Soy usuario de ProtonMail desde hace muchos años y hasta el momento no me he arrepentido de haber elegido a dicho servicio de correo electrónico como el principal (y algunos de sus servicios) más allá de la buena fe, su documentación es demasiado completa y transparente, con el tiempo las auditorías no han faltado y eso es lo que hace que un servicio genere confianza. Más allá de su ubicación física y protocolos, en sí, su jurisdicción. ¿Por qué? A eso iba.
La imagen que yo tenía en su momento acerca del servicio Tuta (anteriormente Tutanota) y ProtonMail era de servicios hermanos, ambos parecían darse buena publicidad debido a que en las diferentes documentaciones solía verse reflejado alguno de los dos nombres aplaudiendo alguna característica muy por encima de la competencia tradicional (Gmail, Hotmail, etc.) por lo que nunca me esperaba ninguna ‘competencia’ entre sí. Aunque lo que he visto estos días ha cambiado mi visión en el campo.
Resulta que el día 20 de diciembre de 2023, Tuta publicó un artículo titulado: ‘La ilusión de la “privacidad Suiza“, en el cual podría resumir de la siguiente forma:
En el artículo en cuestión, Tutanota argumenta que la privacidad digital no se logra simplemente ubicándose en un país con fuertes leyes de protección de datos. En cambio, requiere que las empresas de servicios digitales implementen y sigan políticas de privacidad sólidas, y que los usuarios sean conscientes y críticos con estas políticas.
Algunos puntos clave que se destacan en el artículo son:
- La ubicación geográfica no garantiza la privacidad: Aunque Suiza es conocida por sus fuertes leyes de protección de datos, esto no garantiza que los proveedores de servicios digitales ubicados allí respeten y cumplan con estas leyes. De hecho, el artículo sugiere que incluso los países con leyes de protección de datos más fuertes pueden verse obligados a compartir datos bajo presión de las autoridades.
- Las políticas de privacidad de la empresa importan más que la ubicación geográfica: Según el artículo, la privacidad digital no depende de la ubicación geográfica de la empresa, sino de sus propias políticas de privacidad. Esto implica que incluso si una empresa se encuentra en un país con fuertes leyes de protección de datos, puede no ser capaz de garantizar la privacidad si sus políticas de privacidad son débiles.
- La transparencia es crucial para la privacidad: Sostienen que la transparencia es esencial para garantizar la privacidad digital. Esto incluye ser transparente sobre cómo se recogen, almacenan y utilizan los datos del usuario, así como sobre cómo se manejan las solicitudes de los usuarios para acceder a sus propios datos.
- Es importante cuestionar las políticas de privacidad de las empresas: Finalmente, el artículo insta a los usuarios a cuestionar las políticas de privacidad de las empresas de servicios digitales y a elegir aquellas que se comprometan con la privacidad y la transparencia.
Y sí… todo parece muy bien y motivo de aplausos, pero hay partes del artículo en donde directamente se ataca a Proton (si es que antes no habías cogido la referencia con la ubicación) y es que afirman que el protocolo de cifrado PGP está un poco atrás frente a la implementación que ellos utilizan, también de su colaboración con las autoridades enlazando un artículo especial y cómo no, afirmando que no se cifra la libreta de contactos quedando un poco vulnerable, algo que Proton sale a desmentir más adelante.
Proton al ataque
Un día después, 21 de Diciembre de 2023, Proton saca toda su artillería para arremeter contra Tuta titulando “Cifrado Proton Mail versus Tuta (Tutanota)” en donde se destacan los siguientes puntos:
- Riesgos de la encriptación propia: El artículo critica a Tutanota por usar una encriptación propia en lugar de estándares de criptografía abiertos como OpenPGP, que utiliza ProtonMail. La encriptación propia de Tutanota significa que la seguridad de sus aplicaciones ha recibido menos escrutinio y análisis académico, lo que ha llevado a fallos. Por ejemplo, Tutanota no siempre usa (y requiere el uso de) encriptación autenticada, lo que significa que su servidor (o un atacante que comprometa su servidor) podría modificar un mensaje en la bandeja de entrada de los usuarios de Tutanota sin que la aplicación (y potencialmente el usuario) lo note.
- Cifrado de ProtonMail: El cifrado de ProtonMail es de código abierto y disponible para inspección pública. Al usar estándares abiertos, el cifrado que utiliza ProtonMail también se discute y debate públicamente como parte del proceso de estandarización IETF. Esto contrasta con Tutanota, que utiliza encriptación propia, lo que significa que la seguridad de sus aplicaciones ha recibido menos escrutinio y análisis académico, lo que ha llevado a fallos.
- Diferencias entre ProtonMail y Tutanota: El artículo señala que Tutanota ha hecho afirmaciones falsas sobre la encriptación de ProtonMail. Por ejemplo, afirma que la libreta de direcciones de ProtonMail no están encriptados, cuando en realidad están encriptados. También afirma que los metadatos del Calendario de ProtonMail no están encriptados, cuando en realidad están encriptados. Además, critica a Tutanota por afirmar que encripta todo el libro de direcciones, lo cual es engañoso.
Y cierran con esta gloriosa cita:
“Felicitamos a Tuta por intentar hacer lo que hace Proton; el mundo ciertamente necesita más personas trabajando en soluciones privadas predeterminadas, pero la integridad también es importante” – Proton.
Y por cierto, un usuario le comento lo siguiente a los de Tuta que vale la pena destacar:
“Que yo sepa, las leyes suizas no obligan a Proton a empezar a registrar correos electrónicos no cifrados por orden judicial, a diferencia de Tutanota (por favor, corríjanme si me equivoco, pero según su informe de transparencia: hubo nueve casos de solicitudes recibidas de datos de contenido en tiempo real“.
No sé.. ¿Qué creen ustedes? En mi humilde opinión creó que no era necesario tales publicaciones, tienen la misma misión, ¿por qué no unirse? El servicio de correo seguro Skiff ahora soporta PGP, entonces es un punto más para el cifrado entre mails, con Tuta sumándose sería aún más perfecto el secreto sin pasos extras.
Una cosa te voy a decir, a la mierda el correo electrónico, deberíamos volver a escribir cartas.
Ahora bien, tanto Proton como Tuta son excelentes proveedores de correo electrónico. Ambos son mejores que cualquier alternativa fuera de las redes tor y p2p. Y bajo mi punto de vista, ambos tienen un problema similar, y es que se olvidaron sólo de ser un excelente producto, sino que cada vez van integrando más catálogo en sus servicios, lo cual les desvía la atención de ir perfeccionando el servicio en el que estoy interesado a favor de ir agregando otros en los que no.
Tiene sentido tu aporte. Debido a la diversidad de sus servicios puede que descuiden el producto principal y eso es precisamente lo que no queremos, aunque, puede que también se convierta en una suite todo en uno enfocando dichos servicios en pro de la privacidad/seguridad en línea.
Saludos.
Los dos llevan razón xD
Claro, hay información razonable de por medio, la cuestión es cómo se abordó el tema por el lado de Tuta, quienes querían hacer quedar mal a Proton, pero estos le salieron varios pasos adelante.
Saludos.