MENÚ
MALDITA TECNOLOGÍA

Las plataformas que dicen respetar tu privacidad también tienen que cumplir con las leyes: el caso de ProtonMail

Publicado
Comparte
Categorías
Recursos utilizados
Hablar con la fuente involucrada
Expertos
Legislación

ProtonMail es un proveedor de correo electrónico que se presenta como alternativa a los servicios tradicionales que ofrecen empresas multinacionales como Google (Gmail) o Microsoft (Outlook/Hotmail). Asegura ser una herramienta más respetuosa con la privacidad de los usuarios y aparece recomendado en muchos repositorios digitales como una buena opción para las personas que quieran mantener sus datos a buen recaudo

¿Basado en qué? Principalmente, en que los mensajes que mandamos están cifrados de extremo a extremo (así que sólo el emisor y el receptor pueden leer el contenido) y que no guardan ciertos datos de registro que otros proveedores sí hacen para colocarnos publicidad, por ejemplo. También en que sus servidores son independientes y están alojados en Suiza (con lo que están obligados a una mayor privacidad que si estuvieran en otro país como los EEUU) y que apenas piden información personal para abrir una cuenta de correo.

En los últimos días ha sido noticia porque un activista francés que participó en una serie de protestas en París en 2020 ha sido arrestado gracias a que la compañía cedió ciertos datos suyos como usuario, incluida su dirección IP. Esta dirección actúa como una matrícula de tu navegación: con una IP se puede identificar la red exacta desde la que ha tenido lugar una conexión e identificar así al propietario. Sin embargo, no es pública para cualquiera: sólo los proveedores de servicios conocen la de cada usuario.

Una de las premisas de ProtonMail a la hora de promocionar su servicio era que, “por defecto”, no recogía datos sobre los logs o inicios de sesión de los usuarios. Unos datos que, enmarcados en una investigación, podrían llegar a identificar a alguno de ellos al reconocer el dispositivo desde el que se conecta o al menos su ubicación aproximada. O simplemente que una persona preocupada por su privacidad no querría que se compartan con terceros para que no haya registros de su actividad online.

Eso no quita que bajo una orden judicial ProtonMail tenga que responder ante las autoridades como otro servicio que sí que recoge de forma activa más datos, o que si hay un requerimiento por su parte de registrar datos de un usuario x en el marco de una investigación, la compañía tenga que hacerlo. En este caso, ProtonMail ha sido criticado por sus usuarios por dar la falsa impresión de que no guardaba su dirección IP, pero sí que podía hacerlo ante una situación así: cualquier compañía está obligada a entregar bajouna orden judicial los datos que tenga, por lo que si se necesita una privacidad absoluta es mejor combinar varias herramientas.

La Europol obligó a las autoridades suizas a exigir la colaboración de ProtonMail

A la dirección exacta de correo electrónico del activista detenido se habría llegado porque se publicó en diferentes foros y de ahí las autoridades pidieron a ProtonMail datos identificativos del usuario que la usaba

Esto funciona de la siguiente manera: las empresas guardan un porrón de datos sobre sus clientes y usuarios. Desde los que les damos nosotros proactivamente, como nuestro nombre o número de teléfono, hasta los que obtienen ellas cuando usamos su servicio (y que tienen que venir recogidas en sus políticas de privacidad). Entre ellos está nuestra dirección IP e incluso otros datos sobre nuestro dispositivo, por ejemplo la marca, el modelo, la resolución de pantalla, el navegador y las extensiones que tenemos instaldas... . Si un juez emite una orden solicitando que una empresa entregue los datos que tiene sobre un usuario en particular, esta tendrá que cumplir con ella. Esto aplica a cualquier empresa y siempre debería venir reflejado en sus políticas de datos.

Recordamos que esto se aplica por jurisdicciones nacionales y que son los estados de los países en los que se tiene basada su residencia y/o servidores una empresa los que tendrían que hacer el requerimiento. ProtonMail tiene su base en Suiza, por lo que responde ante las leyes suizas. En este caso, eran las autoridades francesas las que necesitaban identificar al activista, de modo que tuvieron que recurrir a la Europol y que desde ahí se instara a las autoridades suizas a requerir esa información a ProtonMail.

Las compañías también pueden ‘apelar’ esa solicitud. ProtonMail desglosa en un informe de transparencia el número de solicitudes de información que recibe cada año: solo en 2020 recibieron un total de 3.572 peticiones de información, de las cuales 195 provenían de países extranjeros pero fueron aprobadas por las autoridades suizas. De ellas, cumplieron 3.017 y apelaron 750.

Falta de información en la Política de Privacidad: ProtonMail sí puede registrar direcciones IP

Muchas polémicas sobre protección de datos resultan de una mala comunicación por parte de la empresa de lo que realmente hace o deja de hacer con la información personal de la gente. En esta ocasión, los usuarios se han quejado de que ProtonMail aseguraba no registrar la dirección IP: hemos podido comprobar que en la Política de Privacidad se mencionaba este registro pero no suficientemente claro como para que los usuarios tuvieran constancia de cuándo se guardaba. 

En la Política de Privacidad de 2019, ProtonMail especificaba que “no guarda logs de IP permanentemente”. Sin embargo, aclaraba que estos logs pueden guardarse “temporalmente” para combatir casos de fraude en la plataforma y que esta dirección IP se puede guardar permanentemente en caso de “estar involucrado en actividades que incumplan los términos y condiciones” del servicio”.

También clarificaba que sólo desvelan los “limitados datos de usuario” que guardan si lo ordena “un requerimiento legal vinculante de las autoridades suizas. 

El informe de transparencia citado arriba comienza aclarando que “en casos criminales extremos, ProtonMail podría estar obligado a monitorizar las direcciones IP que se están usando para acceder a las cuentas involucradas en actividades criminales”. En la versión actualizada el propio 6 de septiembre, día que saltó la polémica por el arresto del activista, la compañía añadió que “son las autoridades suizas las que exclusivamente determinan si para un caso se debe cumplir con estas obligaciones y no ProtonMail”.

La Política de Privacidad también se ha actualizado este 6 de septiembre, después de que se diera a conocer el caso del arresto, para incluir información más específica sobre cuándo se guarda una dirección IP, ya que antes solo se indicaba que no las guardaban “por defecto”. La reacción de los usuarios fue tal que no solo actualizaron la política el mismo día, sino que publicaron un aclaratorio contando su versión de los hechos.

“Una cosa es que ellos por defecto no lo traten pero, si una autoridad se lo requiere, lo puedan obtener. Si lo pueden obtener significa que lo están tratando porque tienen la posibilidad de acceder a esa información, aunque no lo estén utilizando o monitorizando salvo requerimiento a la autoridad. La mera posibilidad de acceder ya requiere que informes a los interesados”, explica a Maldita.es Rahul Uttamchandani, abogado especializado en nuevas tecnologías y protección de datos.

Precisamente el hecho de que pudieran “tratar” ese tipo de datos sin especificarlo a los usuarios es lo que ha molestado a muchos de ellos, ya que en la política de privacidad no se contaba claramente cuándo y para qué se recogerían datos como la IP.

En todo caso, ProtonMail puede entregar los datos de navegación que tiene de un usuario, pero no el contenido de sus mensajes. Estos están cifrados de extremo a extremo por lo que no son legibles para la compañía. Solo el emisor y el receptor del mensaje los pueden leer. Sí que podría entregar, según ellos mismos aclaran, una copia de los mensajes encriptados.

Las herramientas pro-privacidad también tienen vulnerabilidades

Que ProtonMail no registre las direcciones IP por defecto significa que al final no guarda tantos datos del usuario pero, como recuerda Uttamchandani, implica que, por poder, puede acceder a ellas. Eso es porque, si bien ProtonMail asegura cierto grado de privacidad, en un caso como este, en el que recibe una orden judicial de las autoridades, no puede garantizar el anonimato al cien por cien. La única forma de proteger datos es no recogerlos o borrarlos, como hacen algunas compañías mediante una no logging policy, que consiste en no recoger datos (si la ley lo permite)

Un servicio, ya sea ProtonMail u otro, puede ser más o menos seguro dependiendo de las necesidades de anonimato que tenga el usuario, y según la tarea que tenga que realizar necesitará más o menos capas de protección. En este caso, una de las herramientas más recomendadas a la hora de navegar de forma anónima es Tor (al que también deriva ProtonMail a los usuarios que quieren comunicarse de forma segura).

Una VPN, por ejemplo, puede enmascarar la dirección IP de un usuario pero, según Uttamchandani, también es rastreable en el contexto de una investigación. 

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.