ProtonMail se ha convertido en uno de los correos electrónicos más reconocidos de la actualidad por sus opciones de privacidad. La plataforma es utilizada por políticos, periodistas, y expertos en seguridad, entre muchos otros quienes también sacan provecho del cifrado de extremo a extremo, entre otras características. Sin embargo, en los últimos días el servicio se vio envuelto en una polémica, tras confirmarse que registró la dirección IP de un activista climático francés y la compartió con la Policía de su país.

TechCrunch publicó el informe original a fines de la última semana y se provocó un revuelo internacional que ahora obligó a los responsables de ProtonMail a aclarar qué sucedió, y por qué. De esta manera, la compañía detrás del correo electrónico seguro ha tratado de aclarar a la situación, indicando que se trató de un caso específico en el que no tuvo más remedio que obedecer una "orden legalmente vinculante" emitida por las autoridades de Suiza.

La historia comenzó con un grupo de activistas franceses que es investigado por la Policía de su país por ocupar espacios comerciales y apartamentos en París. La mayoría de sus integrantes permanece en el anonimato, pero uno utilizó una cuenta @protonmail.com para realizar publicaciones en la web, y las fuerzas del orden de Francia se enfocaron en ese dato específico para tratar de identificar a la persona (o las personas) con la que se relaciona dicha dirección de e-mail.

Uno de los aspectos por los que ProtonMail se destaca en comparación con otros servicios de correo electrónico es que no registra de forma predeterminada las direcciones IP de sus usuarios. Sin embargo, en este caso específico, los responsables de la plataforma aseguran que se han visto obligados a hacerlo.

ProtonMail no pudo desconocer una orden "legalmente vinculante" de Suiza

En circunstancias "normales", la Policía de Francia no podría haber accedido a la dirección IP del activista investigado. Como ProtonMail está basado en Suiza, no se rige por las leyes francesas o de los demás países de la Unión Europea. Sin embargo, sí debe responder ante los requerimientos de las autoridades suizas.

Eso fue lo que sucedió en este caso. La Policía francesa, a través de Europol, envió una solicitud a la justicia de Suiza para que obligue a ProtonMail a actuar como finalmente lo hizo. Así, el servicio de correo seguro registró y compartió la dirección IP del activista, y dicha información se utilizó con el fin de lograr su identificación y arresto.

Andy Yen, fundador y CEO de ProtonMail, se refirió al incidente en su cuenta de Twitter. "Es deplorable que se utilicen herramientas legales para delitos graves de esta manera. Pero por ley, ProtonMail debe cumplir con las investigaciones penales suizas. Obviamente, esto no se hace de forma predeterminada, sino solo si es legalmente obligatorio", publicó.

El contenido de los correos electrónicos no corre peligro, según Andy Yen

Yen publicó una extensa nota en el blog de ProtonMail para clarificar varias dudas con respecto al alcance del pedido de las autoridades suizas. Estos son algunos de los puntos más importantes de su aclaración:

1. Bajo ninguna circunstancia se puede evadir nuestro cifrado, lo que significa que los correos electrónicos, archivos adjuntos, calendarios, archivos, etc., no pueden ser comprometidos por las órdenes legales.

2. ProtonMail no proporciona datos a gobiernos extranjeros; eso es ilegal según el artículo 271 del Código Penal suizo. Solo cumplimos con las órdenes legalmente vinculantes de las autoridades de Suiza.

[...]

7. Debido a la estricta privacidad de Proton, no conocemos la identidad de nuestros usuarios y en ningún momento supimos que los objetivos eran activistas climáticos. Solo sabemos que el pedido de datos del gobierno suizo se realizó a través de canales normalmente reservados para delitos graves.

8. No había posibilidad legal de resistir o luchar contra esta solicitud en particular.

Andy Yen, fundador y CEO de ProtonMail

Otro punto que aclaró el directivo en su publicación se relaciona con ProtonVPN. De acuerdo con Yen, los servicios de correo electrónico y las VPN tienen distintas consideraciones bajo la ley suiza. Esto significa que es imposible obligar a la compañía a registrar datos de los usuarios de ProtonVPN.

Desde ProtonMail se han comprometido a actualizar su sitio web para que se entiendan más fácilmente las obligaciones del servicio en "casos de procesamiento penal". Por último, Yen indicó que, a pesar de todo, las leyes de Suiza son mucho mejores que las de otros países.

"Independientemente del servicio que utilices, a menos que esté ubicada a 15 millas de la costa en aguas internacionales, la empresa tendrá que cumplir con la ley. El sistema legal suizo, aunque no es perfecto, proporciona una serie de controles y equilibrios; y vale la pena señalar que, incluso en este caso, se requirió la aprobación de 3 autoridades en 2 países. Esa es una barrera bastante alta que impide a la mayoría (pero obviamente no a todos) abusar del sistema", esgrimió.