Como parte de una investigación sobre personas involucradas en el movimiento
independentista en Cataluña, la policía española obtuvo información de los
servicios cifrados Wire y Proton, que ayudaron, junto a Apple, a las autoridades a identificar
al seudónimo «Xuxo Rondinaire», según
documentos judiciales obtenidos por TechCrunch.
Las solicitudes legales enviadas a Wire, Proton y Apple están relacionadas con
un caso en el que las autoridades españolas creen que un miembro del
movimiento independentista catalán Tsunami Democrático estaba ayudando al
grupo a planificar algún tipo de acciones o manifestaciones en el momento en
que el rey Felipe VI Tenía previsto visitar la región en 2020.
A principios de este año, la Guardia Civil española envió solicitudes legales
a través de la policía suiza a Wire y Proton, ambas con sede en Suiza. La
Guardia Civil solicitó cualquier dato identificativo relacionado con las
cuentas de las respectivas plataformas de ambas empresas.
Wire respondió proporcionando la dirección de correo electrónico utilizada
para registrar la cuenta de Wire, que era una dirección de Protonmail.
Proton respondió proporcionando el correo electrónico de recuperación para
esa cuenta de Protonmail, que era una dirección de correo electrónico de
iCloud, según los documentos.
Una vez que la Guardia Civil obtuvo la dirección de correo electrónico de
iCloud, los documentos muestran que solicitó información a
Apple, que a su vez proporcionó un nombre completo, dos direcciones
particulares y una cuenta de Gmail vinculada.
En la solicitud, que enumeraba «crimen organizado» y «terrorismo» como la
naturaleza de la investigación, la policía española escribió que quería
«descubrir quiénes fueron los autores de los hechos que tuvieron lugar en
los disturbios callejeros en Cataluña en 2019».
Los servicios en línea cifrados suelen tener como objetivo reducir la cantidad
de datos de los usuarios a los que pueden acceder cifrándolos con claves que
sólo el usuario tiene, evitando efectivamente que las empresas entreguen datos
de los usuarios sujetos a una orden judicial. En cambio, la policía recurre a
las empresas para obtener sus metadatos, como información identificable sobre
el usuario, incluidas direcciones de correo electrónico.
Los portavoces de Wire y
Proton confirmaron
a TechCrunch que recibieron solicitudes legales de la policía suiza y que las
cumplieron.
«A raíz de una solicitud formalmente correcta por parte de las autoridades
suizas, Wire proporcionó información básica de la cuenta de un usuario. Wire
no puede ver ni revelar el contenido de ningún dato transmitido a través de
su servicio», dijo el portavoz de Wire, Hauke Gierow.
El portavoz de Proton, Edward Shone, dijo a TechCrunch que
«Proton tiene información mínima del usuario, como lo ilustra el hecho de que en este caso fueron datos obtenidos de
Apple los que supuestamente se utilizaron para identificar al sospechoso de
terrorismo».
«Proton no requiere una dirección de recuperación, pero en este caso el
sospechoso de terrorismo añadió una por su cuenta. No podemos cifrar estos
datos porque necesitamos poder enviar un correo electrónico a esa dirección
si el sospechoso de terrorismo desea iniciar el proceso de recuperación», dijo el portavoz de Proton en el correo electrónico.
«En teoría, esta información puede ser solicitada por las autoridades
suizas en casos de terrorismo, y esta determinación la toma generalmente la
Oficina Federal de Justicia de Suiza. Proton proporciona privacidad de forma
predeterminada y no anonimato de forma predeterminada porque el anonimato
requiere ciertas acciones del usuario para garantizar [seguridad operativa]
adecuada, como no agregar su cuenta de Apple como método de recuperación
opcional, lo que parece fue hecho por el presunto sospechoso».
La importancia de OPSEC
Esta situación sirve como un recordatorio crítico de la importancia de mantener una estricta OPSEC (Seguridad Operativa). Siempre se debe estar consciente de las posibles vulnerabilidades que surgen al vincular información de recuperación o servicios secundarios (como cuentas de Google o Apple) que pueden no tener las mismas salvaguardas de privacidad que un servicio de correo electrónico cifrado primario.
Para los usuarios preocupados por la privacidad, particularmente aquellos involucrados en actividades sensibles o políticas, OPSEC debería ser una de las principales preocupaciones al utilizar herramientas de privacidad. Es recomendable:
- Evite vincular correos electrónicos de recuperación o números de teléfono que puedan vincularse directamente con identidades personales o actividades comerciales principales.
- Considere utilizar correos electrónicos secundarios y desechables o números de teléfono virtuales que ofrezcan una capa adicional de anonimato.
- Utilice un buen servicio VPN para ocultar su dirección IP siempre que sea posible. No hacer esto es lo que comprometió a un usuario de Proton Mail en Francia que fue arrestado después de que la policía obtuviera registros de IP.
- Considere comprar servicios utilizando un método de pago anónimo.
- Manténgase informado sobre las obligaciones legales y políticas de los proveedores de servicios de comunicación, especialmente en lo que respecta a su cumplimiento de las solicitudes de cumplimiento de la ley internacional.
Si bien Proton Mail y servicios similares ofrecen protecciones sustanciales y cifrado de extremo a extremo en su plataforma de correo electrónico, no son inmunes a las presiones legales y gubernamentales. Los usuarios deben navegar con cuidado, equilibrando la necesidad de seguridad con las posibles obligaciones legales de sus proveedores de servicios.
Fuente:
TechCrunch