Proton Mail suspende cuentas de periodistas a pedido de una agencia de ciberseguridad

 (theintercept.com)
4 puntos por GN⁺ 2025-09-14 | 1 comentarios | Compartir por WhatsApp
  • Proton Mail suspendió temporalmente cuentas de periodistas que investigaban el hackeo de sistemas del gobierno de Corea del Sur, a solicitud de una agencia de ciberseguridad
  • Tras la restauración de las cuentas, los periodistas siguieron exigiendo una explicación clara sobre el proceso de decisión de Proton para suspenderlas y su fundamento
  • Muchos medios de comunicación en todo el mundo usan Proton Mail como alternativa a Gmail, y este incidente despertó preocupaciones sobre privacidad y confiabilidad
  • Proton reconoció que tomó medidas sobre las cuentas tras una denuncia de una entidad externa, pero no reveló el nombre exacto de la agencia ni la base de la decisión
  • El caso sugiere la necesidad de reforzar las políticas de protección para usuarios vulnerables como periodistas, denunciantes e investigadores de seguridad

Proton Mail suspende cuentas de periodistas a pedido de una agencia de ciberseguridad

La identidad de Proton y la suspensión de cuentas de periodistas

  • Proton es un servicio de correo electrónico que se presenta como un "espacio neutral y seguro que protege los datos personales, comprometido con la defensa de la libertad"
  • El mes pasado, a pedido de una agencia de ciberseguridad, se desactivaron las cuentas de Proton Mail de dos periodistas que cubrían un hackeo a sistemas informáticos del gobierno surcoreano
  • Aunque las cuentas fueron restauradas tras una fuerte reacción pública y mucho tiempo de espera, los periodistas y el equipo editorial exigieron una explicación clara sobre el proceso por el cual Proton decidió suspenderlas

La protección a periodistas y el impacto de este caso

  • Martin Shelton, de la Freedom of the Press Foundation, señaló que muchos medios eligen Proton Mail como alternativa a Gmail y otros servicios, precisamente para evitar situaciones como esta
  • También se planteó que, cuando periodistas usan Proton, en temas sensibles como una suspensión de cuenta debería priorizarse la comunicación privada
  • En Reddit, la cuenta oficial de Proton afirmó que el caso había sido "exagerado" y sostuvo que no bloqueó deliberadamente cuentas de periodistas

El trasfondo de la suspensión de las cuentas

  • Los periodistas cuyas cuentas fueron desactivadas son Saber y cyb0rg, autores de un reportaje publicado en la edición de agosto de Phrack sobre ataques APT (amenaza persistente avanzada) relacionados con el hackeo de agencias del gobierno surcoreano
  • Ellos rastrearon un ataque similar a los atribuidos a "Kimsuky", presuntamente vinculado con Corea del Norte, y notificaron con antelación a las agencias afectadas y a organizaciones de seguridad relevantes, como la Korea Internet and Security Agency y KrCERT/CC, siguiendo un proceso de Responsible Disclosure
  • KrCERT les dejó una respuesta agradeciendo el aviso

Qué es un CERT y cómo funciona el sistema de reportes de ciberseguridad

  • Un CERT (Computer Emergency Response Team) es una organización especializada en responder a incidentes de seguridad
  • Existen CERT en más de 70 países; pueden operar desde gobiernos o entidades privadas y especializarse en distintos ámbitos
  • En Estados Unidos, un organismo representativo es la Cybersecurity and Infrastructure Agency

El proceso de suspensión y la controversia sobre sus valores

  • Aproximadamente una semana después de la publicación de la edición impresa de Phrack, fueron suspendidas las cuentas de Proton Mail que los periodistas habían abierto para divulgar las vulnerabilidades
  • Las cuentas fueron suspendidas por una posible "violación de políticas", y el Proton Abuse Team respondió que no restauraría el acceso alegando vínculos entre cuentas y "uso malicioso"
  • El equipo editorial de Phrack respondió que ningún dato de hackeo había pasado por cuentas de Proton y enfatizó que el temor a un uso indebido de la información era infundado, pero no recibió respuesta

Reacción pública y controversia social

  • En la cuenta de Phrack en X (antes Twitter), se viralizaron publicaciones críticas sobre la comunicación de Proton y sus estándares éticos, acumulando más de 150 mil visualizaciones
  • La cuenta oficial de Proton explicó que suspendió varias cuentas basándose en un reporte de un CERT y que luego estaba revisando cada caso de forma individual
  • Aunque dijo que "apoya a los periodistas", reconoció que había limitaciones para evitar falsos positivos porque el acceso a las cuentas en sí estaba bloqueado
  • No reveló qué CERT hizo el reporte ni el nombre concreto de la entidad

Restauración de las cuentas y respuesta posterior

  • Andy Yen, fundador y CEO de Proton, solo informó que las cuentas habían sido restauradas, sin dar explicaciones adicionales sobre los motivos o el procedimiento de la suspensión y la reactivación
  • Desde Phrack explicaron que esta suspensión provocó daños reales, como que los periodistas no pudieran colaborar con otros medios ni responder sobre el reportaje
  • También expresaron una fuerte preocupación por el mensaje que este caso deja a grupos vulnerables como denunciantes o periodistas de cara al futuro
  • Se planteó además que Proton debería suspender cuentas únicamente cuando exista una orden judicial, un delito claro o una violación demostrada de los términos del servicio

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-14
Opiniones de Hacker News

  • He estado siguiendo todo este tema en X/Twitter, y me parece realmente grave que, según Phrack, intentaron contactar a Proton en privado varias veces y fueron ignorados; Proton solo respondió y restauró la cuenta después de que Phrack sacara el tema públicamente y se volviera viral en X/Twitter. Antes de eso, un autor apeló directamente ante Proton y fue rechazado, y no hubo ninguna acción hasta que el caso se volvió tema de conversación en X/Twitter. O sea, quiero subrayar que Proton bloqueó la cuenta de inmediato con solo recibir un señalamiento de CERT, pero no le prestó ninguna atención al asunto hasta que estalló la polémica pública.

    • Proton te deja abrir cuentas de correo sin siquiera pedir prueba de que eres una persona real. No digo esto para criticarlo, porque creo que como herramienta de privacidad eso tiene sentido. Pero sí me dio bastante miedo ver lo floja que es la seguridad: pude crear automáticamente cientos de direcciones de Proton en apenas unos segundos, y el captcha también es tan simple que un script lo puede saltar fácilmente. Sorprende que no esté en todas las listas globales de bloqueo de spam. Como mínimo, siento que necesitan reforzar más los sistemas antispam. Si no pueden responder rápido en casos sensibles como este, entonces más bien deberían operar con mucha más cautela.

    • Para lanzar una afirmación algo arriesgada, yo creo que en este tema estuvo involucrada una agencia de ciberseguridad de EE. UU. El CEO de Proton se ha mostrado muy favorable a la actual administración estadounidense (véase una publicación eliminada de la cuenta oficial de Proton en Reddit, y este artículo aquí). No tengo pruebas concretas, pero solo con las declaraciones públicas del CEO uno se pone a imaginar si Proton no habrá sido una especie de Crypto AG del siglo XXI.

    • Los fans en Reddit no paran de retorcer la situación para justificarla o defenderla, pero no se pueden partir los hechos en dos.

    • Aun así, visto de forma positiva, es interesante que ahora vivamos en una época en la que el poder de las redes sociales puede servir para resolver problemas.

    • Según la respuesta oficial de Proton en Reddit, no es cierto que Phrack haya contactado ocho veces al equipo legal; en realidad solo recibieron dos correos, y el último fue enviado un sábado al buzón del equipo legal exigiendo respuesta en 48 horas, algo que según ellos es poco realista para una empresa grande como Proton. Además, señalan que no se envió por el canal oficial de soporte al cliente sino al buzón del equipo legal. Respuesta original (enlace)

  • El verdadero valor de una empresa se nota en su capacidad de comunicación. Si solo se comunican cuando el impacto social crece, ¿qué impresión deja eso sobre la empresa? Tengo una duda sincera: entre las compañías que ofrecen servicio de correo, ¿Proton Mail es realmente la más aceptable? Yo alojo mi propio correo y planeo seguir haciéndolo, pero si tuviera que recomendar un servicio de correo para otras personas, me gustaría saber si Proton Mail sigue siendo la mejor opción. Me interesa conocer otras opiniones.

    • Mi experiencia es limitada, pero yo respondería que no. Están Fastmail, Runbox, Purelymail (desarrollado por 1 o 2 personas), Mailbox (el soporte al cliente no es gran cosa, pero el sistema es estable; es el que uso), Migadu (solo lo conozco de nombre), Tuta (personalmente me da mala espina; igual que Proton desactiva IMAP/POP, aunque Proton lo permite un poco por la puerta de atrás), MXRoute también tiene buena reputación en foros como LET. Zoho también está bien si solo vas a usar correo, aunque si al final vas a usar Zoho, la diferencia con Google o MSFT es más bien el precio. Hay bastantes opciones. Como referencia, yo ni siquiera he logrado hacer self-hosting estable de un seedbox en un VPS, así que ni me atrevería a intentar alojar correo.

    • Hice self-hosting durante 20 años sin problemas, pero lo dejé por temas de seguridad. Algún día me gustaría volver. Pregunta: me da curiosidad cómo gestionan la seguridad en servidores así. Yo tenía tantos parches que el sistema se rompía seguido por cosas no relacionadas, y era común que el correo quedara caído uno o dos días.

    • Coincido con la idea de medir el valor de una empresa por su capacidad de comunicación, pero parece que a mucha gente no le importa. Es como los casos de gente que gasta bastante al mes en Claude y aun así no logra acceder al equipo de soporte de Anthropic (Claude). Tutanota también podría valer la pena considerarlo.

    • Ojalá compartas pronto tu stack de self-hosting de correo; este post me despertó de golpe el interés por hacerlo yo mismo.

  • Respuesta oficial de Proton en Reddit Nuestro equipo recibió una alerta de CERT sobre algunas cuentas supuestamente abusadas por hackers, y por eso desactivamos varias cuentas por violaciones a los ToS. Como tenemos una arquitectura de zero-access y no podemos ver el contenido de las cuentas, reconocemos que los sistemas antiabuso pueden afectar también actividades legítimas. Tras revisar individualmente los casos con posibilidad de restauración, restablecimos 2 cuentas; las cuentas con violaciones claras a los ToS no pueden ser restauradas. También es falso que Phrack haya contactado 8 veces al equipo legal. En realidad solo llegaron dos correos a la dirección legal, y el último fue enviado el sábado 6 de septiembre pidiendo respuesta en 48 horas, algo difícil de atender para una empresa grande (además de que no era un canal oficial de soporte al cliente). Creemos que este asunto se amplificó en exceso y que no tuvimos una oportunidad adecuada de responder; agradecemos su comprensión. — Proton Team

    • Hay una parte que no entiendo bien: si dicen que no pueden saber si hubo una violación de política, ¿cómo decidieron suspender cuentas solo por una solicitud de CERT? Y al final, ¿con qué criterio restauraron esas dos cuentas?

    • Esta respuesta me decepciona todavía más. CERT no es una entidad con poder legal coercitivo. Haber tomado una medida así sin un análisis posterior rápido y minucioso del caso es muy preocupante para los principales clientes de Proton. Cuantos más usuarios tienes, más fácil es bajar la guardia, y justo esta actitud es un mal ejemplo de eso. Me pregunto qué habría pasado con esas cuentas si el tema no se hubiera convertido en escándalo en redes sociales.

  • Desde que Proton anunció que eliminaría cuentas que no iniciaran sesión durante cierto tiempo, la saqué del primer lugar en mi lista de plataformas de correo “centradas en el usuario”. Si un proveedor de correo/mensajería/comunicación no puede garantizar una conexión estable al servicio durante el periodo que yo necesite —1 año, 2 años, 20 años— entonces no le veo sentido usarlo. Si además es un servicio de pago, debería aceptar métodos de pago que preserven la privacidad; e incluso así, me seguiría dando mala espina. Antes Proton me inspiraba confianza porque financiaba el mantenimiento de las cuentas gratuitas con su VPN y servicios empresariales, pero creo que el anuncio de la política de eliminación rompió esa confianza por su propia cuenta. No es una exigencia irracional; pienso que como mínimo podrían aplicar políticas diferenciadas según el almacenamiento usado o adoptar un enfoque más desarrollado. Con la estructura actual, ni siquiera se puede conservar un correo de una cuenta gubernamental que uno use solo una vez cada varios años. Si registras un correo de recuperación quizá podrían enviarte un aviso, pero entonces se desdibuja el sentido de un servicio de correo orientado a la privacidad. (Como referencia, Google Voice hace algo parecido: si no usas el número de manera constante, te lo eliminan. Lo mismo puede pasar con números usados para 2FA, incluso si la cuenta todavía tiene $4 de crédito.)

    • Dijeron que el periodo de eliminación era ambiguo, pero en realidad es 1 año (guía oficial).

    • La política aplica solo a cuentas gratuitas que no inicien sesión durante 12 a 24 meses. En los servicios de pago incluso aceptan pagos en efectivo (billetes) por correo postal. Entiendo el principio, pero por la forma en que lo plantea, parece un cliente algo poco realista.

    • Me da curiosidad saber quién ocupó el puesto número 1 en su lista.

    • Yo también tengo varias cuentas gratuitas de Proton, y aunque no las he usado en más de 4 años, siguen ahí sin problema. Siento que el ambiente de atacar a Proton solo por esto es un poco excesivo; hasta parece que se hubiera propagado cierta antipatía colectiva. Claro, no es una empresa perfecta, pero en privacidad me parece incomparable frente a los servicios de correo de las big tech de EE. UU. Ojalá no se vea todo de forma tan negativa. Y también he visto mucha gente decir que es “inestable”, pero yo no he notado problemas ni en escritorio ni en móvil.

    • Si no pagas, no eres cliente; solo estás recibiendo un favor. No deberíamos esperar tanto de algo gratis.

  • Fui suscriptor de pago de Proton desde 2018, pero cancelé recientemente porque el servicio tenía demasiados bugs y era muy inestable (se me vence en noviembre). Quisiera saber si recomiendan proveedores alternativos de correo y VPN. He oído buenos comentarios de Fastmail y mailbox.org (hace poco se renombró como mailbox y también renovó el servicio). También me pregunto si existe alguna forma de migrar fácilmente las muchísimas direcciones alias que generé con SimpleLogin a otro servicio; cambiarlas una por una sería una tortura.

    • No tuve problemas con Fastmail. La UI es un poco limitada, pero técnicamente funciona perfecto y es rápido. Casi no tiene caídas. El calendario, la libreta de direcciones y las integraciones con terceros también funcionan bien. Para un usuario individual, es más que suficiente. Hace poco además añadieron soporte offline. En cuanto a VPN, si te importa mucho la privacidad, lo mejor es montar un túnel en un VPS en algún lugar como Estonia o instalar Wireguard en tu propia casa con DDNS, etc.

    • Todavía me queda algo de desconfianza hacia mailbox por un tema de hace 9 años enlace

    • Uso Fastmail junto con Mullvad, ambos tienen precios razonables y funcionan bien. También recomiendo probar alojarlo tú mismo en un VPS.

    • Llevo más de 4 años usando Zoho con mi familia y estoy muy satisfecho. No cobran por dominio, así que uso 12 dominios. La configuración web y móvil ofrece muchas opciones, y el servicio es rápido y estable. La UI tampoco cambia tan seguido, así que es predecible y cómoda.

    • También vale la pena considerar Posteo.de (no admite dominios personalizados), mailbox.org, runbox.com, mailfence, migadu, cranemail, etc. Son más baratos que Fastmail y todos admiten IMAP, así que migrar o hacer respaldos es fácil.

  • Creo que Proton haga lo que haga en una situación así difícilmente podrá evitar las críticas. Si dijera “no bajamos cuentas sin una orden judicial”, probablemente la prensa le pondría maliciosamente la etiqueta de “lugar lleno de criminales”.

    • Aplicar una política peor por miedo no es correcto. Proton Mail ya ha recibido ese tipo de críticas muchas veces antes, así que creo que sería mejor mantener de forma consistente una política razonable. Ojalá no se deje arrastrar por la prensa clickbait hacia compromisos sin sentido.

    • La postura actual me parece más bien una forma de evitar responsabilidades. De todos modos ya cooperan ahora y a veces igual reciben críticas de la prensa. Aunque hicieran exactamente lo que dicen, en la práctica no cambiaría mucho.

    • La mayoría de las solicitudes de CERT tienen valor y merece la pena atenderlas, pero obedecerlas ciegamente o ignorarlas por completo, ambas cosas están mal. Sobre todo si se trata de apelaciones o reportes legítimos de seguridad, tiene que haber una revisión manual obligatoria. En vez de irse a los extremos, hay que encontrar un punto medio razonable.

  • Enlace a la respuesta oficial de Proton en Reddit (original), y me gustaría saber más detalles sobre el primer contacto de CERT.

  • Creo que el silencio de Proton termina jugándole en contra. La imagen de un servicio confiable, seguro y firme quedó debilitada por este incidente.

    • Por otro lado, creo que Ladar Levison y Lavabit se ganaron mucha confianza por cómo manejaron su situación hace más de 10 años. Como referencia, Lavabit (sitio) dice actualmente que ha suspendido nuevos registros para concentrarse en mejorar el servicio existente.

  • PSA: Proton elimina las cuentas que considera “inactivas” si no inicias sesión durante 1 año. Los criterios no son claros; por ejemplo, aunque solo recibas correos y no envíes ninguno, pueden clasificarla como “no utilizada”. Por eso ahora me quedé sin poder recuperar mi cuenta de iCloud. Me espera un proceso de salida de cuenta que no me va a tomar poco tiempo.

    • Dijiste que el criterio de “no utilizada” no estaba claro, pero según la política oficial basta con iniciar sesión una vez al año para conservar la cuenta (enlace a la política).

    • Me pregunto si Proton sigue usando sus antiguas prácticas de cobro poco transparentes. Una vez mejoré la cuenta con un cupón y, cuando se acabó el periodo, automáticamente pasó a saldo negativo y me bloquearon la cuenta hasta que pagué. Desde entonces dejé de usar Proton.

    • Me pregunto si esta política también aplica a cuentas de pago. Por ejemplo, si alguien paga 5 años por adelantado y luego desaparece 3 años, quisiera saber si esa cuenta sigue viva.

  • Es una creencia muy ingenua pensar que una empresa de correo o VPN no cumple la ley. Si no fuera así, ni siquiera los procesadores de pago la aprobarían. También hay que tener presente que la empresa de hosting o el proveedor de red superior podrían cortarles la cuenta o cerrarles la empresa enseguida.

    • Pero me gustaría saber a qué ley concreta te refieres. ¿Lo dices asumiendo que sabes exactamente qué ley obligó a Proton a actuar así en cada etapa, o es solo un comentario vacío?