El usuario 'Xuxo Rondinaire' de Tsunami Democràtic ha sido identificado pese a utilizar Proton
Su error fue colocar una cuenta de iCloud como correo de recuperación
Utilizar aplicaciones cifradas y teóricamente seguras no es suficiente para asegurar nuestra privacidad. Es lo que ha aprendido 'Xuxo Rondinaire', el usuario que ha acabado siendo detenido por la Audiencia Nacional dentro de la causa de Tsunami Democràtic, la organización independentista catalana que en octubre de 2019 organizó distintas protestas y fue acusada de actividad terrorista.
Proton está cifrado, pero tiene que seguir cumpliendo las leyes. Proton, anteriormente ProtonMail, es una aplicación de correo que ofrece cifrado de extremo a extremo, es open source y tiene la privacidad por bandera, incluidos servidores en Suiza. Un referente dentro de las aplicaciones que prometen privacidad. Y lo sigue siendo. Sin embargo, no es la primera vez que se ve envuelta en la polémica, por un asunto que queda fuera de su poder de maniobra.
Como cualquier otra empresa o aplicación que quiera seguir siendo viable, tienen que cumplir con las leyes de los distintos países. Esto implica que si un juez, como el de la Audiencia Nacional, exige determinada información, estos están obligados a entregársela.
La cuestión con el cifrado de extremo a extremo, que desde la Policía quieren eliminar, es que directamente se elimina la posibilidad de compartir esa información, porque ni la propia Proton tiene acceso.
El fallo: lo pillaron a través del correo de recuperación. Según describe Vilaweb, al usuario Xuxo Rondinaire, que se ha descubierto que pertenecía al grupo de los Mossos d'Esquadra, se le ha identificado a través del correo de recuperación que puso en Proton.
Sus mensajes e identidad sí estaban cubiertos, pero Proton tuvo que compartir con las autoridades españolas el correo de recuperación del usuario. Un correo asociado a Apple. El siguiente paso fue solicitar a Apple información asociada a esa cuenta y en este caso sí se obtuvieron datos personales como el nombre, la dirección de casa y el número de teléfono del titular.
Proton lo reconoce y se justifica. Desde Proton son muy conscientes de este papel y de hecho ofrecen informes de transparencia anuales. En 2023, Proton tuvo que cumplir con 5.971 órdenes judiciales. En ningún caso se compartieron mensajes, porque están cifrados, pero sí información que disponen como la fecha de creación de la cuenta o el correo de recuperación.
En respuesta a RestorePrivacy, desde Proton explican que "conocemos el caso de terrorismo español por presuntas amenazas al Rey de España, pero por norma general no comentamos casos concretos. Proton tiene información mínima sobre el usuario, como lo ilustra el hecho de que en este caso se utilizaron datos obtenidos de Apple para identificar al sospechoso de terrorismo. Proton proporciona privacidad de forma predeterminada y no anonimato de forma predeterminada porque el anonimato requiere ciertas acciones del usuario para garantizar una seguridad adecuada, como no agregar su cuenta de Apple como método de recuperación opcional. Tenga en cuenta que Proton no requiere agregar una dirección de recuperación ya que, en teoría, esta información puede entregarse mediante una orden judicial suiza, ya que el terrorismo es ilegal en Suiza".
Es una lección para quienes buscan la máxima privacidad. No es la primera vez que Proton colabora con las autoridades. En 2021 fue forzada a compartir la IP de un activista francés tras una orden judicial. En esta ocasión ha sido el correo de recuperación.
Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation, recuerda que "este es el recordatorio habitual de que los metadatos son importantes. En este caso, el activista fue anonimizado a través del correo electrónico de respaldo de la cuenta de Protonmail que usó para configurar Wire, que era una cuenta de iCloud vinculada a su identidad real".
Estos casos desvelan hasta qué punto el utilizar una aplicación privada es realmente suficiente. El fallo de privacidad del usuario catalán fue colocar un correo de recuperación que sí contenía datos personales.
Proton sí podría haber hecho algo más. Aunque el error fue claramente del usuario, hay un punto donde Proton sí podría haber sido mejor para proteger la privacidad del usuario. Como apuntan desde Xnet, organización en defensa de los derechos digitales: "la negligencia de Protonmail es que te pide el correo de recuperación opcionalmente, sí, pero solo te advierte del peligro de no recuperar tu correo sin mención al peligro de su entrega en caso de mandato judicial".
Es decir, Proton no explica de los posibles riesgos en el proceso opcional de añadir el correo de recuperación. Sí se dejan claros los puntos donde el cifrado nos protege, pero no se hace suficiente trabajo didáctico para explicar al usuario todos los métodos que los jueces y la policía tienen para perseguir a los usuarios.
En Xataka | Comparativa de correos electrónicos seguros: qué ofrece y cuánto cuestan los mejores del sector
Ver todos los comentarios en https://www.xataka.com
VER 18 Comentarios