NOTA: Este artículo está basado en un caso del 2021, mezclado con una reflexión y algunos datos más actuales que se pudieron conseguir con el transcurso del tiempo, tenlo en cuenta… es un artículo reflexivo acerca de la privacidad 🙂

Últimamente, me he dado cuenta de que estoy rescatando mucho contenido del pasado y me he preguntado ¿por qué? Estos recuerdos son un claro ejemplo de los desafíos que aún enfrentamos en la actualidad y nos sirven como recordatorio de que no debemos caer en ellos nuevamente. Al menos, idealmente, aspiramos a evitar repetir esos errores.

Desde que salieron los servicios de Proton, me entusiasmé bastante con sus anuncios en las diferentes plataformas, sobre todo en Reddit, donde se hacían eco de algo revolucionario y diseñado por expertos, como es el caso del Sr. Andy Yen, un físico del CERN. Sí, les estoy hablando de Proton y todos sus servicios, desde ProtonMail hasta ProtonVPN, de los cuales soy usuario desde hace mucho tiempo, casi desde que salieron al público. Puedo decir que su publicidad llamativa me atrajo y esa promesa de transparencia y “anonimato” me conquistó, aunque la realidad es algo cuestionable y ya veremos por qué.

Según el informe de transparencia de Proton, se puede observar un incremento en las órdenes judiciales con cada año que pasa. Es aún más preocupante que de todas estas peticiones judiciales, solo unas pocas han sido impugnadas, mientras que la gran mayoría ha sido cumplida. Esto es sorprendente ya que, al principio, este proveedor de servicios prometía siempre luchar por proteger al usuario y no entregar la mínima información que poseen.

“De vez en cuando, Proton puede verse obligado legalmente a divulgar cierta información del usuario a las autoridades suizas, como se detalla en nuestra Política de privacidad . Esto puede suceder si se infringe la ley suiza. Como se indica en nuestra Política de privacidad, todos los correos electrónicos, archivos e invitaciones están encriptados y no tenemos forma de desencriptarlos.

Según el artículo 271 del Código Penal suizo, Proton no puede transmitir ningún dato a autoridades extranjeras directamente y, por lo tanto, rechazamos todas las solicitudes de autoridades extranjeras. Las autoridades suizas pueden ocasionalmente ayudar a las autoridades extranjeras con solicitudes, siempre que sean válidas según los procedimientos de asistencia legal internacional y se determine que cumplen con la ley suiza. En estos casos, el estándar de legalidad se basa nuevamente en la ley suiza. En general, las autoridades suizas no ayudan a las autoridades extranjeras de países con antecedentes de abusos contra los derechos humanos”.

Son las políticas actuales que fueron puestas debidos a los malentendidos.

Lo más actual del informe que tenemos es del año 2022 quedando tal qué así:

• Número de órdenes judiciales: 6.995
• Pedidos impugnados: 1.038
• Órdenes cumplidas: 5.957

No es poco, solo en el 2021 impugnaron 1.323 órdenes de las 6.243 emitidas, por lo que en ningún año ha sido un número elevado. Ya sé lo que estás pensando: “No es poco, es demasiado”, especialmente cuando una empresa no iría a la cárcel por ti. Sí, esto tiene mucho sentido, pero no puedes prometer algo que no puedas cumplir. Continuaré desarrollando este artículo.

Justamente, este servicio ha tenido muchos detractores debido a su exageración en cuanto a la “privacidad y anonimato”. De hecho, desde que tengo cuenta allí, muchos usuarios de la comunidad pro-privacy con los que comparto me han preguntado: “¿Qué estás haciendo allí?“. Bueno, lo irás entendiendo a lo largo de este artículo. El caso es que, debido a esas “promesas” exageradas, ha habido un público que se ha mantenido alejado. De hecho, el 6 de septiembre de 2021, un usuario hizo eco en Twitter de los cambios que Proton estaba haciendo en su documentación, donde sutilmente modificaron sus políticas de privacidad, quedando así:

“Si está violando la ley suiza, ProtonMail puede verse obligado legalmente a registrar su dirección IP como parte de una investigación criminal suiza”.

Debido a esto, muchos se preguntaban ¿registran o no las direcciones IPs? Esto podía haber quedado algo más desapercibido, aunque para aquellas fechas estaba pasando algo muy turbio en Francia que involucraba directamente a Proton, justamente un activista climático fue arrestado después de que ProtonMail proporcionara su dirección IP , tanto revuelo causo que Proton salió a defenderse en Reddit y dar explicaciones del hecho:

“Hola a todos, aquí el equipo de Proton. También estamos profundamente preocupados por este caso. En aras de la transparencia, aquí hay más contexto.

En este caso, Proton recibió una orden legalmente vinculante del Departamento Federal de Justicia de Suiza que estamos obligados a cumplir. No hubo posibilidad de apelar o impugnar esta solicitud en particular porque, de hecho, se produjo un acto contrario a la ley suiza (y esta fue también la determinación final del Departamento Federal de Justicia, que realiza una revisión legal de cada caso).

Los detalles sobre cómo manejamos las solicitudes de las fuerzas del orden suizas se pueden encontrar en nuestro informe de transparencia: https://protonmail.com/blog/transparency-report/

La transparencia con la comunidad de usuarios es extremadamente importante para nosotros y publicamos un informe de transparencia desde 2015.

Como se detalla en nuestro informe de transparencia, nuestro modelo de amenazas publicado y también nuestra política de privacidad, según la ley suiza, Proton puede verse obligado a recopilar información sobre cuentas pertenecientes a usuarios bajo investigación criminal suiza. Obviamente, esto no se hace de forma predeterminada, sino solo si Proton obtiene una orden legal para una cuenta específica. Sin embargo, bajo ninguna circunstancia se puede eludir nuestro cifrado , lo que significa que los correos electrónicos, los archivos adjuntos, los calendarios, los archivos, etc., no pueden verse comprometidos por órdenes legales.

¿Qué significa esto para los usuarios?

Primero, a diferencia de otros proveedores, ProtonMail lucha en nombre de los usuarios. Pocas personas saben esto (está en nuestro informe de transparencia), pero en realidad peleamos más de 700 casos solo en 2020 , lo cual es una cantidad enorme. Sin embargo, este caso particular no pudo ser combatido.

En segundo lugar, ProtonMail es uno de los únicos proveedores de correo electrónico que proporciona un sitio de cebolla Tor para acceso anónimo. Esto permite a los usuarios conectarse a ProtonMail a través de la red de anonimato Tor. Puede encontrar más información aquí: protonmail.com/tor

En tercer lugar, independientemente del servicio que utilice, a menos que se encuentre a 15 millas de la costa en aguas internacionales, la empresa deberá cumplir con la ley. Este caso ilustra uno de los beneficios de la jurisdicción suiza de ProtonMail, ya que se requirió que no menos de 3 autoridades en 2 países aprobaran la solicitud, que es una barra mucho más alta que la mayoría de las otras jurisdicciones. Según la ley suiza, también es obligatorio que se notifique al sospechoso que se solicitaron sus datos.

La acusación en este caso parece bastante agresiva. Desafortunadamente, este es un patrón que hemos visto cada vez más en los últimos años en todo el mundo (por ejemplo, en Francia, donde las leyes antiterroristas se usan de manera inapropiada). Continuaremos haciendo campaña contra tales leyes y abusos.

Hemos compartido más aclaraciones sobre esta situación aquí: https://protonmail.com/blog/climate-activist-arrest/ “.

En resumen y en cristiano

Proton nunca incumplió ninguna de sus ‘promesas’, aunque no fue lo suficientemente claro para el público en general. Esto es especialmente relevante dado que no todos somos suizos y no entendemos los vacíos legales de esa jurisdicción. Además, se evidenció la fuerza desmedida que el gobierno francés utiliza para hacer que otras naciones cumplan con las órdenes judiciales a través de sus leyes antiterroristas.

Es importante destacar que el servicio de Proton nunca fue diseñado para cubrir actividades ilegales. De hecho, dejan en claro que colaborarán con las leyes suizas en todo momento. Una de las ventajas de estas leyes, en comparación con otras naciones, es que los casos deben ser muy graves para que los suizos procesen una solicitud. Además, no procesan solicitudes de países considerados ‘violadores de los derechos humanos’, como Rusia, Corea del Norte, entre otros. Estos países podrían abusar del servicio sin enfrentar sanciones.

Teniendo todo esto en cuenta, lo que debemos saber de tal caso es qué:

• El cifrado no sé compromete nunca.
• Pueden activar el registro de IP una vez sea acepta una solicitud judicial.
• Dichas solicitudes no se extienden a los servicios de ProtonVPN, todavía no hay una ley sobre ello.
• Teniendo en cuenta el punto anterior: si los activistas hubiera utilizado ProtonVPN, la Red Tor u otro servicio de VPN, hubieran salido librados. Además, se teoriza que también montaban fotos a Instagram entonces su identificación no fue tan difícil.
• El mismo Andy Yen impulsa el uso de Protonmail desde la red Tor que cuenta con su propia dirección cebolla.
• Protonmail nunca colaboro con la policía francesa, pero está notifico a las autoridades suizas, por lo que Proton tuvo que responder si o si a esta última.
• Según las Ley Suiza, dicho proveedor debe notificar al usuario en caso de aceptar tal cual una petición judicial, a no ser de qué el caso sea grave y no pueda levantar sospechas, en caso de terrorismo o más. De hecho, el medio Techcrunch le pregunto a Andy Yen de cuando se le notifico a dichos usuarios y este respondió que “por razones legales y de privacidad”, no podía comentar sobre detalles específicos del caso o proporcionar “información no pública sobre investigaciones activas”, y agregó: “Tendría que dirigir estas consultas al autoridades suizas”.
• Según las políticas de privacidad de Protonmail, en caso de una solicitud de la ley válida, podrían entregar una dirección de correo electrónico, actividad/metadatos de la cuenta (como el remitente, las direcciones de correo electrónico del destinatario, las direcciones IP desde las que se originaron los mensajes entrantes, las horas en que se enviaron y recibieron los mensajes, los asuntos de los mensajes, etc.); número total de mensajes, almacenamiento utilizado y última hora de inicio de sesión; y mensajes sin cifrar enviados por proveedores externos a ProtonMail.
• Solo conocemos las estadísticas y no cuáles fueron los casos legales. En este caso se trata de un activista climático; pero no sabemos por qué el gobierno francés solicitó sus datos. Puede ser por acciones de activistas legales y se están excediendo, o por algo en lo que realmente fue demasiado lejos y violó las leyes normales que tenemos en todos los países. Lo mismo ocurre con todas esas otras solicitudes.
• Algunos decían preferir Tutanota en vez de Proton debido a este caso, deberían saber que las leyes Alemanas procesas más rápido tales peticiones.

“Sin embargo, en general, a menos que se encuentre a 15 millas de la costa en aguas internacionales, no es posible ignorar las órdenes judiciales”. -Andy Yen

Espero haber sido bastante claro a lo largo desde artículo anclando las respectivas fuentes de información y en si, mi positiva reflexión acerca del serivicio de Proton, que aun sigue siendo de los más transparentes que hay en el mercado, por lo que debemos de aprender de estos hechos y tener claro cómo debemos actuar ante casos particulares; siempre será mejor un protocolo de confianza 0.

Cualquier correción, sugerencia, queja o reclamo, es bienvenido 🙂 ; Saludos.