ProtonMail: De la crítica al cambio – lo que sí hicieron bien (y lo que no)

Hace unos días me encontraba revisando los grupos en los que estoy en Signal y me encontré con qué se estaban discutiendo sobre un artículo escrito allá por el 2017, un artículo del Collective Liberation for Digital Communications (CLDC) incendió ciertas esferas críticas de la privacidad digital. No porque dijera una mentira, sino porque apuntó el dedo justo donde dolía: en la confianza ciega que muchos usuarios tenían (y aún tienen) en ProtonMail, como si fuera un escudo indestructible ante la vigilancia. El problema es que el blindaje, en ese entonces, tenía algunas fisuras.

Pero el tiempo ha pasado. ProtonMail ya no es exactamente lo que era en 2017. ¿Mejoró? ¿Se vendió? ¿Resolvió lo que se le criticaba? Pues como casi todo en esta vida: un poco de todo.

El pasado: ¿qué se le criticaba a ProtonMail en 2017?

El artículo de CLDC no era tibio. Sus puntos eran claros y dolorosos:

  • ProtonMail almacenaba los metadatos de los correos (quién, a quién, cuándo).
  • La interfaz web desencriptaba los mensajes en el navegador usando JavaScript provisto por el propio servidor (riesgo si ese JS era manipulado).
  • El sistema de recuperación de contraseña podía invalidar las claves anteriores, dejando los mensajes anteriores inaccesibles.
  • Se cuestionaba la supuesta independencia suiza, pues Suiza coopera con Interpol y Europol.
  • Se advertía que no era un correo anónimo, algo que muchos usuarios malinterpretaban.

En resumen: ProtonMail protegía bien el contenido del mensaje, pero no todo lo demás, y eso era suficiente para generar desconfianza en quienes sabían dónde mirar.

¿Qué ha cambiado desde entonces?

A favor de ProtonMail, no se quedaron de brazos cruzados. Algunos de esos puntos se reconocieron públicamente y dieron pie a mejoras concretas:

Privacidad de metadatos

Aunque sigue almacenando metadatos mínimos (como cualquier proveedor de correo debe hacerlo por funcionamiento SMTP), ahora son mucho más transparentes sobre esto, y permiten usar aliases y dominios personalizados para proteger mejor la identidad.

No eliminan los metadatos, pero te dan más herramientas para camuflarlos.

JavaScript y cliente web

ProtonMail lanzó un nuevo cliente completamente reescrito con enfoque en privacidad y código abierto bajo el proyecto ProtonMail Bridge y ProtonMail Web v4. Ahora el cliente puede auditarse y se han implementado mejoras que minimizan los riesgos de ejecución de scripts maliciosos.

Sigue siendo JS del servidor, pero el código ahora es mucho más auditable y modular.

Recuperación de contraseña y llaves

Ahora el sistema ofrece mejor control sobre las claves: podés decidir si conservar el acceso a correos viejos al cambiar la clave, o revocar todo. También existe un sistema de recuperación con más transparencia en cuanto a sus implicancias.

Ya no es el “si cambiás la clave, perdés todo” sin explicaciones de antes.

La neutralidad suiza… con asteriscos

Proton sigue estando sujeta a las leyes suizas, pero han tenido que cumplir con órdenes judiciales. En 2021 revelaron datos de IP de un activista, lo que desató una polémica importante. La empresa respondió con transparencia, dejó de registrar IPs por defecto y explicó cómo y por qué habían sido legalmente obligados.

Sí, entregaron IP. Sí, se arrepintieron. Y cambiaron la política por defecto para que eso no vuelva a pasar (al menos fácilmente).

¿Sigue sin ser anónimo?

Exactamente. ProtonMail nunca fue un servicio de anonimato. Es un servicio cifrado, y eso no es lo mismo. Si entrás desde tu navegador habitual, con tu IP real, usando tu teléfono como segundo factor, pues… ya sabés cómo termina esa historia.

Pero ahora lo dicen con más claridad en su documentación oficial y alientan a usar Tor o VPNs si se busca más anonimato.

Lo bueno, lo malo y lo que sigue pendiente

Lo que mejoraron:

  • Interfaz moderna, rápida y más confiable.
  • Transparencia sobre cooperación legal (aunque incómoda).
  • Código fuente más accesible y mantenido.
  • Política de IPs ajustada.

Lo que todavía es cuestionable:

  • Sigue existiendo una dependencia técnica del frontend JS.
  • Aún no hay anonimato real, aunque ahora son más honestos al respecto.
  • Cooperación con autoridades bajo presión legal aún existe (como cualquier empresa).

Entonces… ¿vale la pena confiar en ProtonMail hoy?

Depende para qué.

Si buscás un correo cifrado, confiable, usable en todas partes, con apps, buen soporte y cifrado E2E, ProtonMail es de lo mejor que hay. Si buscás anonimato total estilo Tails o correo cebolla, andá preparando tu Posteo, tu Tor, tu GPG y tu paranoia.

Lo importante es no romantizar ningún servicio. ProtonMail ha mejorado. Mucho. Pero sigue siendo una empresa suiza que cumple con la ley suiza, y que, como cualquier estructura en este mundo, tiene límites.

Algo de lo que me produce un poco de gracia, es que en dicho artículo se recomendaban los servicios de Riseup algo así como “solución” y sí, la verdad es que son buenos en lo que hacen, pero también poseen problemas por lo que son y están en el mismo riesgo o peor que Protonmail, de hecho ya tienen historia para confirmarlo ¿O no se acuerdan cuando el FBI les secuestro un servidor? Bueno, no era directamente de ellos, pero también quedaron afectados, el caso es que siempre van a estar en la mira por su concentración de libertarios.

NOTA: Sobre esto último tuve una sensación algo extraña y curiosa debido a que la información que había sobre este caso de Riseup, mágicamente desapareció la gran mayoría… me acuerdo en ver un sin fin de medios e imágenes, ahora se reduce a solo 5 medios, incluso tampoco está el registro en Wikipedia en español e inglés, algo hay allí, los dejó con esa incógnita (llegue a pensar en un efecto Mandela, que realmente estaba confundiendo el caso o nunca existió).

La única imagen que se tiene del caso de incautación del servidor; sacada de acá.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *