ProtonMail divulga datos de usuario que llevaron a un arresto en España

 (restoreprivacy.com)
1 puntos por GN⁺ 2024-05-08 | 1 comentarios | Compartir por WhatsApp

  • En relación con una solicitud legal de las autoridades españolas, ProtonMail reveló datos de un miembro de Democratic Tsunami, una organización independentista catalana. Como resultado, esa persona fue arrestada.

  • ProtonMail es un servicio de correo seguro con sede en Suiza, conocido por su cifrado de extremo a extremo y su estricta política de no guardar registros. En 2021, ya había respondido a una solicitud legal vinculada al arresto de activistas climáticos en Francia.

  • El punto clave de este caso es que ProtonMail proporcionó a la policía española una dirección de correo de recuperación vinculada a la cuenta de una persona que usaba el seudónimo Xuxo Rondinaire. Esa persona está acusada de haber entregado información interna al movimiento Democratic Tsunami siendo integrante de la policía catalana, los Mossos d'Esquadra.

  • A partir del correo de recuperación recibido de ProtonMail, las autoridades españolas solicitaron información adicional a Apple y pudieron identificar a esa persona. Este caso muestra la compleja interacción entre las empresas tecnológicas, la privacidad de los usuarios y las fuerzas del orden.

  • La respuesta de ProtonMail en este caso está sujeta a la legislación suiza, que obliga a cooperar con requerimientos legales internacionales formalizados por la vía correspondiente, es decir, el sistema judicial suizo. Tan solo en 2022, ProtonMail respondió a 5,971 solicitudes de datos.

La importancia del OPSEC

  • Esta situación recuerda la importancia de mantener un OPSEC (seguridad operativa) estricto. Hay que reconocer que la conexión con información de recuperación o con servicios secundarios con menores niveles de protección de privacidad, como una cuenta de Apple, puede convertirse en una vulnerabilidad potencial.

  • Los usuarios preocupados por su privacidad, especialmente quienes participan en actividades sensibles o políticas, deben dar máxima prioridad al OPSEC al usar herramientas de privacidad.

  • Se recomienda evitar correos de recuperación o números telefónicos que puedan vincularse directamente con la identidad personal o con actividades principales, considerar el uso de correos desechables o números virtuales que aporten anonimato, usar una VPN para ocultar la dirección IP y emplear métodos de pago anónimos.

La postura de Proton

  • Proton confirmó los puntos principales de este caso y señaló que el hecho de que los datos obtenidos de Apple se usaran para identificar a un sospechoso de terrorismo demuestra que Proton conserva solo la mínima información posible de sus usuarios.

  • Proton ofrece privacidad por defecto, pero no anonimato. El anonimato requiere esfuerzo por parte del usuario para mantener un OPSEC adecuado, por ejemplo, no añadir una cuenta de Apple como método de recuperación opcional.

  • Proton no exige agregar un correo de recuperación. Esto se debe a que, en teoría, podría entregarse por orden de un tribunal suizo. El terrorismo también es ilegal en Suiza.

Opinión de GN⁺

  • Este caso muestra con claridad lo difícil que es equilibrar la privacidad de los usuarios y la aplicación de la ley. Puede considerarse un ejemplo de cómo, en nombre de la seguridad nacional, quedan expuestos los límites de los servicios de comunicación cifrada.

  • Desde la perspectiva de ProtonMail, no puede evitar quedar sujeta a la legislación suiza, pero si esto se repite seguirá perdiendo la confianza de los usuarios. El hecho mismo de que promueva una estricta política de no guardar registros mientras responde a miles de solicitudes de datos cada año puede parecer contradictorio.

  • Los usuarios involucrados en actividades sensibles deberían aprovechar este caso para revisar su nivel de OPSEC. No hay que olvidar que, por más reforzado que esté un servicio, siempre existe el riesgo de que la identidad quede expuesta a través de vínculos secundarios, como un correo de recuperación.

  • Al mismo tiempo, las autoridades encargadas de hacer cumplir la ley deberían preguntarse si no están exigiendo en exceso la entrega de información de usuarios bajo el argumento de combatir el terrorismo. No distinguir entre la protesta democrática y el terrorismo puede ser un atajo hacia una sociedad de vigilancia.

  • Reconocer los límites de la privacidad que ofrecen gobiernos y empresas, y no descuidar los esfuerzos personales de OPSEC, probablemente sea la mejor forma de proteger la privacidad. Para ello, pueden utilizarse distintas medidas, como VPN, pagos anónimos y correos desechables.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-05-08
Opiniones de Hacker News
  • Existe una brecha entre la realidad de la protección al cliente que ofrece ProtonMail y lo que esperan los lectores
    • Hay límites en la protección que puede ofrecer una empresa que opera legalmente
    • ProtonMail y Apple impugnan las citaciones que consideran injustificadas, pero no tienen la decisión final
    • Los usuarios deben decidir con cuidado qué información entregan a los proveedores de servicios
    • Vincular un número de teléfono o una dirección de correo de respaldo puede ser una pista importante para identificar a alguien
  • Se menciona a ProtonMail porque la solicitud de información de Apple se usó para identificar la identidad real (nombre real, número de teléfono, etc.)
    • La dirección de correo fue una pista, pero otra información como la dirección IP y las cookies publicitarias de Google también puede usarse para identificar a alguien
  • Hay que tener cuidado con que los sitios web que se presentan como defensores de la privacidad confundan privacidad con anonimato
    • La privacidad basta para protegerte del público, pero no del Estado
    • Si estás enfrentándote al Estado o actuando contra él, la simple privacidad no es suficiente
    • Para obtener anonimato, puede ser necesario sacrificar funciones o comodidad
  • ProtonMail entrega la dirección de recuperación, y Apple proporciona información como nombre real, dirección y número de teléfono
  • Si un servicio de VPN está vinculado a un método de pago, solo le da a la policía una pista más para rastrearte
    • Mullvad parece ser el único VPN que ofrece un método de pago que garantiza el anonimato
  • El punto clave es que, según la ley suiza, ProtonMail debe recopilar y entregar información de direcciones IP
    • Si no está garantizada por cifrado, cualquier promesa de privacidad no pasa de ser un gesto vacío
    • Nadie quiere ir a la cárcel por proteger la privacidad
  • Hay que considerar la construcción paralela
    • Es posible que ya tuvieran la información (intervención legal del ISP, etc.)
    • Que ProtonMail/Apple entreguen información es malo, pero puede no ser la fuente real
  • ProtonMail solo entrega información cuando la ley suiza lo exige, y la ley suiza de privacidad es bastante buena
    • Es la política de privacidad más estricta que una empresa podría desear
    • ProtonMail solo puede entregar direcciones de correo, direcciones IP, etc., no el contenido de los correos
  • Si intentas crear una cuenta de ProtonMail con Tor, te pide verificación por número de teléfono
    • Si usas una IP sin proxy, puedes saltarte eso
    • Quieren conocer la identidad del usuario y llevan mucho tiempo operando así
    • Es posible que haya sido un honeypot desde hace mucho tiempo
  • Esta no es la primera vez que ProtonMail entrega un correo de recuperación al gobierno federal