Durante estos días surgió un artículo bastante crítico acerca de ProtonMail, titulado: “El problema de Proton”, escrito por Sam Bent, periodista y experto en OSINT (inteligencia de fuentes abiertas), OPSEC (seguridad operativa) y la darknet. Hoy se dedica a exponer técnicas de privacidad, anonimato y ciberseguridad a través de su sitio sambent.com, YouTube y charlas en eventos como DEF CON y SANS; es decir, alguien con bastante criterio para publicar un artículo de tal magnitud.
Dicho artículo refleja una realidad bastante incómoda acerca de lo que es Proton y yo, como fiel usuario, lo reconozco. De hecho, vengo escribiendo sobre los servicios de Proton desde 2022 y he notado todos los cambios a lo largo del tiempo, tanto en su aspecto visual —que ha sido agradable— como en sus normativas y documentación, que han dejado cosas que pensar.
En materia de características siguen incorporando buenas mejoras. Sin embargo, también existen aspectos que, como bien mencioné anteriormente, generan dudas; cuestiones que, al igual que Sam, he documentado y muchas de las cuales él menciona actualmente ya las había observado desde mucho antes.
Por ejemplo del 29 de Junio de 2023: “Cumplimiento Legal vs Privacidad: El Caso de ProtonMail y la Ley Suiza” , 11 de mayo de 2024 – “Otra vez Proton Mail involucrado en el arresto de alguien”, 27 de mayo de 2025 – “ProtonMail: De la crítica al cambio – lo que sí hicieron bien (y lo que no)”. Seguro se me pasa algún otro, y lo sé: he escrito bastante sobre Proton Mail.
Aunque no todo gira alrededor de Proton Mail, el tema principal es la seguridad del correo electrónico y, pues, uno de sus exponentes principales es Proton; por ende, este artículo busca finalizar la trama del email.
La conclusión de mis artículos y el artículo de Sam más reciente es: Proton registra demasiados metadatos y cede demasiado fácil a las solicitudes de ley, impugnando muy pocas, cuando su competencia ha demostrado que si se puede impugnar.
Ahora bien, en el teatro contemporáneo de la privacidad digital, Proton Mail no es el villano corporativo que algunos demonizan ni el santo intachable que su marketing alpino suizo pinta. Suiza —neutral, fuera de Five Eyes, con leyes de datos estrictas— actúa como símbolo potente, pero no como fortaleza inexpugnable: tratados como MLAT abren puertas a órdenes judiciales transfronterizas que extraen metadatos sin rozar el cifrado E2EE OpenPGP/AES-256 automático. Proton ha construido un imperio sobre código abierto, apps intuitivas y auditorías independientes, pero sus informes de transparencia dicen lo obvio: cooperar con el Estado no es falla moral, sino el precio inevitable de operar legalmente en 2026. Con 100M+ usuarios, las solicitudes gubernamentales explotaron de 340 en 2018 a 9.301 en 2025, cumpliendo 8.313 —casi puro metadatos: IPs de login, correos de recuperación y marcas de tiempo.
Esos datos no descifran tu inbox (cifrado con tu clave pública y solo descifrable con tu clave privada), pero en vigilancia masiva correlacionan vidas: IP + hora + correo de recuperación = biografía comprimida. El caso “Stop Cop City” (2026) lo probó: Proton cedió metadatos al FBI vía MLAT suizo, sin tocar contenido. Neutralidad geográfica negocia con imperios procesales; no es traición, es el mundo real.
Tuta Mail: Diseño minimalista y cifrado resistente a ataques cuánticos vs. Leyes Inquebrantables
Desde Alemania bajo GDPR feroz, Tuta (ex-Tutanota) cifra más que Proton: asuntos, índices de búsqueda y metadatos clave con TutaCrypt quantum-safe (propietario). Emails entrantes de externos se protegen vía contraseña, superando los asuntos expuestos de Proton. Open-source puro, sin rastreadores de Google ni tracking de otro estilo, presume acceso cero al contenido. Pero la justicia alemana no negocia: fallo de 2021 obligó monitoreo de cuentas en chantaje, entregando emails no E2EE entrantes. En 2026, sin auditorías frescas públicas, brilla en detalles técnicos pero cede ante cortes locales —”no logs” significa no almacenamiento sistemático, no inmunidad total.
Atomic Mail: Promesa de Almacenamiento Ilimitado, ¿Realidad Sólida?
Atomic Mail irrumpe como alternativa audaz a Proton: beta gratuita con almacenamiento ilimitado, 10+ alias, 150 direcciones de correo desechables, suite AI completa y E2EE zero-access —supera Proton Plus (15GB, 10 alias) en capacidad bruta y características como recuperación de cuenta por frase semilla. Enfocado en privacidad (libre de spam y emails protegidos con contraseña –Comunicación con Gmail-), promete no acceder a datos, pero carece de historial comprobado extenso bajo fuego real: sin informes de transparencia públicos ni auditorías independientes reportadas en 2026, su juventud genera escepticismo. Para usuarios masivos hartos de límites, tienta; para paranoicos, necesita madurar bajo fuego real.
Colectivos Disidentes: Riseup, Disroot y Refugios Marginales
Riseup.net, anarquista sin fines de lucro en EE.UU., desecha el modelo empresa: email OpenPGP manual, sin cuentas perpetuas ni metadatos persistentes (solo lo mínimo operativo), para activistas —resistió solicitudes legales (Solicitud de Assange) publicando respuestas sin entregar nada comprometedor.Disroot.org (Países Bajos) ofrece suite descentralizada: email con cifrado de transporte como todos los modernos y pues OpenPGP opcional, logs <24h diagnósticos, pagos anónimos, sin escaneo —asuntos no cifrados, pero radar bajo.
Nichos sólidos: StartMail (Países Bajos, PGP + alias desechables ilimitados); Mailfence (Bélgica, OpenPGP con calendario/docs cifrados); CounterMail (Suecia, híbrido con tokens USB anti-allanamiento). Masas eligen Proton/Tuta/Atomic por UX; disidentes,colectivos por superficie mínima.
Lecciones del Pasado: El Caso Criptext
Criptext, app panameña de mensajería E2EE con auto-borrado (2015-2018), prometió soberanía total sobre mensajes —borrarlos remotamente, sin servidores centrales. Colapsó por líos legales de su fundador (peculado, blanqueo) y falta de escala, cerrando en 2018 pese a hype inicial. Muestra el riesgo: innovación extrema choca con realidad legal/económica; servicios longevos priorizan cumplimiento sobre utopía.
VPNs: Capa Necesaria, No Salvadora
Proton VPN (Algunos servidores por RAM, no-logs auditado) rechazó 59/59 solicitudes en 2025 —anonimiza IPs de login y ha demostrado ser una de las VPNs que más impugna solicitudes, igualmente no pueden entregar algo que no existe. Mullvad probó no-logs en redada 2023. VPN tapa IP al email, no metadatos internos —por lo que debe ser una capa obligatoria en cuanto a higiene digital.
Por o que llegado a este punto, nos podríamos preguntar Marketing vs. Ingeniería: ¿Qué Datos Naces Generando?
Proton/Tuta/Atomic venden características (freemium, quantum, ilimitado), pero generan recuperación para UX. Colectivos: casi cero datos. Externalizamos privacidad cuando debe ser disciplina.
Conclusión: El Límite No Es la Empresa, Es el Protocolo
La verdad incómoda es esta: ningún proveedor comercial puede prometer resistencia absoluta frente a órdenes judiciales válidas sin dejar de existir como entidad legal. La diferencia no es quién “traiciona”, sino qué datos genera por diseño.
El correo electrónico nació abierto, federado, interoperable. No nació clandestino. Intentar convertirlo en herramienta de secreto absoluto es pedirle a un protocolo de los años 80 que compita con sistemas diseñados desde cero para mensajería segura.
Para comunicaciones realmente sensibles, el correo electrónico no es el canal adecuado. Herramientas como Signal, Simple X Chat, Session, XMPP con OTR y Matrix existen porque el problema no es la marca del buzón, sino la arquitectura subyacente.
En 2026 la madurez no consiste en buscar el proveedor “perfecto”. Consiste en aceptar que el correo debe usarse para lo estrictamente necesario: registro, autenticación, comunicaciones formales. Y para lo íntimo, lo estratégico, lo que no debe correlacionarse con nuestra identidad civil, migrar a sistemas diseñados para ello.
No es cinismo. Es ingeniería. Y también es filosofía: la privacidad real no depende de un logo, sino de la cantidad de datos que decidimos no generar.
Excelente 👌
¡Gracias por leer! 😀