el incidente en Reddit y otro artículo el lunes.
Yen señaló que ProtonMail no cooperó con las autoridades francesas cuando le pidieron detalles sobre el usuario. Por lo tanto, la policía francesa envió una solicitud a la policía suiza a través de Europol. Y, por lo tanto, logró obligar a la empresa a entregar la dirección IP y los detalles del dispositivo del activista francés.
Yen señaló que, desde el principio, ProtonMail ha dicho que la empresa puede estar obligada legalmente a registrar direcciones IP. A continuación, puedes leer parte de su publicación del lunes:
Existe una diferencia entre seguridad/privacidad y anonimato. Como escribimos en nuestro modelo de amenazas públicas (publicado en 2014), “Internet generalmente no es anónimo. Y, si estás infringiendo la ley suiza, una empresa respetuosa de la ley como ProtonMail puede estar legalmente obligada a registrar tu dirección IP”.
Esto no se puede cambiar debido al funcionamiento de Internet. Sin embargo, entendemos que esto es preocupante para las personas con ciertos modelos de amenazas. Por lo tanto, desde 2017, también proporcionamos un sitio onion para el acceso anónimo (somos uno de los únicos proveedores de correo electrónico que admite esto).
Como señaló Yen, ProtonMail, que fue desarrollado originalmente por científicos del CERN y del MIT, agregó su propio servicio oculto Tor en 2017. Aunque el servicio de correo electrónico ya estaba cifrado por diseño, la opción de enrutar el tráfico a través de Tor estaba destinada a evitar que los espías escucharan las conexiones de los usuarios. Asimismo, tenía el fin de hacer que el servicio fuera más resistente a la censura y la vigilancia.
Según la publicación de Reddit de Yen. “Sin embargo, bajo ninguna circunstancia se puede vulnerar nuestro cifrado. Esto significa que los correos electrónicos, los archivos adjuntos, los calendarios, los archivos, etc., no pueden verse comprometidos por las órdenes legales”.
Cambio de política
Los usuarios que comentaron su publicación del domingo en Reddit hicieron preguntas puntuales. Por ejemplo, si ProtonMail tenía el hábito de registrar direcciones IP y el fingerprinting de dispositivos antes de que las autoridades suizas obligaran a la compañía a hacerlo.
Entonces, ¿registras nuestra información (como IP) o no? ¿Mantienes una base de datos del mismo?
—Comentario en Reddit
“Obviamente, esto no se hace de forma predeterminada, sino solo si Proton recibe una orden legal para una cuenta específica”, dijo Yen a través de Reddit.
A partir del sábado, la página de inicio de la compañía cambió la promesa que no guardaba registros de IPs:
No se requiere información personal para crear tu cuenta de correo electrónico segura. De forma predeterminada, no guardamos ningún registro de IP que se pueda vincular a tu cuenta de correo electrónico anónimo. Tu privacidad es lo primero.
– Wayback Machine
Sin embargo, el lunes, la empresa afirmaba lo siguiente:
ProtonMail es un correo electrónico que respeta la privacidad y pone a las personas (no a los anunciantes) en primer lugar. Tus datos te pertenecen y nuestro cifrado lo garantiza. También proporcionamos una puerta de enlace de correo electrónico anónimo.
ProtonMail también actualizó su política de privacidad el lunes. Ahora dice: “Si estás infringiendo la ley suiza, ProtonMail puede ser legalmente obligado a registrar tu dirección IP como parte de una investigación criminal suiza”.
Declaración en Reddit
De su declaración de Reddit el CEO afirmó:
“En este caso, Proton recibió una orden legalmente vinculante del Departamento Federal de Justicia de Suiza que estamos obligados a cumplir. No había posibilidad de apelar o rechazar esta solicitud en particular porque de hecho se llevó a cabo un acto contrario a la ley suiza. Y, esta fue también la determinación final del Departamento Federal de Justicia, que hace una revisión legal de cada caso”.
No importa qué servicio uses, escribió Yen en Reddit: A menos que logres instalarte en un bote, los proveedores de servicios están sujetos a las autoridades en cualquier tierra firme en la que se encuentren.
“Independientemente del servicio que utilices, a menos que tengas tu base a 15 millas de la costa en aguas internacionales, la empresa tendrá que cumplir con la ley. El sistema legal suizo, aunque no es perfecto, proporciona una serie de controles y equilibrios. Y, vale la pena señalar que incluso en este caso, se requirió la aprobación de tres autoridades en dos países. Esa es una barrera bastante alta que impide a la mayoría (pero obviamente no a todos) el abuso del sistema”.
Según la ley suiza, es obligatorio que los sospechosos sean notificados de que solicitaron sus datos, lo que coloca a Suiza por encima de la mayoría de los países. ProtonMail no ha aclarado el momento en que entregó los datos del activista. Tampoco aclaró cuándo la compañía notificó al usuario que había recibido una solicitud de la dirección IP y el fingerprint del navegador.
Objetivo de vigilancia contra la gentrificación
Con respecto a la ley suiza que se violó para desencadenar la demanda de las autoridades de los datos del usuario francés, la policía estaba apuntando a un grupo llamado Youth for Climate. Esto según un artículo publicado por activistas políticos de izquierda franceses. El artículo publicado en ese sitio explica que después de que la policía francesa obtuviera los datos del activista, todos quedaron de alguna manera expuestos. Las autoridades descubrieron que el colectivo de activistas se comunicó a través de ProtonMail:
La policía también notó que el colectivo se comunicó a través de una dirección de correo electrónico de ProtonMail. Por tanto, enviaron una solicitud (vía EUROPOL) a la empresa suiza que gestiona el sistema de mensajería para conocer la identidad del creador del correo. ProtonMail respondió a esta solicitud proporcionando la dirección IP y el fingerprint del navegador utilizado por el colectivo. Por lo tanto, es imperativo pasar por la red tor (o al menos una VPN) cuando uses una dirección de correo de ProtonMail (u otro buzón de correo seguro). Debes hacerlo si deseas garantizar la seguridad suficiente.
El grupo ha estado protestando por la gentrificación, la especulación inmobiliaria, Airbnb y restaurantes de alta gama cerca de la Place Sainte Marthe en París. Las protestas incluyeron ocupar un edificio abandonado hace mucho tiempo que en un momento fue alquilado por Le Petit Cambodge. Le Petit Cambodge es un restaurante que fue blanco de los ataques terroristas del 13 de noviembre de 2015 en París.
Según un artículo del 1 de septiembre que el grupo publicó en Paris-luttes.info, un sitio web de noticias anticapitalista, ha habido múltiples arrestos y acciones legales contra los manifestantes. Esto a medida que su causa se ha expandido más allá del vecindario de París que lo vio nacer.