- Introducción –
- Los proveedores –
- Hushmail –
- FastMail –
- Outlook –
- Gmail –
- VFEmail –
- ProtonMail –
- Scryptmail (Muerto)-
- MsgSafe –
- Criptext –
- Soverin –
- Librem Mail –
- SAFe-mail (safe-mail.net) –
- OpenMailBox (Muerto) –
- Runbox –
- Mailfence –
- Safe-Mail (safe-mail.nl) –
- Neomailbox –
- Mailbox.org –
- Secmail.pro –
- CTemplar –
- KolabNow –
- Teknik –
- Tutanota –
- Autistici –
- StartMail –
- Dismail –
- Migadu –
- Cock.li –
- Paranoid.email –
- Cotse –
- CounterMail –
- Posteo –
- Disroot –
- Elude –
- RiseUp –
- nauta.cu –
- Mailo/Netcmail –
- Correo electrónico temporal –
- Resumen –
- El porqué de la situación –
- Sobre la encriptación –
- Sobre las leyes de “respeto a la intimidad” –
Informe por correo electrónico de un amigo, que incluye a otros proveedores (sólo para la red Tor)
Introducción
El correo electrónico es el conocido sistema de comunicación llevado al mundo digital. Es útil principalmente para registrarse en cosas, pero también para recibir y enviar mensajes a otras personas. Para utilizarlo, necesitas un proveedor (o puedes alojar el tuyo propio, pero eso no lo trataremos aquí) y un navegador web o un cliente de correo (la opción a desear). Los distintos proveedores tienen sus pros y sus contras, y elegir uno puede parecer abrumador, sobre todo con la cantidad de publicidad que muchos de ellos lanzan. Intentaré hacer esto muy sencillo. Las características más importantes que debe tener un servicio son cliente de correo y soporte de anonimización. Si un proveedor carece de cualquiera de las dos, está descalificado, en mi opinión. Hay muchas razones por las que el soporte del cliente de correo es tan importante. En primer lugar, puedes elegir el programa que te guste, y hacer que se adapte a tu flujo de trabajo, en lugar de depender de cualquier JavaScript especial que se le ocurra a tu proveedor. Su software de cliente de correo siempre será el mismo, mientras que un servicio de correo web puede cambiar su JavaScript en cualquier momento, incluso para hacerlo malicioso o incompatible con su navegador web. Los protocolos estandarizados permiten la descarga de correo en su ordenador; mantener el control en nuestras manos, en lugar de un gran corporación. Un buen cliente de correo seguramente superará al webmail en términos de características. También le quita peso a un navegador web, que en realidad debería centrarse sólo en navegar por la web (filosofía unix: una aplicación por tarea). Pero quizás la cuestión más importante es que los clientes de correo soportan el cifrado establecido por PGP; mientras que los proveedores de correo web a veces no lo hacen – e incluso si lo hacen, no es tan seguro cuando se utiliza de esa manera.
La otra característica (el soporte de anonimización) debería ser obvia. No quieres que las cosas que haces en Internet se conecten con tu identidad real, no sea que se use en tu contra en algún momento en el futuro. Esto significa que necesitas poder registrarte con una VPN o la red TOR; así como evitar revelar datos como el nombre real o el número de teléfono. Hay algunas otras cosas que podrías buscar, pero estas dos son las fundamentales que no pueden ser reemplazadas. Una función de alias te permite tener muchas identidades desconectadas (por ejemplo, una para el trabajo “profesional” y otra para hablar de vida, anime o tecnología) dentro de la misma cuenta. Una buena política de privacidad que limite la cantidad de información recopilada – es decir, no toleramos los navegadores con software espía, tampoco deberíamos hacerlo con los proveedores de software espía. Luego viene el precio – gratis es lo mejor; un proveedor de pago mejor que soporte Bitcoin si quieren la máxima calificación. Un ToS suave que no te banee por libertad de expresión o algún otro tema de victimismo del momento (aun así, un proveedor no debería leer tu correo, y tú deberías encriptar el tuyo, si es posible). La mayoría de las otras cosas que los servicios utilizan para anunciarse son más bien bombo y platillo; hay una jungla ahí fuera, y los proveedores intentarán cualquier cosa para adelantarse a la competencia. Tenga en cuenta los aspectos fundamentales mientras lee este informe (pista: los proveedores están ordenados de peor a mejor).
Hushmail
Todo el mundo tiene derecho a la privacidad de su correo electrónico. Recupera el control de tus datos y experimenta una bandeja de entrada limpia y sin publicidad.
De acuerdo, ¡me apunto! Sólo dame un minuto para comprobar si las pruebas respaldan tus afirmaciones…
Cuando usted visita nuestro sitio web podemos recopilar información sobre usted, incluyendo su tipo de navegador, sistema operativo y la dirección de Protocol (“IP”) de su ordenador. Utilizamos esta información para facilitar su uso del sitio web, recopilar información de mercado y prevenir el abuso de nuestros servicios.
No, gracias. Pero espera, eso es sólo el sitio web – posiblemente podría lidiar con eso si el servicio de correo real fuera privado. Pero, ¿lo es?
Tomamos medidas siempre que es posible para limitar la información personal que recopilamos.
¡Vaya, gracias! Veamos hasta qué punto son limitados esos “límites”:
Como parte del proceso de creación de la cuenta, su dirección IP será registrada. Es posible que le pidamos que proporcione otra información, como un número de teléfono, también. Utilizamos esta información para analizar las tendencias del mercado, recopilar información demográfica amplia […]
Pedir mi número de teléfono es muy “limitado”, efectivamente. Y la mierda de las tendencias de mercado vuelve a asomar su fea cabeza.
La información que registramos puede incluir […] nombres de usuario de cuentas, direcciones de correo electrónico del remitente y del destinatario, nombres de archivos adjuntos, los asuntos de los correos electrónicos, las direcciones URL en los cuerpos de los correos electrónicos no cifrados, y cualquier otra información que consideremos necesario registrar con el fin de mantener el sistema y evitar abusos.
¡Así que incluso estáis fisgoneando los enlaces de mis mensajes! Y “cualquier otra información” es una admisión de que posiblemente puedan recoger todo lo que imaginen. Pero, ¿por qué fingir que se trata de “prevenir el abuso”? Basta con decir que se dedican a recopilar información.
Guardamos información de ventas, marketing y atención al cliente con terceros que apoyan estos procesos de negocio, lo que significa que información como su nombre, dirección de correo electrónico, número de teléfono y nombre de la empresa, así como el historial de comunicaciones relacionadas específicamente con el proceso de ventas o de atención al cliente, pueden ser almacenados allí.
Y ahora mi nombre y mi número de teléfono se envían a quien coño sea. ¿Puede esto ser peor?
Los registros que mantenemos de sus actividades se permanentemente después de aproximadamente 18 meses. Los registros que se almacenan con fines estadísticos pueden conservarse indefinidamente.
Seguro – muy confiable eres!
FastMail
Este es otro de los proveedores de pago que además son absolutamente terribles desde el punto de vista de la privacidad. De su política de privacidad (https://www.fastmail.com/about/privacy/):
Si te registras para utilizar, o utilizas, uno de nuestros sitios web o servicios […] la información personal que puede ser recogida directamente de usted incluye el nombre, la dirección de facturación, el número de teléfono móvil, el nombre de la organización nombre, su propio nombre de dominio, dirección IP, agente de usuario del navegador y datos de facturación detalles
Nombre, número de teléfono, dirección. Has empezado rápido hacia el infierno de la privacidad, FastMail.
Procesamos el correo enviado y recibido desde tu cuenta para bloquear el spam y el fraude.
El privado FastMail escanea tu correo.
También almacenamos información de tu agenda, calendario, notas y archivos en nuestros servidores.
¿Hay algo que ustedes no almacenen?
También recogemos el contenido de los correos electrónicos que creas, subes o recibes de otros
No adivines: ni siquiera otras personas están a salvo de las miradas indiscretas de FastMail.
Cada vez que se conecta a nuestro servicio, registramos su dirección IP dirección IP, su identificador de cliente (información del navegador o del cliente de correo) y su nombre de usuario. Si envía correo, también registramos la dirección de correo electrónico que está que utiliza para enviar el correo y la dirección de correo electrónico a la que lo envía. Si toma medidas sobre el correo en su buzón, también registramos las actividades realizadas.
Así que, literalmente, todos tus movimientos están siendo rastreados y registrados. Y ahora un poco de humor: mira cómo se justifican:
Esto es necesario para proporcionar pruebas de entrega y análisis de fraude.
Seguro. Me pregunto por qué casi ningún otro proveedor de esta lista lo hace, entonces? Ahora revisa esta admisión (de la sección “¿Cómo usamos la información personal que recopilamos de ti?”):
realizar análisis y mediciones para entender cómo se utilizan nuestros servicios;
Oh, así que se trataba de analítica todo el tiempo, en lugar de “análisis de fraude” o alguna otra excusa de mierda. Y para algo aún más condenable (de la sección “Compartir información personal con otros”):
Podemos compartir su información personal […] con terceros partes que ayudan a gestionar nuestro negocio y a prestar servicios […] Algunos de estos proveedores utilizan aplicaciones o sistemas informáticos “basados en la nube”, lo que significa que su información personal estará alojada en sus servidores
Y ahora todo lo que he comentado se pondrá en los servidores de unos terceros.
Podemos utilizar su nombre y dirección de correo electrónico para enviarle directamente comunicaciones de marketing a usted y hacerle saber más sobre nuestros servicios o servicios relacionados que creamos que sean de su interés
También se le inundará con anuncios dirigidos. Pero, ¿cómo sabe FastMail lo que “le interesará”? ¡Por supuesto, gracias a todos esos datos recopilados -que, recuerda, incluye el contenido de tu correo! Más adelante afirman que no hacen perfiles de ti para enviarte publicidad pero eso parece contradecir lo anterior – y deberíamos suponer siempre lo peor. FastMail también utiliza el servicio de seguimiento Matomo, que se describió en detalladamente en la sección de ProtonMail. De todos modos, son bastantes datos recogidos – pero ¿cuánto tiempo permanecen alrededor?
Cuando registramos información relacionada con su dirección IP, conservamos esta información durante aproximadamente 90 días.
Cuando solicitas que eliminemos tu cuenta de nuestro sistema, bloquearemos inmediatamente la cuenta y archivaremos la información, y luego la eliminaremos de nuestros servidores en un plazo de aproximadamente 7 días a partir de la fecha de su solicitud.
No está mal, supongo. Es decir, algunos otros proveedores tardan un año o más…Pero espera:
Sin embargo, en circunstancias específicas limitadas podemos almacenar tu información personal durante períodos de tiempo más largos
¡Ha! Así que la cifra de 7 días era sólo para mostrar. Permítame citar alguna información relacionada de otra sección (archivo):
Tras la cancelación de una cuenta, los datos y las copias de seguridad se purgan en un plazo de entre 37 días y 1 año tras el cierre
Así que haces un año después de todo. Y tú mentiste directamente en la cara con lo de los 7 días. Esto parece cada vez más como un trolling de nivel básico… ¿Podemos decir algo positivo sobre FastMail a la luz de la información presentada? Supongo que esto:
Proporcionar un cifrado seguro de extremo a extremo a través del correo web es imposible. Hay básicamente dos opciones, ambas defectuosas:
Así es – es lo mismo que he estado hablando. Así que por lo menos menos no pretenden tener una supercodificación en el navegador. Y quizás otra cosa:
No vamos a liberar ningún dato sin la requerida autorización legal autorización de un tribunal australiano. Como empresa australiana, no respondemos no respondemos a órdenes judiciales de Estados Unidos.
Pero recuerde que algunos de sus datos se almacenarán en servidores servidores de otros países, que podrían tener algunas ideas diferentes…En definitiva en general, me cuesta dar una razón para usar este en absoluto. El La cantidad de datos almacenados es simplemente masiva (y ni siquiera cubrí todos de ellos), se comparte con terceros y se utiliza para el envío de anuncios – y tienes que pagar por todo eso.
Outlook
(https://signup.live.com/?lic=1)
Ya que Google se ha hecho con uno, seguramente Microsoft debe ser el siguiente en la lista para el tajo. En realidad es muy similar a Gmail, pero quizás incluso peor. El proceso de registro es un reflejo del de Google, salvo que tienes que habilitar más cosas en uMatrix para que funcione. Por lo demás, requiere tu nombre real y la confirmación del teléfono, algo que (obviamente) no me molesté en hacer, así que no sé qué viene después. Al igual que con Gmail, no puedes registrarte sólo por el correo electrónico, sino que obtienes una cuenta de Microsoft que contiene acceso a todos sus servicios. Analicemos ahora su política de privacidad (https://privacy.microsoft.com/en-us/privacystatement) (mejor tener preparados unos analgésicos, porque duele):
Datos sobre tu dispositivo, su configuración y las redes cercanas. Por ejemplo, datos sobre los sistemas operativos y otros programas instalados en su dispositivo, incluidas las claves de los productos. Además, la dirección IP, los identificadores del dispositivo (como el número IMEI en el caso de los teléfonos), la configuración regional y de idioma, e información sobre los puntos de acceso WLAN cercanos a su dispositivo.
No les basta con saber cómo usas sus servicios: Microsoft también fisgonea todo lo que haces con tu máquina. Ugh.
Datos sobre tus intereses y favoritos, como los equipos deportivos que sigues, los lenguajes de programación que prefieres, las acciones que sigues o las ciudades que añades para seguir cosas como el tiempo o el tráfico. Además de los que usted proporciona explícitamente, sus intereses y favoritos también pueden inferirse o derivarse de otros datos que recopilamos.
No estoy seguro de que lo anterior sea aplicable al correo electrónico específicamente – pero muestra claramente la actitud de Microsoft hacia tu privacidad – que es un completo desprecio por ella.
Datos sobre tus contactos y relaciones si utilizas un producto para compartir información con otros, gestionar contactos, comunicarte con otros o mejorar tu productividad.
Información sobre sus relaciones e interacciones entre usted, otras personas y organizaciones, como tipos de compromiso (por ejemplo, gustos, disgustos, eventos, etc.) relacionados con personas y organizaciones.
Datos generados a través de su uso de los servicios de comunicación de Microsoft. Los datos de tráfico indican con quién te has comunicado y cuándo se han producido tus comunicaciones
Ahora bien, estos datos son seguramente relevantes para el correo electrónico. No sólo Microsoft guarda tu lista de contactos, sino también cuándo los has escrito. ¿Y la duración del almacenamiento de los datos? A diferencia de Google, Microsoft tiene la gracia de decirnos algo al respecto:
cuando se vacía la carpeta de Elementos eliminados, esos elementos vaciados permanecen en nuestro sistema hasta 30 días antes de su eliminación definitiva
Así que ya sabemos que -cuando borramos un correo electrónico- éste desaparece en 30 días como máximo. Esto es una putada, pero al menos nos avisan, cosa que muchos proveedores supuestamente privados no consiguen reunir. En cuanto a los otros datos, lamentablemente nos quedamos con declaraciones vagas como:
Microsoft conserva los datos personales durante el tiempo necesario para proporcionar los productos y realizar las transacciones que has solicitado, o para otros fines legítimos como el cumplimiento de nuestras obligaciones legales, la resolución de conflictos y la aplicación de nuestros acuerdos.
Siendo realistas -teniendo en cuenta la avalancha de cosas varias contra la privacidad y los usuarios en su política- deberíamos suponer que los otros datos se almacenan durante mucho más tiempo que el contenido real del correo (uno pensaría que mencionarían la duración si fuera algo de lo que pudieran haber presumido). Bien, sólo hay una transgresión más a destacar que quiero cubrir:
Para construir, entrenar y mejorar la precisión de nuestros métodos automatizados de procesamiento (incluyendo la IA), revisamos manualmente algunas de las predicciones e inferencias producidas por los métodos automatizados contra los datos subyacentes a partir de los cuales se hicieron las predicciones e inferencias.
Así es – Microsoft utiliza tus datos para entrenar su IA. La misma mierda que Google lleva años haciendo con su ReCaptcha. Si estabas considerando Outlook como tu proveedor de correo electrónico (¿por qué?), sólo esto debería alejarte de él. El ToS (https://www.microsoft.com/en-us/legal/intellectualproperty/copyright#o10) también hace que los SJW parezcan amantes de la libertad en comparación. Al igual que con Gmail, Outlook sí es compatible con clientes de correo y es gratuito – que son las únicas ventajas del servicio.
Gmail
(https://mail.google.com/mail)
Porque sí, le voy a hacer una crítica en condiciones, porque ¿por qué no? Ni siquiera es el peor proveedor que hay, si te lo puedes creer. Soporta clientes de correo, para empezar – así que automáticamente tiene una ventaja sobre muchos de los que anuncian privacidad y respeto al usuario que son sólo webmail. Mi VPN no fue bloqueada, aunque sí me pidió mi nombre real (que puedes falsificar), así como requerir confirmación telefónica – con la que terminé atragantado.
Desgraciadamente -como si no fuera obvio- la compatibilidad con el cliente de correo es lo único positivo que tiene Gmail. Bueno, también es gratuito – pero se paga con cediendo una cantidad de datos (https://policies.google.com/privacy?gl=BE&hl=en-GB) que otros proveedores sólo pueden soñar con igualar. Por ejemplo:
identificadores únicos, tipo y configuración del navegador, tipo y configuración del dispositivo, sistema operativo, información de la red móvil, incluyendo el nombre y número de teléfono del operador y el número de versión de la aplicación. También recopilamos información sobre la interacción de sus aplicaciones, navegadores y dispositivos con nuestros servicios, incluida la dirección IP, los informes de fallos, la actividad del sistema y la fecha, hora y URL de referencia de su solicitud.
Utilizamos varias tecnologías para recopilar y almacenar información, incluidas las cookies, las etiquetas de píxeles, el almacenamiento local, como el almacenamiento web del navegador o las cachés de datos de las aplicaciones, las bases de datos y los registros del servidor.
Hay mucho más. No es una exageración afirmar que cada paso que das, cada movimiento que haces mientras usas Google es almacenado y analizado (y no se indica la duración, por lo que puedo ver – así que asume que es para siempre). Lo peor es que no puedes registrarte sólo en Gmail, sino que necesitas una cuenta de Google para cada uno de sus servicios. Así, si estás conectado (porque usas su webmail, por ejemplo), entonces también pueden rastrearte por todo YouTube, etc. y mezclar toda la información para hacer un perfil. Google también es miembro de PRISM, por lo que es probable que tus cosas acaben en manos de las fuerzas de seguridad (ya han compartido datos de localización con ellos). Además, usar los servicios de Google significa que permites todas sus prácticas poco éticas (como meternos ReCaptcha en la cara, la fuerte censura en su motor de búsqueda, el seguimiento y los anuncios generalizados, su monopolio en los navegadores, etc). Otros proveedores -incluso los de tipo espía- se limitan más o menos al correo; no tienen la influencia mundial en tantas cosas como tiene Google. Por lo tanto, deberías evitar específicamente Gmail sólo para inhibir su búsqueda de la dominación mundial (¿sabías que incluso pueden encerrarte en tu casa?) – incluso si no son el peor proveedor que existe.
Fuente de que podrían encerrarte en tu casa: (https://www.fastcompany.com/90358396/that-major-google-outage-meant-some-nest-users-couldnt-unlock-doors-or-use-the-ac)
Fuente de localización: https://www.dailymail.co.uk/sciencetech/article-6923471/Googles-location-tracking-designed-target-ads-used-POLICE-solve-cases.html
VFEmail
Actualización de febrero de 2020: Antes se requería ReCaptcha para registrarse, ya no lo hace – sin embargo, sigue pidiendo tu nombre real; el registro también falla en Pale Moon. Todo lo demás sigue siendo una mierda como era cuando escribí el primer informe, excepto que el sitio está ahora detrás del malvado Cloudflare (https://codeberg.org/themusicgod1/cloudflare-tor/src/branch/master/readme/en.md). Los clientes de correo son compatibles, pero la autoconfiguración no parece funcionar. Acepta el registro desde una VPN, y ahí se acaban los aspectos positivos…Un montón de cosas sospechosas en el acuerdo de usuario; repasarlas todas me llevaría un año, así que hablaré sólo de las más importantes:
[…] VFEmail.net puede cancelar y/o cambiar y/o modificar su cuenta […]
Espera, modificar mi cuenta? ¿Qué carajo? Esto puede significar literalmente cualquier cosa, incluyendo reescribir tu correo, borrar contactos, o cambiar la contraseña. ¡Sospechoso de cojones!
VFEmail.net o la persona que ésta designe puede revelar información a terceros sobre el Usuario y el uso que éste hace del Servicio
¡Grande! Prepárate para que tu privacidad sea arrancada y arrojada a los anunciantes y rastreadores.
El usuario reconoce y acepta que el contenido, incluyendo pero el texto, el software, la música, el sonido, las fotografías, los gráficos vídeo, u otro material contenido en los anuncios de los patrocinadores o información presentada al Usuario a través del Servicio o de los anunciantes está protegidos por derechos de autor, marcas comerciales, marcas de servicio, patentes u otros derechos de propiedad y leyes.
Así que te van a enviar anuncios y no puedes ni mostrarlos a nadie. Por cierto, he confirmado que añaden publicidad a tu correo. Cada vez que envías algo desde la cuenta gratuita de VFEmail, tu destinatario recibe esto:
“Esta cuenta gratuita ha sido proporcionada por VFEmail.net – informa del spam a abuse@vfemail.net ¡SOLO EN VFEmail! – ¡Utilice nuestro Mitigador de Metadatos para mantener su correo electrónico fuera de las manos de la NSA! ¡$24.95 Cuentas de por vida ONETIME con características de privacidad! ¡15GB de disco! ¡Sin cuotas de ancho de banda! ¡Opciones de correo comercial y masivo!”
Es curioso como dicen protegerte de la NSA cuando son Cloudflared (una empresa estadounidense) y no tienen una política de privacidad real. Con una cuenta cuenta, ni siquiera obtienes encriptación SSL en tu correo. Así que se envía en texto plano, completamente visible para tu ISP, por ejemplo. Ahora ¿qué pasa si has pagado? Obtienes SSL (felicidades por ser el único proveedor que no ofrece eso de forma gratuita), alias, sin anuncios y ancho de banda ancho de banda ilimitado – pero sigues en la oscuridad en cuanto a la privacidad y sigues sujeto a la mierda de ToS. Y para alegrar el ambiente…
Si recibe correo entre su último POP y la instantánea a las 12 de la mañana, existirá en la copia de seguridad durante una semana – a menos que sea el Sábado por la noche, entonces es un año.
¿WTF? Estos tipos deben estar troleando por aquí. Tu correo se guarda en una copia de seguridad durante una semana… ¡excepto los sábados! Qué casualidad.
En cuanto a otros datos, no te dicen qué se almacena y durante cuánto tiempo. Si todavía no te has enterado – aléjate de esta mierda! Sinceramente, parece como si unos bromistas hubieran puesto todas las cosas antiusuario cosas que se les ocurrieron, se anunciaron con chorradas como el “Metadata Mitigator™” -por el que por supuesto hay que pagar- y se dedicaron a hacer de las suyas mientras se forraban. Esto podría ser peor que Gmail, que es más honesto en cuanto a su (falta de) privacidad y proporciona todas sus características de forma gratuita.
ProtonMail – El que actualmente uso
El proveedor de correo electrónico “privado” más popular, y a menudo la primera elección de una persona que se aleja de los tres gigantes. Pero, ¿significa eso ¿significa eso que es realmente de calidad? Comencemos con el proceso de registro – si te registras a través de Tor o de una VPN, ProtonMail requiere una confirmación por SMS:
Y si intentas recibir la confirmación a través de un correo electrónico de RiseUp, te dice esto:
Así que el SMS es la única opción (a no ser que quieras donar, lo que revelar tu información personal, por supuesto); por lo tanto, su afirmación de que “ProtonMail no requiere ninguna información de identificación personal para registrarse” es una mentira descarada. Actualización: un contacto me dijo que Proton ahora incluye la opción de resolver un recaptcha (sigue siendo un mal) para la confirmación; sin embargo, la opción desaparece mientras se usa una VPN. Realmente deben querer ese maldito número de teléfono si estás usando ¡anonimizadores! Y la afirmación de que puedes registrarte sin datos personales sigue siendo falsa.
La forma en que funciona su cifrado “extremo a extremo” es mediante la generación de las claves de cifrado mientras te registras – el uso de tus claves ya existentes no está permitido y ProtonMail debe almacenar la clave privada generada (https://protonmail.com/support/knowledge-base/how-is-the-private-key-stored/) para que PGP funcione. Dado que todo el proceso de encriptación se realiza mediante JavaScript en el navegador, nada impide que te envíen JS retroalimentado; los mensajes encriptados sólo pueden ser enviados a otros usuarios de ProtonMail, a no ser que se utilice la cuenta de pago (actualización: en realidad, un amigo me ha dicho que esto último ya no es cierto, aunque tienes que subir las claves PGP públicas de los destinatarios a ProtonMail si quieres usarlas). Según los investigadores, el cifrado de ProtonMail contiene graves deficiencias (https://eprint.iacr.org/2018/1121.pdf). Al final de este informe, también enlazo con un artículo que detalla los problemas de encriptación en el navegador en general. Los clientes de correo no son clientes de correo, excepto, de nuevo, a través de una función de pago llamada “Protonmail Bridge”.
Pero dejemos de lado la palabrería y veamos qué datos almacena realmente ProtonMail y durante cuánto tiempo. Citando su política de privacidad (https://protonmail.com/privacy-policy):
Empleamos una instalación local de Matomo, una herramienta de código abierto. Las analíticas se anonimizan siempre que es posible y se almacenan localmente (y no en la nube).
Así que cuando visitas su web, este Matomo te espía. Pero, ¿qué datos recoge realmente? Del sitio web de Matomo (https://matomo.org/features/):
Todos los informes estadísticos estándar: principales palabras clave y motores de búsqueda, sitios web, sitios web de medios sociales, URLs de páginas principales, títulos de páginas, países usuarios, proveedores, sistema operativo, cuota de mercado de los navegadores, resolución resolución de pantalla, escritorio VS móvil, compromiso (tiempo en el sitio, páginas por visitas, visitas repetidas), principales campañas, variables personalizadas, principales páginas de entrada/salida páginas de entrada/salida, archivos descargados, y muchos más, clasificados en cuatro categorías de informes analíticos – Visitantes, Acciones, Remitentes, Objetivos/Comercio (más de 30 informes)
Así que eso es el sitio web. ¿Qué pasa con el servicio de correo electrónico?
tenemos acceso a los siguientes metadatos del correo electrónico: direcciones de correo electrónico del remitente y del remitente y el destinatario, la dirección IP de la que proceden los mensajes desde, el asunto del mensaje, y las horas de envío y recepción del mensaje. […] También También tenemos acceso a los siguientes registros de la actividad de la cuenta: número de mensajes enviados, cantidad de espacio de almacenamiento utilizado, número total de mensajes última hora de inicio de sesión.
Grandioso, incluso más metadatos que Tutanota (si confías en las afirmaciones de Tutanota afirmaciones de que recogen tan pocos metadatos como dicen). Y luego está esta joya:
Cuando se cierra una cuenta de ProtonMail, los datos se eliminan inmediatamente de los servidores de producción. Las cuentas activas tendrán los datos retenidos indefinidamente. Los correos electrónicos eliminados también se borran permanentemente de los servidores de producción. Los datos eliminados pueden conservarse en nuestras copias de seguridad durante un máximo de 14 días.
¡Lee eso de nuevo! Retención indefinida de los datos por parte del ¡”privado” ProtonMail! Y 14 días para los datos borrados: suficiente para que “ellos” te atrapen. Al menos hay encriptación de disco…ACTUALIZACIÓN 28 de agosto; una admisión directa de que almacenan los registros de IP para siempre en ciertos casos – “y tu dirección IP puede ser retenida permanentemente si estás involucrado en actividades que violan nuestros términos y condiciones”. Su TOS dice esto: “Usted acepta no utilizar este Servicio para ninguna actividad ilegal o prohibida ilegales o prohibidas. También se compromete a no interrumpir las redes y los servidores de ProtonMail servidores”, lo que puede cubrir prácticamente todo.
Si lees su informe de transparencia (https://protonmail.com/blog/transparency-report/), verás un montón de solicitudes de sus datos por parte de los gobiernos de todo el mundo. ProtonMail pretende “requerir una orden judicial Suiza” para cooperar – pero se ve que a menudo hacen eso antes de recibirla – así que no esperes que eso te proteja. Un ejemplo particularmente atroz ejemplo es de mayo de 2018, donde desactivaron una cuenta por lealtades terroristas -y todos sabemos que eso no es solo una excusa conveniente hoy en día, ¿verdad? El nuevo informe de transparencia (https://web.archive.org/web/20190829032528/https://protonmail.com/blog/transparency-report/) muestra que han cumplido con 336 solicitudes de datos gubernamentales sólo en 2018 – incluyendo 76 extranjeras. Ah, y desde el 28 de agosto, admiten por fin la vigilancia directa – “En Además de los elementos enumerados en nuestra política de privacidad, en casos criminales extremos casos criminales extremos, ProtonMail también puede estar obligado a monitorear las direcciones IP que se están utilizando para acceder a las cuentas de ProtonMail que están involucradas en actividades delictivas.” Y nunca se le dirá que está siendo vigilado. Por lo tanto, lo que tenemos aquí es un proveedor que no admite clientes de correo clientes de correo, requiere información personal para registrarse mientras afirma lo contrario, te espía en su sitio web, almacena los metadatos de tu correo electrónico (y la IP en ciertos casos) para siempre e inmediatamente los cede cuando el gobierno llama a la puerta y grita “¡terrorismo!”. Su encriptación también es según los investigadores, y no se puede utilizar para cuentas que no sean de ProtonMail sin pagar. Y luego, después de todo eso, pretende ser un campeón de la privacidad… campeón de la privacidad… Como podemos ver, ProtonMail resulta ser un tigre de papel cuando se examina en profundidad. Tiene un dominio de Tor (https://protonirockerxow.onion/), pero adivina qué – cuando intentas registrarte a través de él, eres redirigido a la clearnet sin indicadores a menos que mires la barra de direcciones. Este comportamiento es algo que esperaría de un honeypot – te atraen con la seguridad añadida del dominio onion, y luego te lo quitan como la zanahoria en un palo. Evita!
Scryptmail (Muerto – https://blog.scryptmail.com/discontinuing-of-service/)
Prueba gratuita de 7 días y luego hay que pagar. No tiene soporte para clientes de correo. Dice encriptar metadatos y remitentes en vez de sólo mensajes. El blog y el foro de soporte parecen bastante muertos; las preguntas frecuentes también están desactualizadas – dice Scryptmail sólo tiene un año, pero en realidad tiene 4.
¿Qué pasa con la privacidad? El sitio web utiliza la analítica Matomo descrita en la sección de ProtonMail. ¿Y el correo? Según su política de privacidad (https://scryptmail.com/#PrivacyPolicy), cada vez que dos cuentas de Scryptmail se comunican, sólo “las veces que se envía” se almacenan los metadatos. Por otro lado, si alguien que utiliza otro proveedor envía un correo electrónico a su cuenta de Scryptmail, los datos recogidos se extienden a esto:
las direcciones de correo electrónico del remitente y del destinatario, la dirección IP desde la que se originaron los mensajes entrantes, el asunto del mensaje, el cuerpo y los archivos adjuntos y las horas de envío y recepción del mensaje.
Otra información almacenada incluye: “Última hora de inicio de sesión, dirección IP, agente de usuario, llamada a la API.” Aunque afirman que “no tienen capacidad para relacionar una IP con una cuenta de usuario específica.” Lo que parece contradecir la afirmación anterior, ya que saben cuándo una determinada cuenta se conectó, así como con qué dirección IP. Es posible que posible que borren la información sobre la cuenta a la que pertenecen los datos pertenecen, pero decir que no tienen “ninguna capacidad” de conectarlos es una mentira.
Debes asumir que tus datos se almacenarán prácticamente para siempre. De la sección de retención de datos: “Las cuentas activas tendrán datos retenidos indefinidamente.” ¿Y las cuentas eliminadas?
Sus datos personales se eliminarán a más tardar al final del año natural siguiente al de la finalización del contrato, salvo que en un caso individual se apliquen razones específicas al contrato se apliquen. […] Además, la supresión de los datos de inventario y facturación podrá omitirse omitirse siempre que la normativa legal o la tramitación de reclamaciones requieran esta acción.
En resumen: de pago, sin soporte de cliente de correo, confusa y contradictoria política de privacidad, importante cantidad de datos almacenados y nunca eliminados. Evitar!
MsgSafe
Otro más desenterrado por un miembro del chat. El sitio web no funciona en absoluto sin JS activado e incrusta los scripts de Cloudflare. Luego – después de activar JS – desearás no haberlo hecho cuando te des cuenta de que el CSS tiene todo tipo de posicionamiento jodido (al menos en Pale moon), haciendo que el sitio sea apenas utilizable. Normalmente lo dejaría aquí, pero tenía ganas de sufrir un poco – y MsgSafe lo proporciona a raudales. Por lo que veo, el servicio es sólo de correo web, así que no podemos evitar lidiar con la mierda de diseño. Es curioso que hagan parecer esto como una virtud (https://www.msgsafe.io/benefits/no-changes-to-your-system).
Nuestro software funciona a través de la web y opera utilizando estándares abiertos para que sepas lo que está pasando en todo momento. No hay un software que descargar, ni una tienda de aplicaciones en la que confiar, sólo estamos tú y nosotros, y tú tienes el control.
Es exactamente lo contrario, por supuesto. Los clientes de correo te mantienen el control, mientras que una aplicación web puede ser modificada en cualquier momento por el proveedor, sin que el usuario pueda resistirse al cambio. Por si fuera poco, la política de privacidad (https://www.msgsafe.io/privacy) es una pesadilla:
Esto incluye las páginas de referencia, las marcas de tiempo, la página solicitada, el agente de usuario, la cabecera de idioma y el sitio web visitado.
Tampoco nos dicen el tiempo que se guarda todo esto. Y ninguna información sobre el posible almacenamiento del contenido del correo o los metadatos. La cuenta gratuita supuestamente admite hasta diez alias, pero no encuentro la forma de crearlos. Supongo que los niveles de pago sí soportan la opción, pero ciertamente no voy a probarlo – la calidad no justifica el precio de 5 dólares al mes como mínimo (demonios, no usaría esta mierda gratis). Como dato positivo, aparentemente admite pagos con Bitcoin, pero… ¿por qué? Dejadlo que se pudra junto con FastMail, Criptext y el resto de montones de basura.
Criptext
Hay tantos infractores apareciendo ahora que no debía revisar más de ellos a menos que fueran significativos por alguna razón. Sin embargo, este me lo mencionaron dos personas y engloba mucho de lo que está mal en el correo electrónico. gran parte de lo que está mal con los servicios de correo electrónico y la informática en general, por lo que así que podría llegar a ella. Empecemos con la cita de su página principal página principal:
Posiblemente el servicio de correo electrónico más privado de la historia
Eso es todo: estoy vendido. Por supuesto, ningún infractor ha hecho esa promesa antes… en absoluto. Pero no nos adelantemos y primero comprobemos qué es lo que realmente tiene de especial Criptext. En primer lugar, ya que es una mierda de “aplicación” de Electron (literalmente incrustando Chromium dentro dentro de ella), ocupa una enorme cantidad de recursos – mucho más que Claws Mail. La interfaz es la típica mierda de web y no puedes hacerla encajar con el resto de su sistema operativo – como un alienígena invasor. Obviamente, olvídate de que soporte clientes de correo; Criptext dice a la mierda los estándares establecidos – vamos a ejecutar nuestra propia implementación especial de webshit. Esto por sí solo sería un punto de ruptura para mí, pero vamos a profundizar. I No parece que pueda ejecutar la “aplicación” a través de torify o proxychains, por lo que se puede asumir que no soporta anonimización. Para usar Criptext, tienes que registrarte a través de la “app” que te pide tu nombre real. Ahora abordemos algunas afirmaciones concretas que hacen en su página web:
Todos tus correos electrónicos están bloqueados con una clave única que se almacena en tu dispositivo, lo que significa que sólo tú y tu destinatario pueden leer los correos que envías.
Entonces, Criptext alega ser E2E – pero en realidad, sólo funciona entre cuentas de Criptext – otros simplemente recibirán su correo sin cifrar como como siempre. Y – como la “aplicación” no soporta PGP (a diferencia de un cliente de correo normal (a diferencia de un cliente de correo ordinario) – te quedas sin nada a menos que encriptes a través de la línea de comandos. Esto no difiere en absoluto de lo que hacen Proton o Tutanota.
Criptext no almacena ningún correo en sus servidores. Todos tus correos electrónicos se almacenan sólo en tu dispositivo, lo que significa que tienes el control de tus datos en todo momento.
En realidad eso es absolutamente imposible. En algún momento, el E-mail tiene que pasar por los servidores de Criptext para que sea entregado al destinatario. ¿Por qué pretender lo contrario?
Con el seguimiento en tiempo real puedes saber una vez que tu correo es leído.
Esto se anuncia como una característica única, pero en realidad, los clientes de correo lo soportan con algo llamado “Solicitar devolución de recibo”. Ninguna ventaja para Criptext, por desgracia. Ahora comprueba esto de su sección de seguridad (ni siquiera puedo archivar la página, ugh):
Todos tus correos electrónicos y claves privadas se almacenan únicamente en tu dispositivo. Una vez que Criptext entrega un correo electrónico no queda rastro de él en nuestros servidores.
Esto se llama “arquitectura descentralizada” por parte de Criptext – que es, por supuesto, una broma total ya que su “app” obliga a usar los servidores de Criptext a diferencia de un cliente de correo normal. Veamos ahora su política de privacidad (https://criptext.com/):
Una vez que los mensajes son entregados a tu dispositivo, son eliminados de nuestros servidores. Lo mismo ocurre con los mensajes que envíes.
Muy bien – suponiendo que no se estén tirando un farol (lo que ya han hecho unas cuantas veces) – esto es un cambio de ritmo bienvenido en comparación con la mayoría de los infractores. Sin embargo, el protocolo POP3 en los clientes de correo admite la eliminación del correo electrónico al recuperarlo – así que de nuevo, esto no es específico de Criptext.
También guardamos los metadatos del correo electrónico (asunto, fecha y dirección de correo del remitente) con el fin de permitir ciertas características de los Servicios, tales como las funciones de “anulación de envío”, “lectura de recibos” y “caducidad”.
No se menciona la duración. Bandera roja.
Cuando un correo electrónico normal, sin cifrar, es enviado por un remitente que no es Cripto, el correo electrónico es encriptado por el servidor con su clave pública y sólo puede ser descifrado por su dispositivo. Lo mismo ocurre para los archivos adjuntos que se envían desde direcciones que no son de Criptografía. Este Esto significa que tus correos electrónicos siempre están encriptados, incluso si el remitente no está utilice Criptext.
Eso sólo significa que el correo electrónico sería encriptado desde Criptext hacia ti – pero no antes de llegar a Criptext. Por lo tanto, Criptext podría seguir leyéndolo – de nuevo, ¿por qué pretender lo contrario?
Podemos registrar automáticamente información sobre usted y su ordenador o dispositivo móvil cuando acceda a nuestros Servicios. Esto incluye información como el modelo de hardware, información del sistema operativo, nivel de batería, intensidad de la señal, versión de la aplicación, información del navegador y red móvil, información de conexión, incluido el operador móvil o el ISP, idioma y zona horaria, e IP.
Entonces, Criptext almacena tu dirección IP y mucha otra información. La duración, de nuevo, no se especifica. También comparte esos datos con socios no especificados:
Podemos revelar su información personal a nuestras subsidiarias y filiales corporativas para fines coherentes con esta Política de Privacidad.
Bien, creo que ahora se han apagado las luces de Craptext. El Lo único positivo de ellos es su promesa de borrar inmediatamente todo de tu correo electrónico al recuperarlo – pero viendo la cantidad de afirmaciones engañosas que ya han hecho, es dudoso que hagan incluso eso. Todo lo que queda de la privacidad en su página principal es una pila de escombros. Lo más sensato es dejar que Craptext se pudra junto a los Protons, Fastmails y Hushmails y utilizar algunos servicios adecuados.
Soverin
Otra persona pidió una reseña, así que aquí está. Pensé que es obvio que es terrible así que seré breve aquí. El requisito del número de teléfono durante el registro hace que Soverin sea completamente no anónimo – y para mí, solo lo descalifica. La política de privacidad no dice nada sobre qué datos almacenan realmente y durante cuánto tiempo – sólo que si borras tu cuenta, todo desaparece. Soverin se atreve a pedir dinero por este abuso – y a través de un procesador de pagos de terceros (https://www.mollie.com/en/privacy) que recoge todo lo posible sobre ti e incluso lo comparte con otros – “Mollie compartirá sus datos personales con terceros si es necesario para la ejecución del contrato o si se basa en obligaciones legales obligaciones legales o intereses legítimos.” En cuanto a algunos aspectos positivos – bueno, los clientes de correo están aparentemente permitidos, así como Bitcoin. Pero si su procesador de pagos almacena tantas cosas, ¿importa siquiera? Hay encriptación del disco… a quién le importa, ahora todo el mundo lo hace. Si realmente quieres parte de su dinero, obtener Posteo que es 3 veces más barato y mucho mejor. O simplemente ve a por los buenos gratuitos como RiseUp o Disroot.
Librem Mail
Un miembro del chat ha preguntado por este. Su modus operandi ha sonado bien:
El purismo es una Corporación de Propósito Social (CPS), lo que significa que ponemos el bien social por encima de la explotación de las personas.
Así que decidí echarles un vistazo, creyéndomelo ingenuamente (supongo que la experiencia de parte de la “fundación” Mozilla no me ha enseñado nada). La cantidad de datos personales requeridos para obtener una cuenta es la mayor cantidad que he visto de cualquier proveedor:
El nombre de facturación es un campo obligatorio. País de facturación es un campo obligatorio. Dirección de facturación es un campo requerido. La ciudad de facturación es un campo obligatorio. Estado de facturación es un campo obligatorio. El código postal de facturación es un campo obligatorio. Teléfono de facturación es un campo obligatorio. Nombre de envío es un campo obligatorio. Apellido de envío es un campo obligatorio. País de envío es un campo obligatorio. La dirección de envío es un campo obligatorio. El campo “Ciudad” es obligatorio. Estado de envío es un campo obligatorio. Envío ZIP es un campo requerido. Por favor, introduzca una dirección para continuar.
Qué mierda. Y necesitas toda esta información incluso si intentas pagar usando criptodivisas. Librem es un proveedor de pago, y sólo puedes pagar por un montón de servicios juntos. Esto es como ir a una tienda a comprar plátanos, pero enterarte de que sólo puedes conseguirlos junto con manzanas – y tú odias las manzanas. Ahora, si quieres su VPN, el chat y las redes sociales, el precio puede parecer justificado; pero este es el informe de correo electrónico y un mínimo de 8 dólares al mes por un correo electrónico es demasiado comparado incluso con los proveedores más caros. Especialmente porque Librem no parece demasiado interesado en la privacidad con todos los datos personales que está tratando de agarrar. El proceso de registro por sí solo es suficiente para alejar a alguien de Librem, pero a la mierda, voy a investigar su política de privacidad de todos modos (https://librem.one/policy/). Aparte de las posturas vacías -como “No te rastreamos.” o “Construimos productos, software y servicios que respetan la sociedad y tu privacidad.” – la única información medianamente útil es que guardan “cosas temporales” durante 30 días. Aunque no esperes que la “corporación de propósito social” (jeje) te cuente en qué consiste exactamente eso. Librem sí es compatible con los clientes de correo, que es lo único realmente positivo que puedo ver en este servicio.
SAFe-mail (safe-mail.net)
Actualización de agosto de 2021: El registro sigue requiriendo aprobación manual aprobación y es de golpe y porrazo si entras. La última vez que revisé no lo hice, aunque di un nombre que parecía real. Ahora, a pesar de un nombre nombre troll me aceptaron por alguna razón – y lo hice a través de la red TOR también. Está claro que no son un servicio serio. A menudo, usted ni siquiera se puede conectar al sitio y te envían http:// enlaces a través de E-mail – que ni siquiera se redirigen a HTTPS (sin addons). Más importante, el soporte completo del cliente de correo está limitado a las cuentas de pago – las gratuitas sólo pueden recibir. Por lo tanto, esto debe ser considerado un proveedor de pago, con un mínimo de 25 dólares al año (o unos 2 dólares al mes). Y si lo haces, necesitas proporcionar tu nombre real, dirección y datos de la tarjeta de crédito, por lo que se vuelve totalmente inútil para la privacidad. Luces fuera para SAFe-mail entonces, pero hay más información condenatoria que escribí anteriormente, así que echa un vistazo a si quieres profundizar aún más:
Servicio con sede en Israel establecido en 1999. Antes de profundizar en el meollo de las cuestiones, veamos la primera impresión. A saber, la estructura y gramática del sitio es algo que haría un chimpancé – esto hace que obtener cualquier información del sitio sea un rompecabezas en sí mismo. La mayoría de las cosas que hay son antiguas, y algunas secciones se contradicen entre sí. Han tenido 20 putos años para hacer una web en condiciones pero en su lugar tenemos esta abominación… pero intentemos darle sentido de todas formas:
SAFe-mail pretende estar basado en la privacidad pero no tiene una política de privacidad real. Lo único es un fragmento de 2008 que dice:
Safe-mail.net no utiliza cookies y no recoge ningún datos sobre los usuarios. Safe-mail.net no transfiere, vende, comercia o o intercambiar cualquier dato que pueda tener sobre sus usuarios con cualquier otra empresa.
Así que supuestamente no recoge NINGÚN dato sobre sus usuarios. Entonces, ¿por qué se molestan en matizarlo con la afirmación de que tampoco venden los datos? Espera, también está esto: (de el acuerdo de usuario) (https://www.safe-mail.net/agreement.html)
SAFe-mail Ltd. no revelará información sobre usted o su uso del sistema SAFe-mail, a menos que…
Bien, así que después de todo, sí tiene datos sobre sus usuarios…
Aceptas que SAFe-mail pueda acceder a tu cuenta, incluyendo su contenido, por estos motivos o por razones de servicio o técnicas.
¿Así que ahora admites que puedes acceder incluso a los contenidos de mi cuenta? No es esto una admisión de que lees nuestro correo
Tenga en cuenta que su dirección de protocolo de Internet se transmite con cada mensaje enviado desde su cuenta.
No me digas. Pero lo que nos interesa es saber si esa IP, o cualquier otro dato, es almacenado por SAFe-mail, y durante cuánto tiempo – y esta información no se facilita. ¿No le parece sospechoso? SAFe-mail dedica mucho tiempo a hablar de su privacidad, sin embargo, parece extrañamente reservado sobre el tipo de datos que recoge; de de hecho, hay que leer entre líneas para darse cuenta de que almacena cualquier cosa. Un claro indicio de un honeypot para mí.
Runbox
Su página web está tan llena de posturas de privacidad que es una maravilla cómo que se las arreglaron para meter algo más. No me voy a molestar en citarlo todo aquí; vamos a a ver si la postura tiene realmente algún valor (spoiler: no lo tiene). (spoiler: no lo es). De su política de privacidad (https://runbox.com/about/privacy-policy/):
Usted consiente en proporcionarnos los siguientes datos personales al registrar una cuenta: Nombre, apellidos, nombre de la empresa (si procede), número de teléfono móvil (si procede), país y dirección de correo electrónico alternativa. […] Para revocar este consentimiento deberá cancelar el Servicio
Lo siento Runbox, pero exigir mi nombre real no es respetar la privacidad. La primera impresión ya no es muy buena…y es sólo el principio.
La información de tu cuenta se almacena en servidores ubicados en Noruega mientras tu cuenta esté activa…
Grandioso, entonces tengo que matar la cuenta para que dejen de almacenar mi información. Y luego ya se acabó, joder, ¿no?
…y: hasta 1 mes después del cierre de las cuentas de prueba; o hasta 5 años después del cierre de las cuentas suscritas, ya que los registros financieros deben conservarse durante 5 años de acuerdo con la legislación noruega sobre Legislación contable noruega.
No, por supuesto que no se ha ido, eso sería demasiado privado para el “amante de la privacidad” Runbox. Así que son cinco años después de la eliminación de tu cuenta hasta que tu nombre real desaparezca de su base de datos…o es ¿o sí?
La copia de seguridad de la información de la cuenta se almacena en servidores seguros separados del sistema Runbox hasta 6 meses, incluso después de que la información haya sido eliminada del almacenamiento principal.
No, el amante de la privacidad Runbox está realmente destrozando todos los anteriores récords de privacidad establecidos por gigantes de la privacidad como Google o Yahoo; ¡son cinco años y medio hasta que tus datos desaparecen de sus servidores! Oh Runbox, ¿cuáles son otras formas de proteger mi privacidad?
El contenido del servicio de correo electrónico (datos asociados a Webmail, Contactos, y Archivos en el Servicio) se guarda en el almacenamiento principal en servidores ubicados en Noruega mientras su cuenta esté activa y: hasta 3 meses después del cierre de las cuentas de prueba; o hasta 6 meses después del cierre de las cuentas suscritas.
Así que todos tus correos y metadatos (remitente, destinatario, asunto, fecha/hora) se almacena mientras exista tu cuenta. También está la copia de seguridad que se almacena durante más tiempo. ¿Debemos prolongar esta tortura? Bien, hagamos el movimiento final y acabemos con esto: ¡El “servicio” Runbox es maldito de pago! ¿Podemos decir clavo final en el ataúd? En serio, son como un Gmail por el que tienes que pagar… pero espera, que hay más: (¡juro que es la última cita!)
Si mantiene correspondencia con nosotros a través del correo electrónico, el servicio postal u otras formas de comunicación, conservaremos dicha correspondencia y la información contenida en ella.
Para decir algo positivo, mencionaré que aceptan Bitcoins… y puedes utilizarlos a través del cliente de correo. También hay una 30 días de prueba “gratis”. Ah, y se alimentan de energías renovables fuentes de energía renovable (pero también lo es el Posteo realmente privado, revisado más tarde), que es lo único realmente recomendable de este “servicio”. Pero como la recopilación y almacenamiento de datos de datos es tan terrible, deberías mantenerte alejado.
OpenMailBox (DEAD)
No tiene ninguna política de privacidad – una enorme bandera roja; de hecho, todo lo que realmente dicen sobre la privacidad es que “todos los datos de los usuarios se almacenan en países que respetan la privacidad”. – sin, por supuesto, especificar esos países ubérrimos. ReCaptcha es necesario para registrarse, lo que demuestra lo mucho que les importa la privacidad privacidad les importa (si se someten a la red de bots de la Gran G, se puede asumir con seguridad que almacenan todo, carajo). Openmailbox carece gravemente de ética, borrando funciones sin previo aviso (https://www.ghacks.net/2017/08/07/openmailbox-alternatives-after-owner-change/):
Los usuarios libres de Openmailbox podían utilizar IMAP/POP para conectarse a sus buzones anteriormente. El nuevo propietario del servicio, la empresa francesa SASU Initix, deshabilitó la opción sin previo aviso para todos los propietarios de propietarios de cuentas gratuitas.
Esto bloqueó el uso en todos los clientes de correo electrónico para los usuarios gratuitos, y les dejó sin otra opción que utilizar la interfaz web en su lugar para hacer su correo.
Relacionado con esto está la eliminación de la función de alias de correo. Los alias disponibles fueron eliminados por completo y dejaron de redirigir cualquier mensaje.
Imagina que has usado un alias para hablar con tu familia y de repente deja de funcionar – por lo que ya no recibes sus mensajes, sin saber la razón por la que ocurre (oye, a lo mejor ahora te odian…). También afirman que puede hacer una cuenta en un minuto – que es simplemente una burla debido a ReCaptcha. Sus Condiciones de servicio (https://web.archive.org/web/20190701164717/https://www.openmailbox.org/tos) siguen los mismos principios (o falta de):
OpenMailBox se reserva el derecho de modificar este texto, sin previo aviso, por lo que usted es responsable de informarse conocer la última versión de este texto. En caso de incumplimiento de estas condiciones, su cuenta de usuario puede ser bloqueada o eliminada, sin opción de reparación o compensación.
Así que si de repente deciden que los usuarios de VPN / Tor son terroristas peligrosos, te echarán sin más; despídete de tus contactos, mensajes, todo (ya que los clientes de correo no funcionan, no puedes descargarlos). Las cuentas gratuitas inactivas durante 180 días también serán borradas.
Hay un rumor circulando por reddit de que OpenMailBox o Autistici dieron acceso (https://old.reddit.com/r/privacy/comments/c7nzgs/a_journalist_friend_suspects_either_openmailbox/) a la cuenta de alguien a las autoridades fiscales de Singapur. Sin embargo, esto es casi imposible para Autistici ya que iría en contra de todo lo que siempre han defendido (https://www.autistici.org/who/collective):
Después de 2005 hemos sido constantemente molestados por los fiscales y fuerzas de seguridad (¡e incluso por el Vaticano!) pidiéndonos que entregáramos datos e identidades de los usuarios y nos enorgullece decir que siempre hemos podido siempre hemos podido responder: lo sentimos, pero no los tenemos. Recientemente (2010) un policía muy listo consiguió convencer a un juez para que ordenara el de tres servidores en tres países diferentes para averiguar si realmente REALMENTE no teníamos ningún dato sobre la actividad de un usuario en nuestros servidores. Después de gastar mucho dinero público (por un par de pintadas en una pared), el juez terminó con un montón de archivos encriptados sin ninguna información útil información útil en su interior, y tal vez se lo piense dos veces antes de entregar otras investigaciones al astuto policía.
Por otro lado, sería bastante coherente con la probada falta de ética de OpenMailBox, pero, al fin y al cabo, no es más que un rumor no confirmado así que tómelo con un grano de sal (sin embargo, la persona lo publicó más de una vez).
En resumen: no hay política de privacidad, no hay soporte de cliente de correo (para cuentas para las cuentas gratuitas), sin respeto por el usuario. Sólo una forma de cobrar por su servicio servicio premium que sigue sin garantizarte ninguna privacidad (de hecho es un posible honeypot para los gobiernos). No hay razón para usar esto cuando tienes otros servicios gratuitos disponibles con más características, mejor privacidad, y una ética real.
Mailfence
Estamos en agosto de 2020, es hora de una actualización. En primer lugar, permítanme decir que no he podido registrarme a pesar de activar las cookies, JabbaShit, XHR y rellenar todos los campos correctamente varias veces. ¿El problema era Pale Moon o tal vez la VPN? Quién importa – si no puedo registrarme, el servicio es inútil. El nivel gratuito no soporta clientes de correo, así que para que MailFence valga la pena molestar, tienes que pagar (2,50 € al mes, se acepta Bitcoin). En por supuesto, la página principal contiene posturas de privacidad:
Creemos que la privacidad en línea es un derecho humano fundamental que no puede derecho humano fundamental que no puede darse por sentado, así que decidimos que era hora de ofrecer un servicio totalmente dedicado a la privacidad del correo electrónico.
Ya he oído eso antes. Veamos cómo se compagina esta afirmación con su política de privacidad (https://mailfence.com/en/privacy.jsp)…
Implementamos una instancia local de Matomo […]
Esta mierda de nuevo. Lee la sección de ProtonMail para ver lo vil que es.
Recogemos direcciones IP, identificadores de mensajes, direcciones de remitentes y destinatarios, asuntos, versiones de navegadores, países y marcas de tiempo.
Aquí ya hay una bandera roja. No se menciona cuánto tiempo permanecen estos datos pero tenemos una idea de cuánto tiempo almacenan tu correo electrónico:
Conservamos copias de seguridad de los mensajes y documentos eliminados durante 45 días.
Muy privado eres. Y luego viene esta excusa:
Esto es con el fin de restaurar los datos en caso de borrado accidental por parte de los usuarios. Después de 45 días, los datos serán permanentemente borrados de todos nuestros sistemas.
Sí claro: siempre es por el bien del usuario. Al final, su correo borrado permanecerá en los servidores durante 45 días, independientemente de la justificación. Y por si fuera poco…
Si cierras tu cuenta, todos los datos serán permanentemente borrados 30 días después de la fecha de caducidad legal (es decir, la ley belga impone 365 días después del cierre de la cuenta).
Así que tienes que esperar más de un año para que tu cuenta “borrada” sea realmente eliminada. Las leyes de privacidad belgas en ¡acción! Resumiendo: el servicio almacena muchos datos y es extrañamente extrañamente reservado sobre la duración, pero podemos suponer que está entre 45 y 395 días. El soporte del cliente de correo requiere pagar, y si vas a si vas a hacerlo, hay opciones mucho mejores. Así que olvídate de MailFence.
Safe-Mail (safe-mail.nl) (REGISTRO DESHABILITADO)
Vayamos directamente al meollo de la cuestión:
El equipo de Safe-Mail es un grupo de nerds con una visión clara sobre la privacidad. Y queremos dar a los demás la oportunidad de proteger su privacidad. Con una comunidad de Safe-Mail queremos que el mundo sepa que la privacidad es un derecho legal y estamos dispuestos a luchar por ella.
Grandioso, y sin embargo…
El proveedor no comprueba los mensajes ni ningún otro contenido almacenado en Safe-Mail.nl a menos que esté obligado por la ley a hacerlo (esto significa sólo cuando recibimos una orden judicial!!).
Entonces, ¿se puede comprobar los mensajes? De todos modos, no van a luchar contra las órdenes judiciales. Hasta aquí la postura de “la privacidad es un derecho legal”.
No tenemos ninguna información del usuario, excepto la información que nos da en el registro.
Desgraciadamente, esa información incluye mi nombre real y mi ciudad (supongo que puedo dar uno falso, pero aún así…).
Safe-Mail.nl no tiene una verdadera política de privacidad, así que todo lo que tenemos que hacer es ir por los fragmentos anteriores más una sección de sus preguntas frecuentes – ¿Qué se registra? – que dice:
Todo el sistema de Safe-Mail utiliza diferentes archivos de registro a los que tenemos que acceder cuando hay problemas con el sistema. Es lo que se llama llama mantenimiento y es importante para la salud de nuestro sistema Safe-Mail. Entendemos perfectamente que se sienta incómodo por la idea de que no es realmente anónimo, pero tampoco podemos decir que no registramos nada. Pero estamos convencidos de que los archivos de registro de más de 7 días no tienen ningún valor para nosotros. valor para nosotros. Especialmente cuando contiene valor de mantenimiento. Así que hemos decidimos que todos los registros con información “específica” sean eliminados del el servidor después de 7 días. Los archivos de registro sólo ocupan espacio y queremos ahorrarlo para asuntos más importantes. Esto no significa que se pueda abusar del sistema. Hay reglas y nuestra Supongo que todos ustedes saben cuáles son esas reglas. Luchamos por la privacidad aquí, pero condenamos las actividades ilegales. Por favor, piénsenlo bien y dos veces cuando utilicen el sistema Safe-Mail.
No hay muchos datos específicos -recuerda, la confidencialidad es una bandera roja- pero los datos “específicos” (sea lo que sea que eso signifique) supuestamente permanecen sólo 7 días.
La cuenta gratuita no admite clientes de correo. Sí aceptan bitcoins así que teóricamente, puedes tener una cuenta anónima con soporte de cliente de correo de correo. Incluso en la cuenta gratuita, puedes subir un certificado S/MIME para tener encriptación de extremo a extremo, sin embargo, a diferencia de PGP, esto se basa en confiar en una autoridad de certificación – similar a SSL.
Tal vez soy un poco duro en este caso – pero si los servicios gratuitos con soporte de cliente de correo están disponibles – que también no piden su nombre real – y que REALMENTE asomen la cabeza por su privacidad – entonces deberían ser utilizados.
Neomailbox
Sólo de pago – 50$ al año; se aceptan bitcoins. Soporte para clientes de correo. TOS prohíbe hablar mal del servicio (lol) – “no publicar o enviar comentarios falsos, maliciosos, difamatorios o calumniosos sobre Neomailbox o el servicio de atención al cliente de Neomailbox en cualquier forma online u offline”. ¿Qué pasa con la privacidad? No se menciona mucho excepto:
Guardamos registros del tráfico SMTP durante 6 meses para análisis de rendimiento y prevención de abusos. Los registros de navegación anónima se borrados cada 10 minutos.
Antes eran 2 meses, así que multiplicaron la duración por 3. Y los detalles del “tráfico SMTP” no se mencionan, por lo que debes asumir que es absolutamente todo. Y en otra parte de la web:
No guardamos registros ni datos de clientes más allá de lo que es absolutamente necesario para el ajuste del rendimiento y la supervisión de la seguridad de nuestros servidores. Su dirección IP no se guarda en nuestros registros. Todos los registros se borran cada 7 días.
Actualización: la parte de la IP ya no está en las FAQ, lo que confirma que sí almacenan tu IP. Pero espera, eso contradice la cita anterior. Así que no se explicaron claramente – eso es una como si no quisieran que supieras qué es lo que almacenan exactamente. Deberías asumir lo peor – es decir, que todo el contenido de tu correo y los metadatos se guardan durante 180 días. También está esto:
La siguiente declaración es cierta el 1 de enero de 2020: Neomailbox nunca ha cedido datos de clientes a ninguna agencia gubernamental u otra entidad.
Eso está muy bien. Sin embargo, el hecho es – no sólo tienes que pagar por tener tus datos almacenados durante medio año, sino que no puedes decir ni una mala palabra sobre ellos. Por algo positivo, Neomailbox tiene encriptación de disco y alias ilimitadas. Aun así, son de pago, guardan tus datos sin especificar durante 6 meses, y tienen cosas raras en sus ToS. Mi amigo también ha comprobado que uno de sus servidores de correo falla la prueba TLS – lo que significa que tu correo se envía sin cifrar. Podrías hacerlo mucho peor que Neomailbox – pero también mucho, mucho mejor.
Mailbox.org
Desde el primer momento, se te aplica el recaptcha de Google; esto es una injusticia absoluta, ya que Google es el epítome de las empresas de software espía. El servicio servicio también exige su nombre completo y el país. Permiten el registro y el uso a través de Tor. Se me pidió la verificación por SMS o correo electrónico para con el fin de restablecer la contraseña, esto fue sin embargo, opcional.
La política de privacidad establece que utilizan el software espía Matomo; es auto alojado, sin embargo, esto no los redime. Todavía es posible que que estos datos se filtren o se entreguen a las fuerzas del orden. Recogen una plétora de datos:
- Los tipos y versiones de navegador utilizados
- El sistema operativo utilizado por el sistema que accede
- El sitio web desde el que un sistema de acceso llega a nuestro sitio web (el llamado referrer)
- Las subpáginas a las que se accede a través de un sistema de acceso en nuestra página web
- La fecha y hora de acceso al sitio web
- Una dirección de protocolo de Internet (dirección IP)
- El sistema de acceso del proveedor de servicios de Internet
- Y “otros datos e información similares” con “fines de seguridad”; no debería haber absolutamente ninguna ambigüedad en una política de privacidad.
Dicen que recogen estos datos expresamente para proporcionárselos a las fuerzas de seguridad de la ley. Borrarán los datos si se les solicita; también detallan el período de borrado de datos concretos:
- WEBMAIL: La dirección IP y la hora de acceso se conservan durante 4 días, y luego se borran.
- SMTP: los metadatos de los mensajes (remitente, destinatario, ID del mensaje y tamaño de un correo electrónico enviado o recibido) se conservan durante 7 días y luego se borran
- POP3/IMAP: Cuenta, dirección IP, ID y tamaño de los mensajes borrados, ID y el tamaño y las ubicaciones de los correos electrónicos movidos; todo ello se conserva durante 4 días, y luego borrado
- Servidor POP3 remoto, inicio de sesión, contraseña, registro de recuperaciones POP3 recientes; se conserva durante 7 días y luego se borra
- WEBSITE: datos de registro con inicios de sesión + direcciones IP de origen en las últimas horas; conservados durante 4 días, luego borrados
La fiscalía y la policía alemanas tienen un acceso “fácil” a su base de datos. Las solicitudes “simples” no necesitan una orden judicial. No están no están legalmente autorizados a informar al cliente a cualquier solicitud de información. Tampoco se les permite impugnar la solicitud, y como tal, usted tiene ninguna protección.
El acceso a los datos de registro de los servidores de correo o web o al contenido del correo electrónico de un buzón requiere la decisión de un juez, a menos que las autoridades investigadoras puedan establecer directamente establecer un “peligro inminente”, en otras palabras, la policía puede simplemente gritar terrorista y pueden obtener cualquiera de tus datos.
Afirman que sólo revelarán los datos a las solicitudes obligatorias, “Tales solicitudes de información de la policía sin una orden judicial serán sin una orden judicial serán rechazadas por nosotros”.
Jugando con la interfaz web, no hay ni una sola solicitud de terceros.
En general mailbox.org es absolutamente pésimo para la privacidad. No sólo retienen una cantidad exorbitante de datos, sino que hacen todo lo posible para las autoridades y no intentan (o legalmente no pueden) protegerte en absoluto. NOTA: esta entrada ha sido enviada por Oreamnos; yo sólo he hecho mejoras gramaticales / de estructura. Gracias, Oreamnos
Secmail.pro
(secmail.pro)
Proveedor sólo de correo electrónico accesible a través de http://secmailw453j7piv.onion. No hay soporte para clientes de correo. El registro es libre de problemas con un simple captcha y no se requiere información personal. Tenga en cuenta que -aunque conexión a través de la cebolla significa que su dirección IP probablemente no será IP, secmail podría leer el contenido del correo. a menos que estén encriptados con PGP. Dado que la red Tor es un objetivo muy apetecible para varios espías, hace que la fiabilidad de secmail sea aún más importante más importante – y desafortunadamente, no pasan la prueba. El servicio no contiene política de privacidad – aunque tiene algunas afirmaciones vagas de que realmente se preocupan por su seguridad, hay cero información sobre lo que almacenan y por cuánto tiempo. Su dominio clearnet contiene sólo un enlace a la cebolla – sin embargo, no tiene SSL por lo que un atacante podría reescribir el enlace a su sitio de phishing y robar credenciales. De hecho, así es como SIGAINT, otro proveedor de correo electrónico, fue hackeado hace algún tiempo (https://securityaffairs.co/wordpress/36292/hacking/sigaint-hacked-by-intelligence.html):
“Estamos seguros de que no han entrado”, afirma la alerta. “Parece que han recurrido a reescribir la URL .onion ubicada en sigaint.org a una de las suyas para poder hacer MITM [man-in-the-middle] logins y espiar en tiempo real”
Otro investigador les escribió un correo electrónico (https://web.archive.org/web/20200201012905/https://geneticabhorrence.neocities.org/secmail.html) hace unos días en el que decían que no tienen tiempo para implementar SSL (están confiando en la detección automática de relés malos de la red Tor, que no es perfecta(https://web.archive.org/web/20150705184539/https:/chloe.re/2015/06/20/a-month-with-badonions/) – “En 32 días he encontrado 15 casos en los que un nodo está husmeando y usando mis credenciales”). Han tenido dos putos años para soportar SSL pero no lo hacen – y desde que saben sobre el hack de SIGAINT, haciéndose intencionalmente vulnerables a lo mismo significa que son ser muy incompetentes o un honeypot. Secmail también se ha negado a comentar sobre la falta de un dominio v3 (más seguro) más seguro; ¿tampoco tienen tiempo para eso? Todo lo que se necesita es una línea adicional en el archivo de configuración (https://2019.www.torproject.org/docs/tor-onion-service.html.en).
Cuando secmail empezó, se anunciaron en reddit (https://old.reddit.com/r/onions/comments/5tzjxx/secmail_secure_mail_service_in_the_deep_web/), donde recibieron muchas críticas. Por ejemplo, la configuración de su primer servidor usaba para revelar las versiones del sistema operativo y de PHP, lo que facilita mucho la entrada de los hackers -y en ese momento, ya llevaban más de seis meses “operando”. – ¿se puede decir incompetente? Así que, a pesar de las alianzas de seguridad y el encanto de la darknet, yo me mantendría alejado de esta. No tiene nada en nada sobre RiseUp, que también soporta dominios onion (¡también v3!). Lea una investigación más profunda de secmail aquí si está interesado (https://web.archive.org/web/20200201012905/https://geneticabhorrence.neocities.org/secmail.html).
CTemplar
Yo tenía una reseña de éste, y no era tan buena. Sin embargo, después de leer mi crítica, CTemplar me escribió un correo electrónico para decir que han cambiado la mayoría de los problemas (¡felicitaciones!). Como no quería información errónea, retiré la antigua reseña y ahora, por fin, he podido reescribirla. ahora por fin he podido reescribirla. Entonces, ¿merece la pena usar CTemplar usar ahora?
Yo seguiría diciendo – no realmente. En primer lugar, carece de soporte para clientes de correo que para mí es la cuestión más importante. No me interesa el webmail cuando nunca tendrá la cantidad de funciones que tiene mi cliente de correo y requiere habilitar JavaScript potencialmente malicioso en el navegador. Pero espera, CTemplar afirma que no pueden hacer eso (https://blog.ctemplar.com/ctemplar-checksum-implementation/) debido a las sumas de comprobación:
Actualmente todos los servicios de correo electrónico cifrado de extremo a extremo pueden hackear sus propios usuarios y descifrar todos sus datos excepto nosotros. Nosotros somos capaces de proporcionar este nivel de protección utilizando una implementación de sumas de comprobación que no se ha utilizado antes.
Hay dos problemas con esta afirmación. En primer lugar, la comparación de sumas de comprobación no requiere ninguna implementación especial – se puede hacer con cualquier servicio que comparta su código externamente (por ejemplo, en GitHub). Luego, sólo tienes que comparar ese código con el de tu navegador “Ver fuente” de tu navegador. Sin embargo, todos los proveedores de correo electrónico que he visto no comparten realmente el código que se ejecuta en el sitio – sólo los archivos para construirlo / generarlo. Afortunadamente, uno de los habituales de nuestro chat habituales emprendió el trabajo de construir CTemplar y después de varios intentos, no pudo. Incluso si lo consiguiera, tendrá que comparar las sumas de comprobación cada vez que utilice el sitio y para cada uno de los scripts que cargue. Claramente, esto es imposible en práctica, y por lo tanto inútil. Si realmente se preocuparan por esto, simplemente pondrían el código real en GitHub para que pudieras comparar directamente.
Por supuesto, incluso si consiguieras realizar la hercúlea hazaña anterior, esto no haría nada para garantizar que el código no es malicioso. Todavía tendrías que ir a inspeccionarlo para ver lo que hace, y se hace mucho más difícil si está ofuscado – que el de CTemplar resulta ser. Aunque no puedan dirigirse a ti específicamente sin ser expuestos a través de las sumas de comprobación (es decir, si usted pasó a compararlas en ese momento) – pueden simplemente atacar a todos, y luego incluso eliminar el código infractor al día siguiente antes de que nadie lo detecte que nadie lo detecte. ¿Ves? Las sumas de comprobación no hacen nada para proteger contra el código malicioso. Bien, basta de sumas de comprobación, veamos su política de privacidad (https://ctemplar.com/privacy):
Cuando usted visita nuestro sitio web, su navegador nos envía su agente de usuario y la dirección IP. Cuando abandona nuestro sitio no se guardan registros de su dirección IP con asociación a su cuenta. Almacenamos su IP de forma anónima durante 7 días.
Los “datos anonimizados” vuelven a asomar su fea cabeza. Lo que se almacena exactamente no lo sabe nadie.
Si decides eliminar tu cuenta, se borra todo y no se guardan registros ni copias de seguridad.
Ahora esa es una gran política que lamentablemente la mayoría de los proveedores no siguen. Por cierto, esto es aparentemente gracias a las “leyes de privacidad islandesas” – que son realmente una cosa a diferencia de, por ejemplo, las leyes de privacidad Suizas (un meme en este punto) que hacen cumplir 6 meses de almacenamiento de datos.
No revelaremos nada a terceros, excepto tu información de pago si decides comprar una cuenta de pago.
De nuevo, esta es la única forma de ser privado. CTemplar, por cierto, también permite los pagos en bitcoin, así que incluso si quieres una cuenta de pago, puedes evitar que tus datos se almacenen en cualquier lugar que no sea CTemplar.
Bien, me he saltado algunos apartados porque quiero abarcar la parte más importante en profundidad. Fíjate en esta cita:
Utilizamos un servicio CDN porque su uso es necesario para proporcionar una mejor experiencia sirviendo el contenido de nuestro sitio web estático rápidamente en todo el mundo. Nuestro servicio CDN también proporciona la protección necesaria contra los ataques DDOS contra ataques DDOS. Los CDN’s pueden teóricamente servir código malicioso a nuestros usuarios. Nuestro SRI & La implementación de Checksum ofrece protección contra el código malicioso servido por CDN’s.
Lo de las sumas de comprobación lo he analizado más arriba, así que déjame que te cuente brevemente qué es el SRI. Cada vez que un sitio incluye un recurso de un tercero (digamos, una biblioteca JavaScript o un estilo) – ese tercero podría en teóricamente modificar el archivo que se envía en cualquier momento. Para protegerse a sí mismo (y a los espectadores), el sitio podría adjuntar un parámetro de “integridad” al recurso con un hash que el navegador compararía con el archivo recibido compararía con el archivo recibido para asegurarse de que es lo que el sitio pretendía enviar. Si el hash no coincide, significa que el sitio que sirve el recurso, o algún otro tercero, manipuló el archivo. Sin embargo, esto funciona sólo para los recursos para los que el sitio añadió la etiqueta de integridad – el tercero entrometido podría seguir modificando cualquier otra cosa. El mayor problema, sin embargo, es qué tipo de CDN tenía CTemplar en mente (archivo):
Por ejemplo, si CTemplar recibe un ataque DDOS que no seamos capaces de manejar, pasaremos a usar Cloudflare.
Así que pondrán su sitio detrás del malvado Cloudflare en caso de un DDOS. Qué significa eso para sus afirmaciones sobre la ISR? Brevemente, lo que hace Cloudflare es proxy de toda la página (en lugar de un archivo específico o varios) – de modo que puede modificarla antes de servirla, incluyendo eliminar las comprobaciones de integridad si quisiera. Verás, SRI sólo puede proteger contra que un tercero modifique un archivo si no tiene acceso a la página que establece las comprobaciones de integridad – pero Cloudflare sí. Que CTemplar pretenda lo contrario significa que están que te están mintiendo o que no han investigado, lo cual es una mala noticia para su fiabilidad.
Con esto fuera del camino, vamos a los aspectos positivos de CTemplar. El registro no requiere datos personales ni ReCaptcha. La página principal afirma que ellos “nunca rastrean tu dirección IP, guardan registros de tu uso o registran cualquier información de identificación en cualquier momento”; lo cual es genial pero de nuevo -ya que han especificado “información de identificación”, debe haber recolección de algunos datos supuestamente no identificables – y estamos en la oscuridad en cuanto a lo que es. CTemplar proporciona un dominio de cebolla pero redirige a su clearnet one:
¡Vaya! Y yo que pensaba ser un buen chico y enumerar algunos aspectos positivos, pero parece que CTemplar no se lo merece. Podría indagar más, pero me parece infructuoso a estas alturas. CTemplar parece parece preocuparse por ti al menos un poco – ya que me enviaron un correo electrónico hace algunos meses y cambiaron algunos de los temas ofensivos. Pero pero siguen sin dar soporte a los clientes de correo (la característica más importante para un proveedor) y tienen otras fallas evidentes como la totalmente insegura e irrespetuoso del dominio onion a la clearnet. También también han hecho afirmaciones erróneas sobre las sumas de comprobación y la integridad de los subrecursos. llamarlo fraude o incompetencia, no me importa. Incluso si cambiaron cosas de nuevo, la reputación ha sido dañada irreversiblemente. Por mucho que me duela decirlo – porque realmente hay muchos proveedores mucho peores por ahí – evita CTemplar.
KolabNow
De pago, requiere un nombre real y una dirección de correo electrónico existente para activar. Acepta bitcoin. Lleno de posturas de privacidad, completo con la afirmación de estar protegido por fuertes leyes suizas de privacidad. Como ésta (https://www.fedlex.admin.ch/eli/cc/54/757_781_799/en#a144bis), por la que han recibido una solicitud de datos del gobierno que han cumplido:
Perjuicio a los datos 1. Toda persona que sin autorización altere, borre o inutilice datos almacenados o transmitidos electrónicamente o de alguna otra forma de manera similar, podrá ser condenado, previa denuncia, a una pena privativa de libertad no superior a tres años o a una sanción pecuniaria. tres años o a una pena pecuniaria. Si el infractor ha causado un daño importante, puede imponerse una pena privativa de libertad de de uno a cinco años. El delito se persigue de oficio. 2. Toda persona que fabrique, importe, comercialice, anuncie, ofrezca o haga accesibles de otro modo programas que sabe o debe suponer que serán para los fines descritos en el apartado 1 anterior, o proporcione instrucciones para la fabricación de dichos programas será castigado con una pena privativa de libertad no superior a tres años o a una sanción pecuniaria. Si el delincuente actúa con fines comerciales, podrá imponerse una pena privativa de libertad de uno a cinco años.
No entiendo exactamente lo que significa lo anterior -suena a hacking pero podría interpretarse de muchas maneras (incluso borrar tu propio correo podría encajar “borrar o inutilizar”). Exploro el tema de las “leyes” en profundidad en el final de este artículo, así que pasemos a la política de privacidad de KolabNow (https://kolabnow.com/privacy). No dice literalmente nada sobre qué datos almacenan realmente aparte de “Nosotros […] le garantizamos que no hay acceso de terceros a sus datos.” No hay información sobre la duración de la recogida de datos o la posibilidad de eliminar tu cuenta y qué hace realmente. Tal vez podamos encontrar algo en sus TOS (https://kolabnow.com/tos) entonces:
Sólo guardaremos el mínimo de registros e información de depuración necesaria para asegurar que podemos mejorar el servicio y resolver los problemas que puedan haber ocurrido.
Mínimo de registros – sí, eso nos dice mucho. Umm… quizás su Marco Legal (https://kolabnow.com/privacy/legal-framework) página tenga algo más concreto?
Son solicitudes de datos retenidos. Suiza tiene una requisito legal de seis meses de retención de datos por parte del proveedor. Los datos Los datos que se conservan son los metadatos de comunicación, es decir, la información sobre quién comunicación, es decir, información sobre quién se comunicó con quién, desde dónde y cuándo, pero no el contenido real de la comunicación. la comunicación.
Las leyes suizas de privacidad en acción – pero al menos ahora sabemos algo sobre la recopilación de datos de KolabNow. Por cierto, su informe de transparencia ha sido actualizado por última vez en 2017, por lo que podrían haber recibido más solicitudes desde entonces. De hecho, todo el sitio parece estar muerto (incluso su Twitter). En resumen, no veo una razón para usar este – pagado, pide nombre real, almacena 6 meses de metadatos y no revela nada útil en su política de privacidad. ¿Por qué el RiseUp gratuito puede almacenar los metadatos durante sólo un día – a pesar de estar alojado en los supuestamente Estados Unidos, mientras que el servicio con leyes de privacidad suizas súper estrictas no puede hacerlo el servicio con leyes de privacidad súper fuertes de Suiza? La compatibilidad con los clientes de correo es lo único positivo de KolabNow parece. Eso, y supongo que aceptar bitcoins – pero ya que puedes encontrar mejores proveedores que son gratuitos, ¿por qué molestarse?
Teknik
Requiere un código de invitación para registrarse. Soporta clientes de correo. Tiene una tiene una buena característica de (supongo) mostrar su clave PGP pública a los demás si si la proporcionas. La política de privacidad no dice mucho, sin embargo:
Usamos Piwik para rastrear la interacción de los usuarios con el sitio. Nosotros mantenemos alojado en el servidor de forma local, por lo que ningún dato analítico sale del servidor.
Piwik ha cambiado su nombre por el de Matomo recientemente, así que sólo tienes que leer la sección de ProtonMail para saber más sobre él.
Fechas – Cuando realices una acción (por ejemplo: registrar una cuenta), se registrará la fecha de la acción.
Supongo que esto va para todas las acciones. Entonces es absolutamente terrible. ¿Qué viene después?
Correos electrónicos – Cualquier correo electrónico que envíe o reciba con su dirección de correo electrónico de Teknik.io se almacena localmente en el servidor. Estos correos electrónicos no son leídos.
Gracias por no leer mi correo…y eso es todo para la política de privacidad de Teknik. No se menciona si el correo electrónico eliminado se borra realmente, si hay copias de seguridad, qué tipo de datos se comparten y bajo qué condiciones. Nada en absoluto. Bastante sospechoso, en mi opinión. EN MI OPINIÓN, ni siquiera vale la pena molestarse en obtener un código de invitación para esto, cuando existen mejores alternativas que no lo requieren. NOTA: El webmail puede conflicto con la extensión LinkBot si la utiliza, así que desactívela para este sitio web.
Tutanota
Actualización febrero 2020: Todo está como estaba pero se ha añadido información sobre el bloqueo de anonimizadores por parte de Tutanota. Con eso, la falta de de PGP y soporte de clientes de correo, es absolutamente inútil a pesar de su privacidad.
Este fue mi primer proveedor después de preocuparme por la privacidad y me deshice de Gmail y sus amigos. Eso fue antes de “profundizar” – no hace falta decir que ya no lo recomiendo. No es compatible con los clientes de correo; yo se que es algo que usan los dinosaurios, pero ahora no puedo vivir sin él. El cifrado funciona sólo si compartes previamente una contraseña con tus destinatarios (a menos que ellos también usen Tutanota, entonces es automático) – y eso, por supuesto, viene con sus propios problemas (¿cómo compartir la contraseña de forma segura) que PGP ya ha resuelto. Y como Tutanota sólo es accesible a través de webmail o su mierda de cliente de escritorio de escritorio (que es el mismo que el webmail parece), podrían fácilmente modificar el código para enviarse tu contraseña y poder descifrar tu mierda. Tutanota no soporta el uso de otro tipo de encriptación, como PGP (y de hecho se caga en él en su página web [https://tutanota.com/blog/posts/innovative-encryption/], a pesar de que es el único cifrado real de correo electrónico que puedes tener). A diferencia de lo que ocurre con ProtonMail, no ha habido ninguna auditoría de terceros sobre el cifrado de Tutanota. También hay esta política preocupante en lo que respecta al registro:
Para mantener el funcionamiento del servidor de correo electrónico, para el diagnóstico de errores y para la prevención de abusos, los registros del servidor de correo se almacenan un máximo de 7 días. Estos registros contienen las direcciones de correo electrónico del remitente y del destinatario y la hora de la conexión, pero no las direcciones IP de los clientes.
¿No hay direcciones IP? ¡¡¡Genial!!! Excepto si usas una VPN o Tor – “El almacenamiento sólo tiene lugar para las direcciones IP convertidas en anónimas que, por tanto, ya no son datos personales.” Es una excusa genial, ¿no? Has ocultado tu IP por lo que no es personal… excepto si Tor o la VPN se vieran comprometidos. Además, más tarde aprenderás cómo sólo los metadatos (que Tutanota almacena) pueden revelar mucho más acerca de usted de lo que nunca imaginó. Todo esto asumiendo que que puedas usar una VPN o Tor, pero Tutanota no ofrece esa opción:
El mensaje anterior aparece tanto con la VPN Snopyta como con Tor Browser – por lo tanto, no hay anonimato con el uber-privado Tutanota. Registrarse es gratis, pero estás limitado a una sola cuenta si no pagas. Si lo haces, prepárate para esto:
Para la ejecución de los pagos con tarjeta de crédito sus datos serán compartidos con nuestro proveedor de servicios de pago Braintree. Este incluye la transferencia de datos personales a un tercer país (EEUU)
Después dicen que tienen un “acuerdo” con esta empresa de que sólo utilizarán sus datos para la tramitación del pago – pero el valor de estos “acuerdos” es dudoso, en mi opinión. Su pago datos de pago se almacenan también durante quién sabe cuánto tiempo:
Los datos relacionados con el pedido y las direcciones asociadas al pedido se almacenan con respecto a los períodos de retención del derecho fiscal, contractual y comercial períodos de retención y se borran al final de esos períodos.
Resumen: bloquea los anonimizadores, no admite cliente de correo ni PGP soporte, almacena tu IP anonimizada y metadatos, almacenamiento indefinido (?) de datos de pago. Otro gigante de la privacidad que muerde el polvo.
Autistici
Un servicio para “activistas” que comienza con unas bonitas citas:
Creemos que este mundo está lejos de ser el mejor mundo posible. Respondemos a esto proporcionando a los activistas, grupos y colectivos plataformas para una comunicación más libre y herramientas digitales para la autodefensa de la privacidad.
Nuestros principios son bastante sencillos: el mundo no debe no debería funcionar con dinero, sino que debería estar arraigado en la solidaridad, la comunidad la ayuda mutua, la igualdad de derechos y libertades y la justicia social.
Creemos que la comunicación debe ser libre -y gratuita- y, por tanto, universalmente accesible.
Pero luego se va por las ramas con una política extremadamente restrictiva (https://www.inventati.org/who/policy.en) requerida para utilizarla – prohibiendo, en particular:
La discriminación por razón de género, raza, religión u orientación sexual
Lo cual está muy bien, salvo que históricamente se ha utilizado para, por ejemplo, prohibir el cosplay (https://www.sankakucomplex.com/2019/04/16/twitch-streamer-banned-for-blackface-cosplay/), memes (https://archive.vn/rKi7U), o gestos de manos (https://nekomimimo.de/archive/rambling/2019.04.06-white-power-symbol.html). Vayamos más allá:
Utilizar los Servicios con el fin de promocionar institucionalmente partidos políticos o cualquier otra organización que ya cuenta con los recursos financieros para difundir ampliamente sus propios contenidos e ideas
Hablar a favor de un político es un pecado según Autistici.
Utilizar los Servicios para cualquier fin militar, incluyendo información o material de formación sobre armas de fuego y técnicas de combate técnicas de combate, ciberguerra, desarrollo y fabricación de armas.
Olvídate también de los contenidos relacionados con la defensa personal. Y lo más divertido:
Utilizar los servicios para actividades relacionadas con la criptomoneda;
¿Qué tiene de malo la criptodivisa? Se podría pensar que se considera una alternativa (relativamente) anónima e incontrolada a las cuentas bancarias. De todas formas, no sabemos a qué se refieren exactamente con “promover partidos políticos”, por ejemplo, por lo que se desconoce la gravedad de lo aceptado por el ToS. De cualquier manera, si detectan que violas las políticas, estás fuera:
Si vemos que estás violando nuestros principios públicamente mientras usas nuestros servicios, no dudaremos en eliminar tu cuenta sin previo aviso.
Así que más vale que les des la razón o que te vuelvas bueno mintiendo/ocultando. Puedes leer más sobre las creencias de Autistici en Un breve cuento sobre por qué somos quienes somos y por qué hacemos lo que hacemos (https://www.autistici.org/who/telltale) Pasemos ahora a la recién redactada política de privacidad (https://www.inventati.org/who/privacy-policy.en) (de la que el Autistici ha desaparecido durante las dos últimas décadas). Empezando por lo malo:
Para detectar el abuso de nuestros servicios de correo electrónico, mantenemos seguimiento de los metadatos del correo electrónico (sólo el remitente y el destinatario del mensaje) para cada mensaje que pasa por nuestros sistemas. Estos registros se conservan durante 15 días.
Los metadatos son extremadamente reveladores – lo suficiente como para matar a gente (archivo) por ello. Y por qué es necesario almacenarlo durante 15 días cuando otros servicios de privacidad como Disroot se las arreglan con sólo 24 horas? Ahora bien, ya que este es el informe de correo electrónico, sólo cubriré brevemente su política para otros servicios que prestan:
Cuando interactúas con nuestra plataforma o Servicios, tanto si tiene una cuenta o no, el intercambio automático de información entre su cliente y nuestros servidores nos proporcionará algunos datos no personales, incluyendo, sin limitación, datos relativos al navegador que está utilizando (tipo de navegador, si es un dispositivo móvil/de escritorio móvil/de escritorio, versión del sistema operativo, idioma preferido), la fecha y la hora de su visita y el sitio web de referencia, pero no su dirección IP.
Ya he escrito antes sobre los peligros de los “datos anónimos”, así que sólo responderé brevemente. Todos los datos que recoge Autistici son ciertamente vulnerables a la huella digital del navegador, y no sabemos en qué su supuesta anonimización. “Los sitios web de referencia” podrían también utilizarse para crear un perfil de los intereses de alguien para posiblemente conectarlo con su identidad en la vida real. Qué tal lo bueno?
Autistici controla sus servidores y utiliza la encriptación del disco. Cuando borras tu cuenta, ésta desaparece por completo en 3 días. No hay terceros de datos de terceros. La información personal no es necesaria para registrarse, pero usted pero tienes que rellenar una solicitud – que ellos comprobarán si está de acuerdo con sus creencias, como por ejemplo:
Apoyamos a individuos, colectivos, comunidades, grupos y etcétera cuyas actividades políticas y sociales encajan en esta cosmovisión y que comparten con nosotros algunos principios fundamentales: antifascismo, antirracismo, antisexismo, antimilitarismo. Y además, hay que compartir nuestra actitud básica hacia el dinero y el mundo capitalista: un profundo sentimiento de malestar e inquietud.
Se lo toman realmente en serio, tanto que me pidieron dos veces que estuviera realmente de acuerdo con su ideología antes de dejarme pasar. Como se ha dicho antes, Autistici borrará tu cuenta si te encuentra haciendo algo contrario. En otras partes de su sitio (https://www.autistici.org/who/manifesto), afirman que no guardan ningún tipo de registro – pero supongo que eso ha sido superado por la reciente política de privacidad.
Autistici tiene un dominio de la cebolla que no parece funcionar muy bien. Cuando les escribí un correo electrónico notificándoles el fallo de su cebolla, lo han ignorado. Recientemente, el El servicio de correo electrónico de Autistici también ha estado descontento durante varios meses seguidos. Claro, lo entiendo: se financian enteramente con donaciones, lo que sea. Sin embargo, seguro que podríais haber conseguido que alguien arreglara las cosas en un plazo mucho más corto tiempo. En definitiva, para una cuenta principal, yo no recomiendo Autistici aunque por supuesto sigue siendo superior a los grandes violadores de la privacidad. privacidad. Pero con servicios como este, siempre existe el peligro de que alguien te delate por violar su ideología, o que ellos mismos lo descubran de alguna manera. Así que, a menos que seas un activista SJW, tendrás que preocuparte por la autocensura. Sin embargo, con lo incompetente que parece ser Autistici (estando caído durante medio año, y teniendo información incorrecta en su política de privacidad antes de que yo les informara, a pesar de haber sido supuestamente redactada con la ayuda de varios abogados), podría no ser un problema real. Recuerde, también, que incluso los servicios no centrados en la ideología tienen restrictivos, sólo que tal vez en otros aspectos. Así que es un caso de elige tu veneno la mayor parte del tiempo. Autistici ha existido desde 2001 y tiene una misión, por lo que seguramente se mantendrá, al menos.
StartMail
(https://www.startmail.com/en/)
De pago (5 dólares / mes, 5 veces más que los mejores Posteo y Elude) con una prueba gratuita de 30 días. Curiosamente, el webmail te dice que no puede enviar correo – pero sí funciona con el cliente. Se requiere JavaScript para iniciar sesión iniciar sesión. Se permite el uso de Tor, pero no proporciona ningún dominio onion. La versión de pago tiene direcciones de correo electrónico desechables (a’la airmail) y cifrado OpenPGP. Pero como siempre, lo más importante es su política de recogida de datos. En realmente siguen su “Privacidad. No es sólo nuestra política. Es nuestra misión.” ¿Eslogan? Vamos a averiguarlo. Primero, su página web:
Los datos que se recogen y procesan en su página web incluyen: tu dirección IP, tipo y versión de navegador y sistema operativo, configuración de configuración del idioma, país, fecha y hora, origen de su visita, así como así como los enlaces que has pulsado y las páginas visitadas de su sitio web. Hmm, esto último suena sospechoso. Me pregunto cómo lo justifican. ” para ayudarnos a hacernos una idea de cuáles de nuestras páginas parecen ser eficaces para informar a nuestros visitantes”. ¿Y el origen de su visita? “para evaluar el éxito de nuestros esfuerzos de optimización de motores de búsqueda y de difusión de información”. ¿Y el país? “para saber en qué países y en qué momentos nuestros esfuerzos de marketing parecen ser efectivos.” Suena a buen seguimiento para mí. Afirman que estos datos son luego “eliminados o anonimizados”, pero lo que sea. No sé tú, pero yo no quiero ser parte de su experimentos de “marketing” y “difusión de información” – anonimizados o no. ¿Qué tal el servicio de correo?
El gran problema: la política de privacidad de StartMail (https://www.startmail.com/en/privacy/) es extremadamente larga, y sin embargo se las arregla para no decir lo que realmente almacena o la duración. Lo único que se nos dice es lo que ocurre cuando se borran los datos:
Cuando se elimina un correo electrónico, se borra inmediatamente de nuestros servidores de producción, a diferencia de lo que ocurre con muchos otros proveedores de proveedores de correo web. Sólo en las copias de seguridad externas (que están totalmente encriptadas, por supuesto) permanecerá una copia durante el periodo máximo de conservación de tres años. por supuesto) una copia permanecerá durante el período máximo de retención de tres días. Su cuenta se conservará mientras nuestro contrato siga vigente. vigente. Cuando un Acuerdo se resuelva por completo, todos los datos contenidos en la Cuenta, incluidos todos los correos electrónicos, se eliminarán de forma permanente.
Así como su política de atención a las solicitudes:
No atenderemos las solicitudes de otras autoridades que no sean que no sean las autoridades holandesas. Si recibimos una solicitud de cualquier gobierno gobierno extranjero, nos negaremos a cumplir y en su lugar remitiremos al solicitud a las autoridades neerlandesas para que se preste asistencia mutua. asistencia mutua.
StartMail nunca cooperará con ningún programa de programas de vigilancia. En virtud de las sólidas leyes actuales que protegen el derecho a la privacidad en Europa, los gobiernos europeos no pueden obligar legalmente a proveedores de servicios como StartMail a implementar un programa de espionaje general a sus usuarios. Si esto cambiara, utilizaremos todos los métodos a nuestro alcance para resistirnos.
No accederemos a ninguna solicitud de terceros privados privados para proporcionar información sobre nuestros usuarios, a menos que recibamos una orden judicial holandesa válida a tal efecto.
Aunque está bien que no compartan tus cosas con los fisgones sin una orden judicial válida, además de tener una política de borrado sana – no nos no nos dejemos engañar. No se dice ni una palabra sobre el almacenamiento de su contenido de correo electrónico y los metadatos, que es la parte más importante parte de una política de privacidad – y sin embargo no existe aquí. Hay una cosa más que quizás quieras saber. Como el servicio es de pago, y no aceptan bitcoins, no serás anónimo. Y guardan la información de los pagos durante 7 años – “Guardamos las facturas durante 7 años, o el periodo que pueda prescribir la legislación fiscal aplicable.” Y, según la Wikipedia, las facturas contienen datos personales, como tu nombre. A pesar de mucho postureo, no puedo recomendar StartMail mientras nos mientras nos mantengan en la oscuridad en cuanto a la información más importante. Además, recuerde que hace algún tiempo, StartPage fue comprado por una gran corporación recolectora de datos (https://web.archive.org/web/20200202053815/http://techrights.org/2019/10/16/startpage-is-surveillance/)- y aunque ellos alegan que StartMail es una entidad separada, sería ingenuo pensar que esas cosas no se derramarán.
Dismail
Requiere enviarles un mensaje XMPP antes de obtener acceso a su cuenta de correo electrónico, pero la activación parece automática. El registro no requiere información personal y es posible a través de TOR (no hay dominios dominios). Soporta clientes de correo. La política de privacidad en inglés (https://dismail.de/privacy.html) ha sido sustituida por la política en alemán (https://dismail.de/datenschutz.html) que un miembro de nuestro chat me ha traducido amablemente. Todos sus correos contenido, archivos adjuntos, asuntos, remitentes, destinatarios, tamaño de los mensajes, la última fecha de acceso y las direcciones IP se almacenan durante 7 días como mínimo. Esto es mucho peor que lo que tenía la versión anterior y hace que Dismail sea un infractor. El ToS (https://dismail.de/tos.html) también es bastante restrictivo:
El envío de mensajes con el objetivo de dañar o destruir, violar la intimidad, infringir la propiedad intelectual, para emitir declaraciones ofensivas, fraudulentas, obscenas, racistas, xenófobas discriminatorias, o cualquier otra forma de contenido prohibido por la ley.
En otras palabras, más o menos la lista de temas de victimización favoritos de SJW. Además, nada de porno, nada de violaciones de derechos de autor, nada de “abusar de otros” y nada de “software para eludir la protección anticopia”. lo que podría incluir incluso a los clientes de torrents según una definición imprecisa. Al parecer, sólo un tipo dirige Dismail, por lo que podría caer si se se aburre. No es que quieras usarlo cuando hay alternativas mucho mejores alternativas. Aunque – en un apuro – permite el registro de TOR sin datos personales o recaptcha, así como soporte de cliente de correo, por lo que es decente, por lo menos.
Migadu
Un amigo me ha dado a conocer este y lo ha calificado como su favorito, pero no me gusta por varias razones:
- Es de pago – eso por sí solo no lo mata, pero lo gratuito debería ser preferible
- Hay que pagar todo el año (19 dólares) por adelantado si se quiere el plan Micro, que es el más barato. Los otros planes son extremadamente caros y yo diría que no vale la pena para un simple proveedor de correo electrónico.
- Tienes que contactar con ellos personalmente si quieres pagar con Bitcoin, pero al menos admiten la opción
- No proporcionan un dominio, por lo que debes comprar el tuyo propio que supone un coste adicional
- El plan Micro permite sólo 20 mensajes salientes al día, lo cual es algo bajo. Para ser honesto, nunca llego a ello con mi propio uso del correo electrónico, pero dependiendo de lo que hagas, 20 puede ser fácilmente demasiado poco.
- Exigen que les des tu nombre real para registrarte
- Exigen una cuenta de correo electrónico existente; las temporales están prohibidas
- Guardan tus mensajes salientes hasta 30 días
- Almacenan sus direcciones IP, pero afirman que están “anonimizadas”; sin embargo, no se le informa de cómo se logra esto.
- Los datos del inventario se almacenan hasta dos años, y posiblemente más si se aplican algunas cosas legales no especificadas.
Así que Migadu es un proveedor de pago que necesita un dominio y cuya privacidad no es tan grande. Al menos permiten pagos con Bitcoin y admiten clientes de correo. En general, no me impresiona y preferiría ir por Disroot, RiseUp o Posteo / CounterMail si el dinero no es un problema.
Cock.li
Suena bien a primera vista – soporta clientes de correo (aunque Claws Mail no pudo detectar automáticamente la configuración y requirió una configuración manual), no pide información personal, “permite el registro y el uso usando Tor y otros servicios de privacidad,” y “está dirigido por “algún tío”, no por una empresa”. Entonces, ¿es este el servicio a utilizar? Para ello, habrá que ver qué datos recoge, como siempre:
Los registros IMAP y SMTP incluyen: Cuando se envía un correo electrónico, el nombre de usuario, la dirección de correo electrónico de destino y información sobre la conexión (como la dirección IP, información sobre la cuota) Cuando se conecta a IMAP, la dirección IP y el nombre de usuario (si lo hay) con los que se está con el que se ha iniciado la sesión, y si el inicio de sesión ha sido satisfactorio
Estos, según la política de privacidad de cock.li (https://cock.li/privacy), se almacenan entre 48 y 72 horas. Cuando visitas su página web, cock.li almacena esta información: “Los registros de acceso HTTP que contienen tu dirección IP, el agente de usuario y el tipo/ubicación de tus peticiones”. Dicen que no está relacionado con tu cuenta, pero sería trivial conectarlos.
La política de privacidad de Cock.li es un poco confusa en ese punto, pero parece que puedes borrar todos tus datos manualmente -aparte de la la información de registro- y desaparecerán inmediatamente. La eliminación de los últimos requiere borrar tu cuenta, pero incluso así, esos datos se conservarán durante 30 días.
Hay que felicitar a Cock.li por su honestidad. La política de privacidad y los ToS son cortas y directas al grano. Admite que puede leer tu correo y que coopera plenamente con las fuerzas del orden; la transparencia y los transparencia y los informes de donaciones. Sin embargo, hay otra cosa que que te interese saber…
(https://arstechnica.com/tech-policy/2015/12/cock-li-e-mail-server-seized-by-german-authorities-admin-announces/).
“Eso significa que las claves SSL y las claves privadas y el contenido completo del correo de todos 64.500 de mis usuarios, así como las contraseñas con hash, el tiempo de registro y los últimos siete días de registros fueron confiscados y ahora están en manos de las autoridades alemanas,
Sí… quiero decir, ¿podría haber ido peor? Las víctimas de esta violación probablemente estaban deseando que nunca les importara esto de la “privacidad” y seguir usando Gmail, jaja. Además, olvídate de tener un nombre de dominio nombre de dominio con este tipo – son todos chistes de mierda sobre pollas, violaciones memes como blazeit y otros que preferiría no mostrar a la mayoría de la gente. Otro tema realmente significativo es la frecuencia con la que se bloquea el dominio cock.li en varios sitios. Teniendo esto en cuenta, ya no puedo decir que sea una buena opción en absoluto. Al menos tiene un dominio cebolla en http://mail.cockmailwwfvrtqj.onion/; sin embargo, esto no impide que lean tu correo o que almacenen los metadatos.
Paranoid
Se autoproclama como una empresa extremadamente basada en la privacidad, con citas como Nuestra misión es devolver la sensación de privacidad a las personas. y Devolver la privacidad a la comunicación diaria por correo electrónico y hacerla lo más popular posible. Sin embargo, el servicio no tiene política de privacidad, por lo que no se puede saber qué es lo que realmente almacenan. Dicen que son “PROBABLEMENTE LA ÚNICA CAJA DE CORREO ENCRITADA CON OPENPGP”, pero eso no es realmente cierto – incluso los temidos ProtonMail y MailFence tienen eso (aunque la implementación es peor). Soporta clientes de correo y tiene un dominio de cebolla. Aquí está la gran cosa sin embargo – Paranoid requiere una invitación, que intenté conseguir hace unos días. Primero, me dijo que mi cock.li es “desechable” y no será aceptado. Entonces me registré con una cuenta real de cuenta disroot y -aunque el mensaje sobre los servicios desechables no apareció- seguí sin recibir respuesta en 5 días más o menos. Uno de mis contactos dice que sus amigos enviaron solicitudes hace meses que aún no son aceptadas. Así, independientemente de su privacidad, Paranoid parece ser bastante inútil.
Actualización febrero 2020: Lo anterior es lo que escribí hace muy tiempo atrás. Luego, el servicio se cayó al poco tiempo por lo que asumí que está muerto. Ahora ha vuelto y uno de mis contactos estaba impresionado con él, así que he investigue de nuevo. Todo lo que escribí arriba sigue siendo cierto, excepto que también intenté registrarme con mi alias de correo electrónico de RiseUp, y me rechazaron rechazado por usar una “dirección desechable”. Sin embargo, el contacto logró pasar el proceso así que hicimos algunas pruebas. El paranoico afirma que:
Si un remitente no puede cifrar el eMail que se enviará a su
casilla de @PARANOID – lo cifraremos por usted usando su clave pública – la única clave que almacenamos.
Esto es cierto. Cualquier correo electrónico enviado a una dirección de Paranoid será encriptado por ellos con tu clave pública (que tendrás que generar y subir). Sin embargo, ya que el cifrado es realizado por Paranoid – ellos (al igual que el servidor del remitente) como el servidor del remitente) pueden ver el contenido; y como no tienen política de privacidad, no sabemos qué hacen con eso. Veamos otra cita:
@2048.email & @4096.email los alias pueden recibir eMails encriptados eMails encriptados. Comprobaremos para usted, si un eMail, que ha sido enviado a a usted, está encriptado.
A menos que lo hayamos entendido mal – lo anterior es falso. Yo he enviado un E-mail sin encriptar a esas dos direcciones, y mi amigo los ha recibido, donde según la reclamación – deberían haber sido “rebotados” de vuelta a a mí. Sin embargo, recibí un mensaje que implicaba que los correos electrónicos no codificados no fueron enviados:
Estimado propietario de la dirección de correo electrónico gatooscuro@protonmail.com, recientemente ha enviado un correo electrónico a la dirección email_redacted@4096.email que se encuentra en el dominio 4096.email proporcionado por el servicio Paranoid.EMAIL. Este usuario no acepta correos electrónicos sin cifrar. Por favor, cifre el correo electrónico utilizando PGP y envíelo de nuevo. Si no conoces la clave puedes pedirla usando este email email_redacted@paranoid.email Para evitar volver a ver este mensaje de “rebote” en el futuro, puede empezar a enviar mensajes de correo electrónico cifrados con OpenPGP al destinatario (si ya está familiarizado con OpenPGP/GnuPG) o, alternativamente, puede convertirse en un probador de nuestro nuevo servicio de correo electrónico cifrado…
Por supuesto, incluso si no los recibiera, todavía habrían viajado sin cifrar desde mi máquina, a través de mi proveedor, terminando en Paranoid (con muchos otros puntos intermedios). Por lo tanto, el no ser capaz de leerlos no proporcionaría ninguna seguridad. ¿Qué logra el “rebote” ¿entonces? Posiblemente (en algún mundo alternativo…) conseguir que el otro tipo para cifrar usando PGP – sin embargo, para tener el extremo real a cifrado de extremo a extremo, esa persona tendría que generar también sus propias claves, lo cual – para la gran mayoría de la gente- es insuperable. También hay que recordar que lo anterior se aplica sólo a los alias 4096 y 2048 – se puede seguir dando el normal “paranoid.email” para evitar el rebote.
Lo anterior, sin embargo, sigue siendo la mejor implementación de PGP que puedes tener sin PGP propiamente dicho. Por lo menos no están haciendo el descifrado en el navegador, o peor – almacenar su clave privada como ProtonMail. De hecho, están específicamente advirtiendo contra esos enfoques. No sólo hay ninguna seguridad u otras desventajas en lo que hace Paranoid, sino que incluso existen algunas ventajas. Los mensajes que reciben estarán encriptados durante al menos una parte del trayecto sin que la otra persona (de nuevo, debes subir tu clave PGP pública pública), y puede que “conviertas” a algunas personas a la encriptación real de extremo a extremo en PGP (a costa de molestar a algunos otros).
A pesar de todo lo anterior, Paranoid es realmente un buen servicio de correo electrónico. Es una mierda que consideren tantas direcciones de correo electrónico reales como “desechables”, pero ¿qué se puede hacer? Si superas eso, puedes registrarte de forma gratuita a través de anonimizadores y sin proporcionar ningún dato personal – lo que ya está muy por encima de lo que hacen muchos otros. También se dan cuenta de los peligros del webmail y ni siquiera lo proporcionan – por lo tanto, hay que utilizarlos a través de un cliente de correo. Un dominio onion también está disponible. Los mayores problemas (aparte de los de de registrarse) es que no tienen una política de privacidad y que hacen algunas declaraciones extrañas en su página principal – sin embargo, el idioma es claramente una barrera aquí. En resumen, no puedo recomendar éste con los problemas de registro, así como no tener una política de privacidad – pero es mejor que la mayoría de los otros supuestamente privados que se enumeran aquí.
Cotse
(https://cotse.net)
Un lector me ha puesto al tanto de este, y me parece especialmente bueno así que fustigo esta reseña inmediatamente. Actualización: lo siento, parece que se me ha escapado una información importante: el servicio es peor de lo que pensaba. Sigue leyendo:
En primer lugar, su página web es refrescantemente sencilla y fácil de navegar. Compárese con algo como Proton o Runbox con sus enormes fuentes, espacios intermedios aleatorios y eslóganes engañosos. O Criptext, que ni siquiera muestra nada sin activar JavaScript (el sitio de Cotse no tiene scripts).
Pero pasemos a lo que realmente importa, que es el funcionamiento interno del servicio. Cotse es un proveedor de pago, y hay que pagar medio año por completo, lo que viene a ser unos 4 USD al mes (similar a CounterMail). No aceptan bitcoin – pero hacen efectivo por correo (https://www.cotse.net/subscribe.html):
También aceptamos cheques, giros postales y dinero en efectivo enviado por correo ordinario
Esta es la opción preferida desde el punto de vista del anonimato. La política de privacidad (https://cotse.net/privacypolicy.html) dice amablemente a los anunciantes que se jodan, y también admite que lucharán contra cualquier intento de recibir información. Pero, ¿qué es lo que realmente registran?
Y aquí es donde empiezan a aparecer las grietas de Cotse. Su página de registro (https://cotse.net/logging.html) comienza con información sobre cómo funciona el registro y por qué un servicio de correo electrónico no puede funcionar sin él. Cotse incluso muestra amablemente el aspecto de los registros SMTP reales:
18 de noviembre 13:25:23 www mta[12345]: AUTH=servidor, relay=dominio.com [127.0.0.1] (puede ser falsificado), authid=cuenta, mech= Nov 18 13:25:23 www mta[12345]: XXXmpe12345: from=, size=405, class=0, nrcpts=1, msgid=, proto=ESMTP, daemon=TLSMTA, relay=domain.com [127.0.0.1] (may be forged) 18 de noviembre 13:25:23 www mta[12346]: XXXmpe12345: to=, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=12345, relay=máquinareceptora.dominio.com. [receivingmachineIP], dsn=2.0.0, stat=Sent (iAIIPOAb089975 Mensaje aceptado para la entrega)
Estos parecen indicar que la dirección IP del cliente no está almacenada – es decir, está configurada en 127.0.0.1 (el localhost) y no puede identificarla. Desgraciadamente, en otra página (https://cotse.net/legal-process.html), admiten que eso es erróneo:
- Direcciones IP de inicio de sesión y marcas de tiempo asociadas. (Sólo disponible desde los últimos cinco días.)
Esta es la parte que he pasado por alto durante la revisión anterior (¡un recordatorio de siempre indagar en profundidad!), y en cierto modo condena a Cotse. Es una lástima, porque realmente pensé que podría felicitarlos por su honestidad, pero ahora no puedo en buena conciencia (son mejores que la mayoría en este apartado, sin embargo). El servicio sigue siendo bueno, pero ahora no se puede comparar con los que no guardan su IP. Cotse no guarda el contenido de tus mensajes:
Ninguno de nuestros logs registra el datastream, como en contenido del correo electrónico
Tampoco hay copias de seguridad: Las copias de seguridad automáticas pueden comprometer tu privacidad porque hay una copia de seguridad que embargar de algo que has borrado. Por eso no hacemos copias de seguridad de ningún dato del usuario, ni del correo electrónico ni del espacio web.
Que en realidad es la única opción que respeta la privacidad; gracias a esto, te aseguras que después de cinco días, no queda ningún registro. Aún así, cinco días es un poco largo comparado con otros servicios (por ejemplo Disroot) que pueden arreglárselas con 24 horas de alguna manera; pero sigue siendo mejor que lo que casi todo el mundo está haciendo. Los clientes de correo electrónico son, por supuesto, compatibles (si no lo fueran, ni siquiera me molestaría en revisar el servicio) – y puedes descargar los correos electrónicos usando POP3, que también los eliminará del servidor. Hay muchos dominios disponibles, incluyendo el uso de los propios. Hay muchas opciones de filtrado de spam (https://cotse.net/services-email.html), pero no estás obligado a usar ninguna de ellas, así que no hay que preocuparse de que los correos electrónicos sean rechazados al azar (como lo que hace a veces Disroot). Cotse también tiene una función de alias similar a la de RiseUp:
Te damos direcciones ilimitadas en veinte dominios más direcciones ilimitadas en cualquiera de tus propios dominios registrados a medida. Esto es para que puedas dar a cada lugar que solicite una dirección de correo electrónico su propia dirección personalizada.
Sin embargo, no funciona tan bien, porque revela tu cuenta real (https://cotse.net/email-domains.html) en el alias:
Para gran parte de tus necesidades de correo electrónico, puedes crear alias ilimitados de la forma (alias)@(tunombre).cotse.net, sin los paréntesis.
Así, si alguien visita el sitio de Cotse y aprende cómo funciona la función de alias, puede averiguar que su dirección de correo electrónico principal es “yourname@cotse.net”. Aun así, la función debería funcionar bien contra los bots. No hay Biblia de cosas prohibidas (https://cotse.net/restrictions.html):
Tenemos tolerancia cero con el fraude, el spam, el acoso, el robo, las amenazas terroristas, el cracking o el ataque DoS a otros servidores, o la pornografía infantil.
Esto es menos de lo que tiene cualquier otro proveedor. En fin, resumiendo: Cotse es un servicio bastante caro y de buena calidad. Los principales defectos son que almacena tu dirección IP durante cinco días y que no acepta pagos con Bitcoin. Cotse existe desde 1999, así que hay poco peligro de que caiga. Es una buena opción si no te fías de los comunistas – ¡sólo recuerda usar siempre anonimizadores cuando lo utilices!
CounterMail
Mi antigua reseña de este servicio fue algo deslucida, así que permítanme intentarlo de nuevo. En primer lugar, CounterMail ahora requiere un código de invitación para registrarse – pero a diferencia de RiseUp, también es un servicio de pago. El precio es de 29 dólares por seis meses – y eso es lo mínimo que se puede pagar; afortunadamente se acepta Bitcoin. Hay que habilitar JavaScript para el registro; no hay captchas ni bloqueo de anonimizadores. Hay un nivel gratuito que es bastante inútil, ya que ni siquiera es compatible con los clientes de correo y tiene un montón de restricciones en términos de destinatarios de correo electrónico.
Al registrarse, CounterMail generará un par de claves PGP, que se utilizarán para encriptar todo el correo electrónico entrante y saliente si es posible. Si su destinatario es otro usuario de CounterMail, los mensajes se cifrarán automáticamente durante todo el trayecto. De lo contrario, serán enviados en claro desde su destinatario hasta que lleguen a los servidores de CounterMail, y luego encriptados de vuelta a usted. El problema con todo esto es, por supuesto, que CounterMail almacena tu clave privada en su servidor. Ellos alegan que sólo se almacena encriptada con tu contraseña, pero podrían robarla fácilmente ya que debes escribirla para iniciar sesión cada vez. Aun así, incluso ese tipo de encriptación es mejor que el texto plano, ya que al menos los intermediarios no pueden acceder a tus mensajes, incluso si no confías en CounterMail. Pero nada se compara con el PGP que usted maneja localmente, siempre y cuando su destinatario sea capaz de hacerlo también.
Política de privacidad (https://countermail.com/?p=privacy) dice que las direcciones IP no se almacenan, pero te mantiene en la oscuridad con respecto a cualquier otra información. Los clientes de correo están soportados en el nivel de pago (que no me molesté en pagar, y por lo tanto no pude probar). Por 15$ adicionales, tienes la opción de usar tu propio dominio. Hay una característica de alias que realmente funciona correctamente , no revela su cuenta real en el alias – algo que sólo RiseUp ha logrado hacer de otra manera. Hay un montón de funciones exclusivas de webmail que no me importan, porque bueno… son sólo de webmail. Los ToS (https://countermail.com/?p=terms) son bastante laxos, sólo prohíben cosas que son ilegales en Suecia, así como el spam. Para ser honesto, tengo problemas para calificar este servicio. Parece que se preocupan mucho por la privacidad y la seguridad, pero por alguna razón no te dicen exactamente qué almacenan y durante cuánto tiempo. El precio también es bastante alto – más de cuatro veces la cantidad de Posteo, por ejemplo. En general, CounterMail está bastante bien diría yo, pero es una especie de caja negra en cuanto a los datos que se recogen. Prefiero algo más transparente, como el ya mencionado Posteo, o RiseUp, aunque carezcan de algunas de las características de CounterMail (como los servidores sin disco).
Posteo
Su política de privacidad (https://posteo.de/en/site/privacy_policy) comienza de forma muy prometedora:
no guardamos estrictamente ninguna dirección IP que pueda ser rastreada hasta los clientes. […] Esto ha sido confirmado de forma independiente en un informe de auditoría realizado por el Comisionado Federal de Protección de Datos de Alemania.
La auditoría está en alemán por lo que no puedo confirmar lo que realmente se comprobó, sin embargo está bien que se hayan molestado en hacerlo.
Tampoco recogemos ni guardamos tu dirección IP si utilizas un cliente externo para recuperar sus correos electrónicos a través de IMAP o POP3 o para transmitir mensajes vía SMTP para ser entregados por nosotros.
Entonces, si utilizas un cliente de correo, tu IP no se almacena en absoluto. Y qué pasa con el contenido del correo? Posteo no parece decir directamente qué se almacena y durante cuánto tiempo, además de que se puede borrar:
Cuando borras los datos de contenido, se borran inmediatamente. Si los datos han sido respaldados en una de nuestras copias de seguridad diarias, se permanecerán allí durante 7 días más hasta que se eliminen por completo.
Así que puedes borrar tu correo en cualquier momento, y desaparece salvo la copia de seguridad. No está mal; también puedes encriptar la copia de seguridad:
Además, ofrecemos la posibilidad de cifrar todos los correos electrónicos, notas, contactos y entradas del calendario que se guardan en Posteo individualmente con la contraseña de la cuenta (cifrado AES).
Posteo es un servicio de pago (1 € al mes), aunque alega que los datos de pago son anónimos (es decir, no están conectados a su cuenta); puede leer más sobre esto aquí (https://posteo.de/en/site/payment). Sin embargo, no está claro lo que realmente se guarda – por un lado, dicen que “A pesar del cambio en la ley, todavía no guardamos ninguna información de usuario de nuestros clientes”; y por otro – “Para los pagos de PayPal: La hora y la fecha de un pago, el importe, y el nombre del pagador”. Los datos se almacenan durante 10 años; dicen que no están conectados a la cuenta del usuario, pero tendrás que confiar en su palabra. En efectivo El pago por carta también está disponible. Independientemente de las afirmaciones de Posteo, usted de los datos personales a alguien, ya sea PayPal, su banco o la oficina de correos, su banco, o la oficina de correos – y esta es mi mayor queja con el servicio. Pónganse al día y acepten Bitcoin de una vez… De todos modos, ya que ya que he hecho esto para Disroot, RiseUp y Autistici, vamos a ver qué hace el ToS de Posteo:
5.3 El cliente no utilizará el servicio de correo electrónico para enviar publicidad con fines comerciales por correo electrónico o para enviar correos electrónicos a una multitud de destinatarios.
Así que no puede hacer publicidad de su servicio comercial, a pesar de que el propio Posteo sea de pago y no siga una política anticapitalista. Raro. Usted tampoco se puede “incumplir las leyes alemanas” y “incumplir la normativa en materia de protección de menores”. Bastante suave, supongo.
Desde junio de 2019, las leyes alemanas han cambiado para que la vigilancia selectiva por parte del gobierno sea ahora ilegal (¿quizás deberíamos hablar de “leyes alemanas de privacidad” en lugar de “leyes suizas de privacidad”?):
En la actualidad, ya no existe ninguna base legal para TKÜ (vigilancia de una cuenta durante un período de tiempo determinado); Posteo ya no está por lo tanto, ya no puede ni va a aplicar este tipo de órdenes.
No hay mierda de seguimiento en su sitio web, a diferencia de StartMail. No hay almacenamiento de IP, correo electrónico eliminado inmediatamente después de su acción y sólo se almacena en una copia de seguridad encriptada con tu contraseña. No se recoge información personal nunca; los datos de pago (supuestamente) anonimizados también, por lo que incluso cuando el gobierno llame a la puerta, no conseguirán nada. Hay dos alias disponibles al registrarse, y se pueden comprar más. No se pueden utilizar dominios personalizados con Posteo y tampoco tiene un dominio onion disponible. Posteo es ¡alimentado por fuentes de energía renovable! Así que usted está protegiendo el medio ambiente con este proveedor, también. Teniendo todo en cuenta, este servicio es uno de los mejores que hay, aunque tiene algunos defectos.
Disroot
Empieza con unas bonitas citas. De la primera página:
Disroot es una plataforma que proporciona servicios en línea basados en principios de libertad, privacidad, federación y descentralización. Sin seguimiento, sin anuncios, sin perfiles, sin minería de datos!
La Página de información (https://disroot.org/en/about):
En las últimas décadas la información se ha vuelto muy valiosa y cada vez más fácil de recopilar y procesar. Estamos acostumbrados a ser analizados, a aceptar ciegamente términos y condiciones por “nuestro propio nuestro propio bien”, confiando en que las autoridades y las empresas multimillonarias para proteger nuestros intereses, mientras somos el producto de sus “granjas de personas”. “granjas de personas”.
Muchas redes utilizan tus datos para ganar dinero analizando tus interacciones y utilizando esta información para anunciarte cosas. Disroot no utiliza tus datos para ningún otro fin que no sea el de permitirte conectarse y utilizar el servicio.
Al ejecutar Disroot esperamos cambiar la forma en que la gente suele interactuar en la web. Queremos animar a la gente a liberarse de los jardines amurallados del software popular y recurrir a alternativas abiertas y éticas alternativas abiertas y éticas
Y la declaración de intenciones (https://disroot.org/en/mission-statement):
descentralización, democratización e Internet Libre, ha sido dominada por un puñado de gigantes tecnológicos, promoviendo concentración en monopolios, más control gubernamental y más regulaciones restrictivas. Todo lo que, en nuestra opinión, se opone y destruye la verdadera esencia de esta maravillosa herramienta.
Nuestro lema es “Cuanto menos sepamos de nuestros usuarios, mejor”. Implementamos el cifrado de datos siempre que es posible para garantizar que la obtención de datos de los usuarios por parte de terceros no autorizados sea lo más difícil posible y mantenemos sólo el mínimo de registros de usuarios o datos que son esenciales para el funcionamiento del servicio.
Elegimos un enfoque de trabajo en el que los usuarios (a partir de ahora denominados Disrooters) son la parte más valiosa y los principales beneficiarios del proyecto
Así, tenemos la impresión de que a Disroot no le gusta en lo que se ha convertido Internet: un lugar en el que nos minan los datos, nos controlan, dependemos de entidades poderosas que no tienen en cuenta nuestros intereses. Suena muy bien; pero como siempre – lo más importante es la confirmación de las ideas expuestas anteriormente – después de todo, Mozilla, por ejemplo, dice las mismas cosas. Así que veamos su Política de privacidad (https://disroot.org/en/privacy_policy). Como esto es sólo sobre su servicio de correo electrónico, me centraré en eso:
Las direcciones IP de los usuarios que han iniciado sesión a través del protocolo IMAP/POP3 se almacenan mientras el dispositivo esté conectado al servidor. (por cada dispositivo conectado)
Entonces no hay almacenamiento persistente de IPs.
Todos los correos electrónicos, a menos que sean encriptados por el usuario (con gpg por ejemplo) se almacenan en nuestros servidores en texto plano.
Esto significa que Disroot puede leerlo – a diferencia de, por ejemplo, RiseUp o Posteo – que cifran el correo con una clave derivada de tu contraseña. Sin embargo, AFAIK – esos dos podrían seguir haciéndolo si usted fuera un objetivo y decidieran robar su contraseña antes de de hacer el hash (por lo tanto, use PGP de todos modos si puede). Disroot también utiliza la encriptación cifrado de disco. Esto es todo para la política específica de correo electrónico, así que vamos a comprobar la general:
Guardamos los registros de su actividad durante un periodo no superior a 24 horas (a menos que se especifique lo contrario por servicio). Estos datos se utilizan para ayudar a diagnosticar problemas de software, mantener la seguridad del sistema contra intrusión, y supervisar la salud de la plataforma.
Entonces, para el correo electrónico: La IP no se almacena en absoluto, mientras que el resto de registros se se borran todos los días. Muy bien, no se puede hacer mucho mejor que esto. Ahora vamos a revisar sus Condiciones de servicio (https://disroot.org/en/tos). Las partes relevantes son estas:
- Contribuir a la discriminación, acoso o daño contra cualquier individuo o grupo. Esto incluye la propagación del odio y la intolerancia a través del racismo, la etnofobia, el antisemitismo, el sexismo, la homofobia y otras formas de comportamiento discriminatorio. (suspensión)
Hoy en día, absolutamente todo (incluso las bromas inofensivas) se considera “discriminación” por lo que si lo que haces se califica es una conjetura de cualquiera. Sin embargo – suponiendo que que no lean tu correo, deberías estar a salvo (a no ser que te denuncien).
- Contribuir al abuso de otros distribuyendo material en el que el proceso de producción crea violencia o agresión sexual contra personas o animales. (suspensión)
De nuevo, aquí hay mucho espacio para la interpretación. ¿Calificaría el hecho de informar sobre un suceso violento que ha sucedido? No sé. El uso de Disroot para actividades comerciales tampoco está permitido
Debido a esta estructura vemos el uso de los servicios de Disroot para fines comerciales como un abuso del servicio y será tratado como tal.
Sin embargo, no matarán inmediatamente tu cuenta cuando se detecte dicha actividad:
- El uso de los servicios de Disroot para cualquier otra actividad comercial se examinará cada caso y la decisión sobre la terminación de tales cuentas se basará en la comunicación con el titular de la cuenta y el tipo de las actividades en cuestión.
Esto puede parecer preocupante, pero sigue siendo mejor que los ToS de casi cualquier otro proveedor de la lista.
Disroot permite registrarse a través de una VPN o de la red Tor (sin embargo, no hay dominio onion). Los clientes de correo son compatibles – pero se puede utilizar el webmail de RainLoop también, el cual soporta encriptación PGP – pero ellos te dicen que no confíes en él y que en su lugar encriptes tu mierda localmente (como he estado diciendo a lo largo de este informe).
No obstante, te animamos a ser siempre precavido cuando comunicación por correo electrónico, y a hacer uso del cifrado GPG para garantizar su correspondencia sea más segura.
El registro en Disroot requiere rellenar una sección “Tu historia”. Anteriormente, han utilizado ReCaptcha para lidiar con los problemas de spam que tenían pero – debido a razones de privacidad – lo desecharon y tuvieron que idear otra cosa, así que ahí está. Si lo haces, también obtienes acceso a algunos otros servicios, incluyendo un foro, donde se puede leer ¿Durará disroot? Ahí se lee por su fundador cosas como: (https://forum.disroot.org/t/will-disroot-last/101/2):
Así que por lo que a mí respecta disroot no se va a ninguna parte. Es mi dirección de correo electrónico principal, la cuenta xmpp y la cuenta d*.
Creó que tenemos algo que las grandes corporaciones no tienen y es que nosotros creemos en lo que hacemos, y en el cambio del estado actual. Volviendo a las raíces, a cómo solía ser Internet.
Empezamos disroot pensando en el “largo plazo”. Por mi parte puedo puedo decir, disroot es mi bebé y creo en su éxito (o como quieras llamarlo). Uno no mata a sus bebés.
El administrador también afirma que el servicio NO es exclusivo para activistas (https://forum.disroot.org/t/the-political-philosophies-behind-services-like-disroot-riseup-dismail-de-and-what-are-a-few-other-friendly-email-providers/6773) – a diferencia de RiseUp o Autistici:
No sé de dónde has sacado la información de que somos de alguna manera para el activismo exlcusivo. En ninguna parte de nuestra página web, ni en nuestra Misión decimos nada al respecto.
Yo y un miembro del chat también hicimos pruebas con él enviando correos electrónicos a mi cuenta desde algunos proveedores poco utilizados (como Paranoid u Onion Mail), y Disroot los bloquea, obligando a la otra persona a reenviar. Esto se llama “greylisting” y es una forma de filtrado de spam – pero aún así, un poco molesto.
En resumen – no hay almacenamiento de IP, otros (posibles) registros sólo durante 24h, no datos personales requeridos para el registro, uso de VPN / Tor permitido. Por lo tanto, la privacidad es muy buena y en su mayoría acabaron confirmando su declaración de misión – a diferencia de Mozilla. Los problemas con Disroot incluyen: no hay dominio cebolla, bloqueo de proveedores desconocidos y un ToS algo restrictivo (no discriminación o violencia, no uso comercial) – sin embargo, todavía mucho menos que casi todos los otros. También hay que pagar por los alias. Junto con RiseUp, Disroot sigue siendo probablemente la mejor opción gratuita que existe.
Elude
(eludemailxhnqzfmxehy3bk5guyhlxbunfyhkcksv4gvx6d3wcf6smad.onion)
Curiosamente, las cookies son necesarias sólo para ver el sitio. El registro posible sólo a través de TOR (ahora v3); no se necesitan datos personales – sólo resolver un captcha basado en texto (que a menudo parece ignorar soluciones correctas, por alguna razón) captcha de imagen realmente difícil. La página principal dice “El correo es gratuito. Nunca te pediremos que pagues por usar nuestro servicio de correo electrónico.” Sin embargo, el uso del cliente de correo requiere una donación (1 USD al mes, en Bitcoin o Monero) y el nivel gratuito también necesita que el usuario responda a la pregunta “Para demostrar que eres humano, por favor describe por qué la privacidad es importante para ti?”. Así que efectivamente es un servicio de pago ya que los clientes de correo son una característica esencial. Buena política de privacidad, no registran IPs ni datos del navegador; no comparten con terceros; FDE habilitado. Lo único que almacenan es la fecha de registro, el último mes de inicio de sesión así como así como los metadatos del remitente y del destinatario (este último se borra después de 24 horas). ToS es similar al de RiseUp:
No podrá realizar las siguientes actividades a través de los servicios prestados por Elude:
Acosar o abusar de otras personas mediante la participación en amenazas, acoso o envío de spam.
Mal uso de los servicios mediante la distribución de virus o malware, participando en una denegación de servicio, o intentando obtener acceso no autorizado a cualquier sistema informático, incluido éste.
Contribuir al abuso de otros distribuyendo material en el que el proceso de producción creó violencia o agresión sexual contra cualquier persona.
Esto sigue siendo muy suave en comparación con todos los demás proveedores – la mayoría de que tienen una Biblia de requisitos a seguir. En comparación con RiseUp a continuación, la lealtad a la ideología anarquista / “comunista” no se requiere. En definitiva, Elude.in es una muy buena opción suponiendo que lo consideres un servicio de pago. Acceso de cebolla, sin datos personales, captcha de primera parte (pero difícil de resolver), gran privacidad, ToS decente y 10 alias para el primer nivel de pago (1 USD / mo). El ToS copiado parece un poco sospechoso, pero da igual. Además, no sabemos quién hizo el servicio y si van a permanecer alrededor. Tenga en cuenta que no lo hice probado realmente este proveedor porque no he pagado (pero podría eventualmente), así que no sé nada sobre los posibles tiempos de inactividad, etc. Sin embargo, por lo que puedo discernir, Elude es una gran opción, sólo superada quizás por el abajo.
RiseUp
El Colectivo Riseup es un organismo autónomo con sede en Seattle con miembros del colectivo en todo el mundo. Nuestro propósito es ayudar a la creación de una sociedad libre, un mundo sin carencias y con libertad de de expresión, un mundo sin opresión ni jerarquía, donde el poder se compartido de forma equitativa. Lo hacemos proporcionando recursos informáticos y de comunicación recursos informáticos a los aliados que luchan contra el capitalismo y otras formas de opresión.
Trabajamos para crear una revolución y una sociedad libre en el aquí y ahora construyendo una infraestructura de comunicación alternativa diseñada para oponerse y reemplazar el sistema dominante.
Promovemos la propiedad social y el control democrático sobre la información, las ideas, la tecnología y los medios de comunicación
Este es exactamente el tipo de cosas de las que he hablado en el evitar “La red de bots” – ¿imposible? artículo. Si RiseUp se da cuenta del origen de la “botnet” y de la necesidad de controlar la infraestructura, entonces seguramente su servicio no espía a usted. Sin embargo, comprobemoslo (https://riseup.net/en/privacy-policy), para estar seguros:
No se conservan las direcciones IP de ningún usuario para ningún servicio.
Bien, el más importante está fuera del camino.
Su navegador web comunica información de identificación única información a todos los servidores web que visita […] No retenemos ninguna de esta información.
Entonces, los agentes de usuario y cosas así no se recogen. Entonces, ¿qué es lo que realmente almacenan?
Mantenemos un registro de la información “de” o “a” para cada mensaje retransmitido. Estos registros se purgan diariamente
Así que los metadatos del remitente y del destinatario se almacenan pero sólo durante 24 horas como máximo, aparentemente para la prevención del spam. Pero luego viene esto:
La información anónima y agregada que no puede ser vinculada a un usuario individual puede ponerse a disposición de investigadores experimentados con el único propósito de desarrollar mejores sistemas de comunicación anónima y comunicación anónima y segura. Por ejemplo, podemos agregar información sobre cuántos mensajes envía y recibe un usuario típico, y con qué frecuencia.
Si he criticado a Mozilla y a DDG por lo mismo, no puedo dejarlo que lo haga aquí. Aunque, por supuesto, es leve comparado con lo que todos los demás están haciendo.
Puedes optar por eliminar tu cuenta de riseup.net en cualquier momento, al hacerlo, se destruirán todos los datos que conservamos y que están asociados con su cuenta.
De acuerdo, así que independientemente de lo que se almacena, si usted elimina su cuenta – se ha ido para siempre. La única política sensata que lamentablemente no es utilizada por la mayoría de los otros proveedores.
Las cosas más importantes, sin embargo, se dicen en su sección Levántate y Gobierno (https://riseup.net/en/about-us/policy/government-faq)
Haremos todo lo que esté en nuestra mano para proteger los datos de los movimientos sociales y los activistas, sin llegar al encarcelamiento prolongado. Nosotros preferimos desconectar que someternos a la vigilancia represiva de nuestro gobierno, o de cualquier gobierno.
Hemos luchado y ganado cada vez que alguien ha intentado que entregáramos información. Nunca hemos entregado ningún dato de los usuarios a ningúna tercera parte, cuarta parte, quinta parte o cualquier parte.
No consentiríamos la instalación de ningún tipo de hardware o software en nuestra red y acabaríamos con la organización antes que instalar ninguno.
Así que admiten que lucharán contra el gobierno y que preferirán morir que rendirse. Qué otro proveedor haría eso? Sin embargo, la afirmación de que nunca han entregado datos es falsa:
Después de agotar nuestras opciones legales, Riseup eligió recientemente cumplir con dos órdenes selladas del FBI, en lugar de enfrentar desacato al tribunal (que habría resultado en tiempo de cárcel para Riseup aves y/o el cese de la organización Riseup). La primera se refería a la dirección de contacto pública de una red internacional de extorsión DDoS internacional de extorsión DDoS. La segunda se refería a una cuenta que utilizaba un ransomware para extorsionar de la gente.
Aunque esto pueda parecer justificado por la aparente maldad de las acciones, abre una lata de gusanos que no estoy seguro de que deba abrirse. Me refiero a que el propio sistema judicial es un masivo opresor y no deberíamos aliarnos con él sólo porque haga algo que nos gusta de vez en cuando. Después de este fiasco, RiseUp ha tomado medidas para aumentar aún más la privacidad – implementaron la encriptación automática de correo usando tu contraseña (similar a Posteo):
Además, desde marzo de 2017, el almacenamiento de todas las nuevas cuentas está encriptado personalmente. Riseup no es capaz de leer ninguno de los contenido almacenado para estas cuentas. Cualquier usuario con una cuenta creada antes de marzo de 2017 puede optar por el almacenamiento cifrado personalmente.
Puedes leer más sobre esto (https://0xacab.org/liberate/trees). También hay encriptación de disco – así que sigues estando protegido contra el gobierno mejor que de cualquier otro servicio. Y seamos realistas aquí – en los 21 años de historia de RiseUp (en el momento de escribir este artículo), tal situación (AFAIK) sólo ha ocurrido una vez – mientras que proveedores como Proton han regalado datos cientos de veces. RiseUp eliminará tu cuenta por participar en estas actividades:
Acosar y abusar de los demás participando en amenazas, acoso o envío de spam.
Por no hablar de los servicios de RiseUp.
Mal uso de los servicios mediante la distribución de virus o malware, participando en un ataque de denegación de servicio, o el intento de obtener acceso no autorizado a cualquier sistema informático, incluido éste.
Por ejemplo, el uso de la red de telefonía móvil.
Contribuir al abuso de otros distribuyendo material en el que el proceso de producción creó violencia o agresión sexual contra personas.
Muy suave comparado con la letanía de cosas que se supone que no debes hacer que tienen proveedores como FastMail (https://www.fastmail.com/about/tos/) o Mailbox.org (https://mailbox.org/en/t-cs-cancellation-policy) (y pagas por ellos). RiseUp también ofrece la mejor función de alias de correo electrónico de todas, que es gratuita, no revela tu cuenta real en los encabezados, y puedes borrar los alias si ya no son útiles o se han convertido en spam. Aunque otros proveedores, como cock.li o danwin1210, utilizan los dominios seguros v3 para XMPP y el correo electrónico, RiseUp es el único que los proporciona para todo el conjunto de servicios, como contenedores, almohadillas, subida de archivos, etc.
Con todo, para mí sigue siendo un gran proveedor de correo electrónico – teniendo en cuenta la política de registro, la falta de datos personales necesarios para el registro, las direcciones v3 onion, los alias ilimitados, la compatibilidad con los clientes de correo y una gran fiabilidad (creo que nunca se ha caído – a diferencia de su XMPP). También responden a los tickets de soporte. El único posible problema sería el fiasco del FBI – aunque, no podrían haber hecho mucho allí con la orden de mordaza. Recuerde – este servicio es utilizado por miles de activistas – tiene que tomar la privacidad y la seguridad muy en serio. Por supuesto, también también se centra en la lucha contra el racismo, la “homofobia”, etc – pero no he visto que afirmen que eliminen cuentas por determinados puntos de vista, a diferencia de Autistici. Otros proveedores -como FastMail o Mailbox.org- tienen una letanía de cosas que se supone que no debes hacer en sus ToS (diez veces más largos que RiseUp) – y pagas por ellas. Sin embargo, es un problema menor y ya que el servicio no tiene otros mayores, tengo que mencionarlos. Para registrarse, RiseUp requiere un código de invitación de una persona que ya tiene una cuenta.
nauta.cu
(https://webmail.nauta.cu/login.php)
A petición de algunos he agregado este proveedor de correo a la lista, eso si, arriesgándome a no encontrar mucho ¿Por qué? Es un proveedor muy local, de hecho supe de su existencia cuando se propago en el Fediverso el desembarco Cubano.
¿Qué pude encontrar? No mucho, pero si cosas interesantes como la pertenencia y forma legal de “Sociedad anónima” así se identifican por parte de la empresa de Telecomunicaciones en Cuba llamada ETECSA. Bastante llamativo que se dominen como tal “sociedad anónima” cuando no lo es, como tal SON una empresa estatal exclusivamente de servicios de telefonía para Cuba, sin ir lejos, un monopolio que ya se plantea allí al ser el tope y estándar de dicho país.
En la historia de dicha empresa de telefonía podemos ver que se divide en tres compañías, una entre el Estado de Cuba, otra sobre una empresa Mexicana y la última con el 25% de sus acciones a una Italiana ¿Debería eso ser bueno? Por supuesto que no, tus datos estarán siendo digeridos por 3 organizaciones que ha saber que hacen con ellos o de que forma lo complementan para seguir las leyes de datos de sus países de origen ¡Ah! y se me escapaba, eso de que principalmente se mantenga por el “Estado de Cuba” no es para nada nuevo, por supuesto que no, la peor combinación que da como resultado: sesgos ideológicos, censura, irrupción de datos y un laaargo etc (más en Cuba que la historia nos ha mostrado cómo gestionan sus servicios allí dentro bajo el imperio de los Castros).
¿Controversias? Por si fuera poco tiene dos grandes controversias por su mal manejo de datos, cosa que le ha costado el cargo de control de la empresa a varios de sus lideres. Además de que no tiene una buena infraestructura para superar las sobrecargas (durante el Coronavirus se vio muchas interrupciones) y pues, es lo que hay… los cubanos no tienen que más servicios elegir, peor aun: caro ¿estás leyendo esto? Servicio monopolizado, caro, sin buena infraestructura y con polémica de tratamiento de datos ¿tú la utilizarías donde tuvieras más opciones? Por supuesto que no, quizás los cubanos les toque por no tener una mejor alternativa o eso pareciera frente a su estándar de facto.
Fuentes: (https://es.wikipedia.org/wiki/Empresa_de_Telecomunicaciones_de_Cuba)
¿Transparencia? ¡qué va! Buscando mucho te encuentras con un apartado de “protección al consumidor” da toda la pena (https://www.etecsa.cu/proteccion_al_consumidor/) de verdad que no pareciera un servicio de Telecomunicaciones. No hay más información, por lo tanto ¡evita lo más que puedas los servicios por dicha empresa Estatal! Escapa del sesgo y cuida tus datos.
Mailo/Netcmail
Otro proveedor de correo que parece surgido de la nada, muy poca información y comenzamos con un gran dilema ¿cual es cual? Al buscarlo podemos acceder a dos enlaces (https://www.mailo.com/) y (https://www.netcourrier.com/) con esto apenas comenzando se me sube la desconfianza a 200% porque ambas direcciones son totalmente independientes, no es como que si fuera una redirección al sitio original, no, actuan de forma independiente ¡grave! se puede presentar para ejecutar técnicas como el Pishig y demás. Al menos hay algo en lo que se colocan de acuerdo, enlazan al mismo sitio de PlayStore en donde sale su aplicación móvil.
Observando su información leemos promesas como:
“Mailo, el servicio de correo que te respeta
Mailo es toda una gama de servicios innovadores que protegen tu privacidad y tus datos personales: el webmail más completo del mercado, una agenda, un espacio de almacenamiento para tus fotos y documentos, herramientas de organización para la familia y los profesionales. Únase a la primera plataforma de comunicación ética alternativa”.
Un lema más repetitivo que cualquier otra cosa.
“Un compromiso: respetar su privacidad y sus datos personales son sagrados para nosotros: los almacenamos en servidores seguros en Francia, no los utilizamos, no los vendemos, no leemos sus mensajes.
Hmmm ya hemos leído un poco durante el artículo sobre las leyes francesas que aunque parece ser “menos” restrictivas que de algunos otros países, si que maneja una retención de datos durante mucho tiempo.
¿Sus características? Hay un apartado de sólo características haciendo una comparación entre la versión gratuita y la de pago (https://www.mailo.com/mailo/es/caracteristicas.php) hay cosas que de verdad me sorprenden y parecen ser bastantes buenas, como el uso de un cliente parcial, si, parcial porque están habilitados solo unos puertos para uso especial, tiene buen espacio, compatibilidad con PGP nativo, compatibilidad con llavero, webmail HTTPS (bueno, eso lo lleva la mayoría) pero ¡ugh! un golpe demasiado grave y es Webmail CON publicidad en la versión gratuita, ya verémos que te enchuspan anuncios en tu bandeja para lograr recoger lo que invierten ¿qué tan amigables será con el usuario? Ya veremos en profundidad. Además otra cosa que viene bastante mal es que trae Antivirus en tu bandeja por defecto, quizás alguno penséis que es bueno, pero no, se presta para recopilar tu información y anexar información durante la búsqueda, es como “Te invado tu privacidad a costa de la seguridad” muy malo.
Si bien les comentaba que tenía PGP nativo, me encuentro líneas más abajo con la afirmación:
“Como tercero de confianza, Mailo se compromete a garantizar la máxima seguridad de las claves PGP de los usuarios”.
No, no queremos eso ¡promesas! Inseguro como el resto que promete lo mismo, aunque… posteriormente nos dan la opción de “Los usuarios que deseen utilizar PGP sin un tercero de confianza deben instalar un software de correo con capacidades criptográficas en cada dispositivo utilizado para acceder a los correos electrónicos cifrados” Suena mucho mejor, gestionar localmente mis claves PGP con un software a mi elección, en eso los veo bastante bien.
Indagando más en el sitio nos podemos encontrar con una carta (tipo manifiesto) en donde observamos varios compromisos:
El Mailo carta
Compromiso 1 – Respeto por la privacidad del usuario
- El servicio es explotado enteramente en Francia, y respeta escrupulosamente las leyes europeas y francesas sobre la correspondencia provada y la protección de datos.
-Los datos de los usuarios son confidenciales: no hay manera de acceder a ellos, ni siquiera las autoridades que lo demanden, si no se sigue el proceso legal.
Compromiso 2 – Direcciones de email no intrusivas
- No son utilizadas para localizarte en Internet asociándote con un motor de búsqueda, una red de publicidad, una red social ni un navegador de Internet.
- No son utilizadas para crear una base de datos de rastreo y evaluación:
- Los mensajes recibidos y enviados por los usuarios no se leen con propósitos comerciales o promocionales.
- Los datos proporcionados por los usuarios son confidenciales.
Compromiso 3 – Un servicio de calidad en constante evolución
- Permanece sostenible durante el tiempo para los usuarios quienes, sean niños, particulares o profesionales, necesiten una dirección de email permanente.
- Mejora constantemente, añadiendo características, ergonomía, capacidad, movilidad y rendimiento.
- Se centra exclusivamente en el correo, y no se dispersa en un portal de mercado masivo.
- Mantiene un control total de sus tecnologías para permanecer innovador, respondiendo a las necesidades y sugerencias de los usuarios sin ningún retraso.
Compromiso 4 – Consideración a cada usuario
- Una solución para todos: adultos, niños y seniors.
- Consideración por la seguridad de las familias y los niños.
- Herramientas de rendimiento para profesionales.
- Una estrecha relación con contact@mailo.com las cuales, si se necesita, contactan al usuario por teléfono.
Dicho manifiesto de privacidad suena bastante bien, pero ¿hasta que punto se cumple? No seamos idealistas, creerles a simple vista es como vivir de sueños, entonces vamos a ver que tanto se contradicen en sus “reglas de privacidad” (https://www.mailo.com/mailo/es/privacy-rules.php)
Comenzamos mal porque hacen que la información sea poco accesible, sólo está en Frances y pues, me pregunto, si hay otras partes de su sitio ¿Por qué las reglas y términos de uso están en Frances? ¿acaso quieren minimizar la evidencia? Ya veremos.
“En el curso de la prestación de sus servicios, Mailo está obligado a almacenar y procesar sus datos personales. Estas Normas de Privacidad son parte integrante de las Condiciones Generales de Uso de Mailo y tienen por objeto indicar qué datos se almacenan y cómo se utilizan, cómo se puede acceder, actualizar y eliminar sus datos. Por lo tanto, Mailo se compromete a respetar su privacidad y sus datos personales de acuerdo con estas normas”.
Comenzamos bien, aclarando que están “obligados” (suena bastante mal) a almacenar y procesar nuestros datos personales para ofrecernos dichos servicios… no te creó.
“Para acceder a los servicios de Mailo, debe crear una cuenta. Para ello, usted proporciona información personal que rellena explícitamente, como su nombre y apellidos, su dirección de correo electrónico, su fecha de nacimiento o su idioma. El carácter obligatorio o facultativo de los datos se indica en los formularios de recogida. Al crear una cuenta personal, se requiere la fecha de nacimiento para verificar que usted tiene al menos 16 años o tiene el consentimiento de sus padres. Se le pedirá su nombre, apellidos y fecha de nacimiento si quiere recuperar el acceso a su cuenta en caso de perder la contraseña.
Para aprovechar todas las funciones y personalizar su experiencia, es posible que se le pida que complete su perfil, que indique su sexo, su número de teléfono móvil, su dirección postal y que cargue una foto.
Su dirección de correo electrónico puede ser utilizada por Mailo para comunicarse con usted, por ejemplo para darle información sobre su cuenta, los Servicios y las actualizaciones de seguridad o para realizar encuestas de satisfacción. Puede oponerse a este tipo de comunicación en cualquier momento enviando un correo electrónico a contact@mailo.com.
Puedes consultar, modificar o eliminar tus datos personales en cualquier momento en tu cuenta de Mailo yendo a Opciones en el apartado Perfil. En caso de modificación, Mailo no conserva los perfiles previamente modificados y sustituidos.
La información de su perfil puede mostrarse para facilitar la comunicación, la colaboración y el intercambio de archivos con otros usuarios”.
De verdad es mucha información para componer un correo electrónico sencillo y más, no se saben justificar ¿para tratar y colaborar? No me jodas. Además de que “expresamente puedes optar por más adelante pedir que se retire dicha información” ¿Ósea, te la doy y luego pido que la elimines? ¿y quieres que confié? Injustificable, para nada confiable; no tiene sentido.
“Historial de conexiones
Para ofrecerle una visión general del uso de los servicios de Mailo y comprobar que no se ha producido ninguna conexión anormal en su cuenta, el historial de sus sesiones (fecha de conexión, tipo de conexión y dirección IP) se almacena durante 1 mes. Estos datos se eliminan automáticamente al cabo de un mes. Además, puedes acceder a ellos en cualquier momento en las Opciones, en el apartado Tu cuenta, y eliminarlos tú mismo”.
Prácticamente dos meses para que se elimine mi historial de conexiones, no es viable.
“Tratamiento de los contenidos
Se recuerda que el correo electrónico está sujeto al secreto de la correspondencia. Mailo no utiliza lo que usted dice en los correos electrónicos o discusiones, ni sus documentos, fotos, libreta de direcciones u otros archivos personales para enviarle publicidad dirigida, ni para enriquecer una base de datos que pueda ser comercializada.
Para garantizar su seguridad (antivirus y antispam) o para mejorar el uso del correo electrónico (filtrado de correo gris), Mailo analiza automáticamente todos los correos electrónicos. Este tratamiento se realiza en los servidores de Mailo. Puede desactivarlas en las Opciones, en el apartado Recepción de correos electrónicos”.
Siguen contradiciéndose, es como “lo hago, pero puedes pedir que no lo haga”.
“En la versión gratuita de Mailo, Mailo Free, se muestran banners publicitarios. Las agencias de publicidad asociadas pueden colocar cookies publicitarias en su navegador para personalizar mejor los banners mostrados”.
¡NO! Es bastante claro, cookies publicitarias, de una vez ya me dan ganas de vomitar.
En los apartados de aplicaciones móviles leemos todos los permisos que hay que ceder, cosa que es claro para el buen funcionamiento de la aplicación, pero luego salen con cosas como:
“- tienen acceso total a la red: sólo se utilizan para comunicarse con los servidores de Mailo”.
Se justificaría donde fuera un acceso parcial, pero no.
“- Ver el contenido de la tarjeta SD, editar o eliminar el contenido de la tarjeta SD”.
Demasiado acceso.
“- cambiar los ajustes de audio, evitar que el dispositivo entre en modo de suspensión, controlar el vibrador”
Hmmm justifican cosas qué ya son demasiado ¿para que o que?
Frente a los datos que brindan a las autoridades se limitan a expresar:
“Mailo puede ser llamado a proporcionar datos a la policía, la gendarmería y las autoridades judiciales dentro de un estricto marco legal con la autorización de un magistrado”.
“El acceso a los datos personales está estrictamente limitado a los empleados responsables del mantenimiento y desarrollo de Mailo. Estas personas están sujetas a estrictas obligaciones de confidencialidad”.
Acaban de admitir que tienen acceso, pero son sujetos a estrictas obligaciones de confidencialidad… esto no es muy seguro, nunca lo es y siempre hay filtraciones en empresas por lo mismo.
“Sus datos personales se conservan durante toda la vida de su cuenta de Mailo”.
¡Vaya! Aunque hay algo bueno y es que, según ello después de que purgas tu cuenta todo es eliminado definitivamente de sus servidores ¿en cuanto tiempo? No especifica, pero a decir verdad para estar situados en Francia dudo mucho de ello que sea inmediato.
Leí tanto sobre dicho sitio que ya no quiero saber nada de sus términos y condiciones, al igual ni me interesaría en probarlo ¡evitar! (https://www.mailo.com/mailo/es/privacy-rules.php)
Sigue la ley de Murphy por favor: “cualquier cosa que puede ir mal, saldrá mal” Así evitas utilizar tantos sitios engañosos.
Correo electrónico temporal (AirMail y similares)
Sólo para completar – son bastante inútiles. Bloquean en todas partes y sólo permanecen por un tiempo, impidiendo el restablecimiento de la contraseña y demás. Superado por la función de alias de RiseUp.
Resumen
Es muy preocupante la cantidad de proveedores que pretenden basarse en la privacidad, pero resultan ser cualquier cosa menos eso, incluso intentan activamente comprometerla. No importa, todavía existen algunos buenos como Riseup y Disroot. Si no puedes o no quieres entrar en ellas (quizás por no estar de acuerdo con sus principios) – la segunda mejor opción es pagar por una cuenta de Elude / Posteo / CounterMail. Dismail / Paranoid / Cock también son decentes, no politizados y gratuitos. No debe confiar plenamente en ningún proveedor, (o cualquier servicio de Internet en absoluto). Tome esta cita de RiseUp para el corazón: “Nada en línea es 100% seguro. Si tienes algo muy sensible que decir, hazlo fuera de línea.” ¡Encripta con GPG siempre que sea posible! De esta manera, puedes saltarte sus políticas de censura/almacenamiento de datos políticas de almacenamiento de datos, incluso si usted está preocupado por los que se utilizan en su contra.
¿Por qué la situación es la que es?
Los servicios de correo electrónico pueden financiarse de varias maneras:
- Haciendo que pagues por una cuenta
- Recogiendo y compartiendo tus datos, o mostrando publicidad
- Pagando de su propio bolsillo
- Pidiendo donaciones
La opción 1 puede permitirse el lujo de ser privada sin necesitar tus datos -sin embargo, eso no significa que lo haga. Después de todo, la privacidad es una gran oportunidad de negocio ahora y hay muchos de fraudes que se aprovechan. Algunos sí existen que se esfuerzan por crear un servicio seguro, privado y funcional – por lo tanto, use esos si usted tiene el dinero. La opción 2 es obviamente indeseable y la razón de la existencia de este informe. La opción 3 es extremadamente rara y no dura mucho (ver SigaVPN), así que pasemos a la opción 4:
Para que un servicio gane donaciones, tiene que haber gente dispuesta a darlas. Desgraciadamente, no hay suficientes autistas de la privacidad para los que esa causa sea lo suficientemente importante como para apoyarla monetariamente. Hay un grupo de personas que se preocupan más por ello, sin embargo – los llamados “activistas”, o personas “que trabajan en la liberación cambio social”. Esto significa que el servicio será inseparable de la ideología de los donantes, ya que ha sido creado por ellos y para ellos. Los activistas de Los activistas consideran un abuso que las grandes empresas o los gobiernos puedan espiar sus comunicaciones o incluso rastrear su navegación por la web para mostrarles anuncios, etc. Y lo que es más importante, como utilizan Internet para hablar de su “activismo”, no pueden permitirse el lujo de ser vigilados porque esa conversación inocente podría ser utilizada en su contra durante las protestas, etc. Los autistas de la privacidad no suelen tener una ideología con la que se identifiquen con la que la privacidad se desprende – simplemente no les gusta que les espíen. Tampoco hacen cosas de la vida real como robos en tiendas, denuncias, etc. para las que la privacidad sería necesaria. Podemos ver, entonces, por qué los “activistas” se preocupan mucho más por el tema que pueden permitirse donar. Por eso todavía no tenemos un servicio que sea gratuito apoyado por donaciones, y sin una ideología declarada – la privacidad por sí sola simplemente no mueve los espíritus lo suficiente. Cuando los autistas de la privacidad consideran el tema más importante, este tipo de servicios surgirán. Por ahora, lamentablemente dependemos de RiseUp, Disroot y algunos otros.
Sobre el cifrado
En primer lugar, asegúrese de que su correo se envía utilizando TLS ya que algunos proveedores realmente no lo soportan. Para los que sí lo hacen, hay dos configuraciones que determinan cómo se utiliza – STARTTLS o SSL / TLS – y la primera es insegura. Brevemente: para SSL / TLS, el correo está encriptado por defecto durante todo su recorrido; si TLS no está Si TLS no está disponible en el otro extremo, el correo es descartado. STARTTLS, por el contrario otro lado, primero envía un paquete no cifrado para comprobar si el otro servidor soporta el cifrado, y sólo actualiza la conexión si lo hace. Un ataque de downgrade puede ser realizado por cualquier man in the middle mediante modificación de la respuesta del servidor (https://arstechnica.com/tech-policy/2014/11/condemnation-mounts-against-isp-that-sabotaged-users-e-mail-encryption/) para hacer creer que no soporta TLS. STARTTLS es en realidad una reliquia histórica cuyo objetivo era actualizar las conexiones inseguras de una época anterior a la existencia de TLS existiera. Más tarde, el número de puerto 465 se definió para soportar sólo conexiones encriptadas, por lo que ese es el que los clientes deben ser configurados para usar para prevenir ataques MitM. Por supuesto, esto no permitirá el envío de correo a proveedores que no soportan la encriptación, pero prácticamente prácticamente todos los servidores relevantes (https://dismail.de/serverlist.html) lo hacen hoy en día.
Ahora, SSL / TLS todavía tiene muchos de sus propios problemas. Cualquiera de los puntos entre usted y el destinatario puede intentar realizar un ataque Man in the Middle (sólo como un ejemplo – una conexión a mail.riseup.net toma 22 saltos). El protocolo suele proteger contra estos ataques requiriendo que el servidor se acredite con un certificado digital. Sin embargo, la validación SSL puede romperse de muchas maneras (https://www.cs.utexas.edu/%7Eshmat/shmat_ccs12.pdf). Incluso si lo anterior no se aplica – todo el software que utiliza el protocolo tiene una lista incorporada de autoridades de certificación en las que confía por defecto. Si un hacker se apodera de una de ellas, puede generar certificados falsos (que su programa aceptará automáticamente) para los servidores de los que quieren capturar el tráfico. Esto les permite ver el contenido de las peticiones, robar contraseñas, falsificar respuestas (https://www.helpnetsecurity.com/2011/03/23/rogue-ssl-certificates-issued-for-google-yahoo-skype/), etc. para los proveedores suplantados (como el de Google en el caso anterior). Otra forma de realizar un MitM es instalando un certificado raíz falso en el en la máquina del objetivo – esto lo hacen tanto corporaciones (https://fak3r.com/2015/07/22/your-employer-runs-ssl-mitm-attacks-on-you/) como gobiernos (https://www.privateinternetaccess.com/blog/kazakhstan-tries-and-fails-to-mitm-all-of-its-internet-users-with-rogue-certificate-installation/) – y es, de hecho, también cómo puedes espiar el tráfico HTTPS de tu propio navegador. Incluso sin un MitM, tanto tu servidor como el del destinatario pueden ver todo, incluyendo el contenido de los mensajes en lo que respecta al correo electrónico.
¿Cómo podemos proteger eso? Vea PGP:
PGP, o Pretty Good Privacy, es una forma de cifrar localmente su correo electrónico antes de enviarlo a otras personas, así como permitir recibir mensajes encriptados mensajes encriptados (puede hacer más cosas, pero como este es el informe de E-mail, nos centraremos sólo en eso). Esto los esconde tanto de posibles MitM como de servidores comprometidos. Para aprovechar esta herramienta, primero hay que crear la clave PGP. Claws Mail puede hacer esto a través de sus plugins PGP – pero está limitado a la longitud de clave menos segura de 2048 bits – así que lo haremos desde la línea de comandos. Primero, instala los paquetes necesarios – gnupg2 y pinentry. Ahora escribe este comando:
gpg2 –full-generate-key
Seleccione RSA y DSA para el tipo de clave (opción 1). 4096 para el tamaño – este es el valor más alto posible, y el más seguro. Para facilitar el uso de PGP más fácil, crearemos una clave que nunca caduca – opción 0; de lo contrario, tendrías que generar y compartir nuevas claves públicas cada cierto tiempo. Pulsa Y para confirmar todas las opciones elegidas. Ahora, se le pedirá te pedirá tu nombre real – sin embargo, nosotros – siendo los ninjas de la privacidad – no compartimos detalles personales en Internet – así que escribe algo como “Totalmente Real”, o cualquier apodo que uses habitualmente. A continuación, escribe tu dirección de correo electrónico real y confirma todo pulsando O. Ahora elige una contraseña fuerte, pero también una que puedas recordar. Esto es muy importante – si la olvidas, no podrás desencriptar los mensajes que te envíen. Por otro lado, si es débil (demasiado corto, compuesto por palabras corto, compuesto por palabras comunes, o detalles personales como fechas de nacimiento) – aumenta la posibilidad de cracking.
Ahora has conseguido crear dos claves: una pública y otra privada. La La primera permite que otras personas te envíen mensajes encriptados. Se supone que Se supone que debes compartir la clave pública a través de tu sitio web, un servidor de claves o directamente con las personas con las que hablas. La clave privada se utiliza para descifrar los mensajes que otros te envían, así como para firmar los tuyos (lo que que demuestran que provienen de ti). Como su nombre indica, no debes compartirla y, de hecho, debes protegerla lo mejor posible. Sin ella, no podrás leer el correo electrónico que ha sido encriptado con tu clave pública, y tendrás que generar un nuevo par de claves. Peor aún que eso – si un hacker lo roba y es capaz de adivinar su contraseña, será capaz de espiar su correo e incluso falsificar las firmas; en en ese momento es probable que necesites una nueva cuenta. Para exportar tu clave pública, escriba este comando:
gpg2 –export –armor myemail@account.com > mypublickey.asc
Por supuesto, la dirección de correo electrónico tiene que ser la misma que has dado durante el proceso de creación de la clave – de lo contrario, GPG no sabrá qué clave exportar. Ahora, usted puede poner con seguridad ese archivo en su sitio web, subir a el servidor de claves, o dar a sus contactos directamente (más fácil enviando un correo electrónico con la clave pública adjunta). Esto es suficiente para que la gente pueda enviarte mensajes encriptados. Para leerlos, primero necesitas cargar los plugins necesarios de Claws Mail:
PGP Inline es inseguro (https://dkg.fifthhorseman.net/blog/e-mail-cryptography.html#inline-pgp) y no debería usarse – sin embargo, lo necesitará si alguien le envía un correo electrónico encriptado con él. Ahora haga clic en el mensaje encriptado y debería aparecer una y aparecerá una pregunta sobre la contraseña de su clave privada. Introdúzcala y se mostrará el mensaje se mostrará. Para volver a encriptar, tu contacto debe generar primero su propio par de claves PGP (con el proceso descrito anteriormente, por ejemplo) y enviarte su clave pública. Luego la importas con este comando:
gpg2 –import random_guy_public_key.asc
Ahora marca las opciones necesarias en la ventana de Redacción (o Respuesta) y haz clic en Enviar:
Firmar asegura a tu destinatario que no te están suplantando (sólo alguien que conozca la contraseña de tu clave privada podría haber firmado un mensaje con esa clave) y que tu mensaje no ha sido modificado por un MitM (en ese caso, la verificación de la firma fallará). Técnicamente, se puede puede encriptar sin firmar (o firmar sin encriptar) – pero para pero para una mayor seguridad, deberías hacer ambas cosas. Por supuesto, para que la firma que la firma sea importante – necesitas verificar fuera de banda que la clave que se ha utilizado para firmar el mensaje realmente pertenece a la persona con la que crees que te estás comunicando. Esto significa que necesitas otro canal de confianza como un sitio web que estés seguro de que es suyo; o la mejor manera: en persona. De todos modos, GPG tiene mucha más funcionalidad que esto – pero creo que que he cubierto todo lo necesario para un uso básico (y siempre puedes aprender más por su cuenta).
Hay varias formas de implementar el cifrado en el correo web, y muchos proveedores las utilizan como punto fuerte de marketing, pero ninguno de ellos es tan fuerte como PGP propiamente dicho, así que los ignoraremos (si quieres, puedes leerlo). PGP sigue teniendo defectos – por ejemplo, no cifra las cabeceras; esto incluye el asunto, el remitente, el destinatario y otros – puedes ver puedes ver todas las cabeceras en tu cliente de correo; es todo lo que está por encima del mensaje real. Se han realizado análisis (https://labs.rs/en/metadata/) sobre cuánta información se puede revelar sin ni siquiera conocer el contenido del mensaje – los resultados deberían asombrarle:
Pero vemos que incluso nuestros no muy sofisticados métodos de bricolaje, nos permitió crear una imagen profunda y clara de los hábitos y actividades, utilizando la información extraída de “sólo” los metadatos del correo electrónico. Aunque nuestra investigación descubrió principalmente relaciones, patrones y de la vida laboral de una persona, nos permitió conocer sus hábitos persona que roza con la vida privada.
Pero esto ni siquiera es necesariamente, ya que un ataque real a PGP llamado EFAIL ha salido recientemente a la luz – que necesita que el atacante tenga:
acceso a los correos electrónicos encriptados, por ejemplo, mediante por ejemplo, escuchando el tráfico de la red, comprometiendo las cuentas de correo servidores de correo electrónico, sistemas de copia de seguridad u ordenadores cliente.
Para que quede claro – Claws Mail era inmune al ataque – por lo que la situación no era tan grave. Aun así, demuestra que no deberías poner todos los huevos de tu privacidad en una sola cesta. A pesar del ataque, PGP sigue siendo jodidamente impresionante y debería usarse siempre para cualquier comunicación sensible (en el mejor de los casos escenario: todo para todos los contactos que puedas conseguir que lo usen) – además de proveedores seguros y todas las otras cosas que deberíamos hacer.
Sobre las leyes que “respetan la privacidad”
Una de las principales formas en que se anuncian los diversos fraudes a la privacidad. He ignorado bastante este tema al calificar a los proveedores singulares, ya que es muy común y requiere una sección dedicada a analizarlo. El reclamo de El reclamo suele ser algo así:
“Nuestro servicio está alojado en (inserte el país uber-privado de elección), que, en lugar de (inserte el país no privado de elección – normalmente el Reino Unido o los Estados Unidos), tiene leyes de privacidad muy estrictas. Sólo una orden judicial válida puede obligarnos a revelar sus datos”.
Es posible que ya hayas detectado el problema al ver la última frase. La afirmación de “leyes de privacidad súper fuertes” se basa solamente en si se requiere una orden judicial para liberar los datos. Supongamos que sí traen esa orden judicial válida, ¿qué acaba importando entonces? Los datos que un servicio ha almacenado realmente, ya que no pueden liberar lo que no tienen. Nada impide que un que un servicio almacene lo que quiera a pesar de estar posicionado en un país supuestamente respetuoso con la privacidad. Es más, muchos de los países que comúnmente se dicen privados en realidad obligan a los proveedores a almacenar ciertos datos. Ejemplos de proveedores específicos anteriores:
La legislación holandesa obliga a StartMail a almacenar sus facturas durante “7 años, o el período que pueda prescribir la legislación fiscal aplicable”.
Los Países Bajos obligan a StartMail a almacenar sus facturas durante “7 años o el periodo que establezca la legislación fiscal aplicable”.
Noruega hace lo mismo con Runbox pero durante más tiempo aún – “ya que los registros financieros deben conservarse durante 5 años según la legislación noruega sobre contabilidad”.
Por favor, no se preocupe por la seguridad de sus datos.
MailFence (Bélgica) conserva los datos de las cuentas eliminadas durante un año – “es decir, la ley belga impone 365 días después del cierre de la cuenta”.
Por último, el pez gordo de los servicios de correo electrónico.
Y los peces gordos -Suiza de ProtonMail y KolabNow- “tiene una obligación legal de retención de datos de seis meses por parte del proveedor.”
La Islandia de CTemplar hace lo mismo que lo anterior (aunque no está 100% seguro aquí) no parece hacerlo – pero lea después para ver que no es una protección perfecta.
Gracias a lo anterior, terminamos con algunas situaciones divertidas como RiseUp (alojado en EE.UU. no privado) guardando los metadatos sólo durante un día en comparación con a los seis meses de KolabNow. Pero al final, la ley es tu enemigo, no tu amigo. Impone la cantidad mínima de datos que un proveedor está proveedor, pero no le impide recopilar más si quiere. si lo desean. Estar alojado en un país con “fuertes leyes de privacidad” es puramente una estrategia de marketing que parece surgir principalmente de los ciudadanos de EE.UU. y el Reino Unido ciudadanos asustados por los programas de vigilancia masiva de sus naciones. Pero otros países, como Francia o Alemania (siendo realistas, probablemente todos todos ellos), también los llevan a cabo. Es más, muchos de ellos cooperan entre sí. En 1946, el Reino Unido y Estados Unidos formalizaron un acuerdo para compartir datos de inteligencia de inteligencia entre ellos; unos años más tarde, Australia, Canadá y Nueva Zelanda se unieron (esto se llamó los “cinco ojos”). Con el tiempo, el número de de ojos aumentó a 14, a medida que más y más países se fueron sumando a la alianza (con incluso más miembros “no oficiales” como Japón o Israel). Los documentos filtrados por Edward Snowden revelaron que los ojos trabajan estrechamente juntos para compartir datos de comunicación electrónica (abreviados como “COMINT” y “ELINT”). Por ejemplo:
Admiten que la operación es cada vez más eficaz a medida que pasa el tiempo (puedes conocer más sobre la historia de los “ojos” aquí [https://vpnstreamer.com.au/5-eyes-9-eyes-14-eyes-explained/]). Sin embargo, ¿qué significa para los ciudadanos? Elegir un proveedor de un país supuestamente respetuoso con la privacidad no ayuda a evitar la vigilancia – muchos de ellos son parte de los “catorce ojos” e incluso si no lo son, podrían cooperar con los servicios de inteligencia extranjera. Quiero decir que eso es exactamente lo que hizo Islandia (no 14 ojos) durante la investigación de Silk Road (https://www.wired.com/2015/05/silk-road-2/). Literalmente han dejado entrar a los agentes de USA para que hagan lo que quieran. Por lo tanto, al final, no hay que centrarse demasiado en el tema del país (simplemente asume que están todos juntos en esto de todos modos), sino en las políticas reales del proveedor, su historia y su fiabilidad. Eso más el uso de encriptación, una VPN y una buena OPSEC debería protegerte de la vigilancia mucho mejor que caer en pistas falsas como la la ubicación del servicio.
Para poner el último clavo en el ataúd de esta idea, tenemos que de nuevo a las órdenes judiciales. Para empezar, ¿qué le hace estar tan seguro de que un proveedor realmente requerirá una orden judicial como ellos declaran? Recuerde que ProtonMail ya ha incumplido esa promesa en un caso de supuesto “terrorismo”. Con qué recursos cuentan algunas de las empresas más pequeñas para luchar contra las solicitudes de datos en los tribunales? ¿Tienen siquiera abogados a bordo para determinar si una orden judicial es válida? SafeMail.nl (con sede en la “privada” Holanda) ha admitido que no luchará contra las órdenes judiciales y se limitará a entregar los datos. Por otro lado, Lavabit (de los “no privados” Estados Unidos) hizo todo lo posible para proteger a sus usuarios de la vigilancia, incluyendo controlar al gobierno (https://nakedsecurity.sophos.com/2013/10/04/cheeky-lavabit-did-hand-over-encryption-keys-to-us-government-after-all/). Finalmente, prefirieron cerrar su servicio antes que ceder ceder a las exigencias de los espías (algo similar a lo que promete hacer hoy RiseUp). ¿Cuántos de los proveedores alojados en países supuestamente respetuosos con la privacidad privacidad harían lo mismo, en lugar de decir simplemente “jódete” a los usuarios y entregar los datos? Teniendo en cuenta todo esto, espero que podamos dejar de lado el tema de la NO localización…
Agrego El artículo original fue escrito por Digdeeper con quién colaboro de forma constante para la traducción de sus escritos y que lleguen a más personas, que no quede sólo en nuestras cuatro paredes (https://digdeeper.neocities.org/ghost/email.html). Además tengo que decir de forma honesta que este mirror viene a hacer la parte más limpia de la traducción ya que se han purgado errores gramaticales qué son bastantes evidentes, en la traducció original enviada a Digdeeper fallaban ciertas partes por su esquema y sintaxis, no se podía hacer mucho para la correción generalizada, tocaba parte por parte cosa que era poco eficaz para sincroniaza y por ello notarán alguna diferencia (se espera corregir con el tiempo) al igual en este espacio no quedamos limpios de errores y espero que me resalten los más evidentes para su pronta correción; saludos.