ProtonMail

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda
ProtonMail
Correo electrónico seguro de Suiza
Protonmail logo.svg
Logotipo
Información general
Dominio https://protonmail.com, https://protonirockerxow.onion y https://pm.me
Tipo Webmail
Registro
Idiomas disponibles alemán, español, francés, inglés, italiano, ruso y turco
En español
Licencia Licencia MIT
Estado actual activo
Gestión
Desarrollador Andy Yen
Propietario Proton Technologies AG
Lanzamiento 2013
Estadísticas
Usuarios registrados 10 millones [1]
Ranking Alexa 3839

ProtonMail es un servicio de correo electrónico cifrado, creado en 2013 por los científicos e ingenieros del CERN Jason Stockman, Andy Yen, y Wei Sun[2]​ a raíz de las revelaciones del extrabajador de la CIA, Edward Snowden, sobre las prácticas de vigilancia masiva de las agencias de seguridad estadounidenses. Se debe mencionar que los fundadores se conocieron mientras trabajaban en el CERN, pero este no tiene relación alguna con ProtonMail[3]​ ni fue parte de su creación, financiamiento o distribución. El servicio está diseñado como una prueba de conocimiento cero, mediante el cifrado del lado del cliente para proteger los correos electrónicos y los datos del usuario antes de ser enviados a los propios servidores de ProtonMail, a diferencia de otros servicios de correo web común, como Gmail y Outlook. ProtonMail está a cargo de la empresa Proton Technologies, con sede en Ginebra y sus servidores se encuentran en Suiza, fuera de la jurisdicción de los Estados Unidos y de la Unión Europea,[4]​ donde cualquier gobierno solo puede solicitarle datos mediante una orden judicial del Tribunal Supremo suizo. El servicio se financió inicialmente a través de una campaña de financiación colectiva,[5]​ y se mantendrá a largo plazo mediante la fijación de precios a varios niveles, aunque se puede crear una cuenta gratuita con 500 MB de almacenamiento y la posibilidad de enviar hasta 150 correos electrónicos diarios, cuenta que incluye en todos los correos enviados una firma con un mensaje de ProntonMail que puede eliminarse al contratar un plan de pago que además proporciona mayor capacidad en el buzón, posibilidad de enviar más correos diarios, dominio de correo personalizado y otras funciones adicionales como el servicio ProtonVPN.

En diciembre de 2017 ProtonMail contaba con más de 2 000 000 de usuarios registrados y para finales de 2018 ya eran 10 000 000 sus usuarios[6]​.

Características[editar]

Las cuentas ProtonMail pueden utilizar hasta tres niveles de seguridad. Dos contraseñas de usuario y autentificación de dos factores mediante aplicación. La primera, «la contraseña de inicio de sesión (login password)»,[7]​ autentifica al usuario en el sistema ProtonMail. La segunda, «la contraseña de acceso al buzón (mailbox password)», que se utiliza para descifrar el buzón de correo electrónico del usuario. Este descifrado se realiza del lado del cliente en el navegador web. La segunda contraseña es conocida sólo por el usuario. Así pues, como los servidores de ProtonMail sólo guardan los datos del usuario de forma encriptada, la recuperación de dicha contraseña resulta imposible, por lo que ProtonMail no podría descifrar los mensajes de los usuarios aunque fuera solicitada por una orden judicial.[8]

La tercera es mediante una aplicación móvil que puede ser elegida por el usuario como Google Authentificator o Authy 2 la cual debe escanear un código QR que el sistema proporciona la cual da la llave que generara cada 30 segundos un código de autentificación diferente.

Tanto la verificación por aplicación y la contraseña de buzón pueden ser desactivados a voluntad del usuario o solo activar una de dos. El único método de acceso obligatorio es la contraseña.

Asimismo el usuario puede elegir desactivar la opción que se encuentra en cualquier otro servicio de correo electrónico el cual es la recuperación de la cuenta mediante un correo alternativo. Si esta opción es activada y el usuario llegará a olvidar o perder el método o los métodos de acceso perderá por completo la posibilidad de acceder a la cuenta para siempre.

Al igual que el servicio de mensajería Telegram y ciertas redes sociales ProtonMail también proporciona la posibilidad de poner fecha de caducidad a los mensajes de forma opcional, con lo que desaparecerán del sistema ProtonMail después de un período de tiempo.

Seguridad[editar]

ProtonMail utiliza una combinación de protocolos de criptografía y cifrado asimétrico de clave pública para ofrecer un cifrado de extremo a extremo. Cuando un usuario crea una cuenta ProtonMail, su navegador genera un par de claves RSA, una pública y otra privada. La clave pública se utiliza para cifrar los mensajes de correo electrónico del usuario y otros datos de usuario. La clave privada, que es capaz de descifrar los datos del usuario, está simétricamente cifrada con la contraseña del buzón del usuario en el navegador web del usuario utilizando el protocolo AES-256. La clave pública y la clave privada encriptada se almacenan entonces en los servidores de ProtonMail. Por lo tanto, ProtonMail almacena ambas claves tan sólo en su forma encriptada, por lo que los desarrolladores de ProtonMail no pueden recuperar los mensajes de los usuarios.

A finales de 2016, se introdujo un modo de una sola contraseña.[9]

Los mensajes enviados desde una cuenta a otra cuenta ProtonMail se cifran con la clave pública del buzón del destinatario. Cuando el destinatario inicia su sesión, su contraseña del buzón de usuario descifra su clave privada, revelando el contenido de su bandeja de entrada. Los mensajes enviados desde ProtonMail a direcciones de correo electrónico que no son de ProtonMail pueden enviarse con o sin cifrado, a elección del remitente. Sin cifrado, los correos electrónicos se enviarán normalmente. Con el cifrado, el mensaje se encriptará con el protocolo AES con una contraseña compartida, previamente convenida entre ambas partes. El destinatario del correo recibe un enlace que le redirige a la página web ProtonMail. Una vez que se suministra la clave compartida, el correo electrónico se descifra en el navegador web.[10]​ Los correos electrónicos de una dirección no ProtonMail a otra de ProtonMail se envían como cualquier otro correo electrónico normal.

Ataques[editar]

Un video que mostraba un ataque de cross-site scripting apareció en julio de 2014.[11]​ Los desarrolladores de ProtonMail revisaron el video y confirmaron que el problema sólo afectó a una versión inicial de desarrollo de ProtonMail, que fue lanzada en mayo de 2014 y que el ataque no afectaba a la versión actual.[12]​ Andy Yen manifestó que en julio de 2018 Protonmail sufrió de nuevo varios ataques DDoS.[13]​ En septiembre de 2018 las fuerzas de seguridad británicas arrestaron a un sospechoso en relación a estos y otros ataques a escuelas y líneas aéreas.[14]

La arquitectura del servidor[editar]

Arquitectura de un centro de datos ProtonMail.

Los administradores de ProtonMail son propietarios del hardware y de la red del servidor y los mantienen ellos mismos para evitar confiar en un tercero. En respuesta a una saturación de sus servidores, a mediados de 2014 los fundadores de ProtonMail comenzaron a desarrollar y aumentar la arquitectura de dichos servidores. Actualmente el servicio está a cargo de dos centros de datos redundantes en el centro y en el oeste de Suiza. Cada centro de datos utiliza la misma carga a través de web, mismo correo y servidores SQL, fuentes de alimentación redundantes, unidades de disco duro con cifrado de disco completo y el uso exclusivo de Linux y otros software de código abierto. ProtonMail también se unió al RIPE NCC en un esfuerzo por tener un mayor control sobre la infraestructura de internet circundante.

El protocolo Transport Layer Security (TLS) se utiliza para proteger y encriptar todo el tráfico de internet entre los usuarios y los servidores de ProtonMail. Un informe técnico y de código fuente serán publicados en breve, según los desarrolladores. Protonmail.ch tiene una nota de «A» de los Qualys SSL Labs.[15]

Interfaz[editar]

ProtonMail utiliza una interfaz basada en la web, similar a la de Gmail. Los usuarios también tienen la capacidad de fijar las fechas de caducidad de mensajes de correo electrónico y contraseñas de cifrado para mensajes de correo electrónico salientes a los usuarios que no son de ProtonMail.

Historia[editar]

ProtonMail fue creado en respuesta al escándalo sobre la vigilancia y la interceptación de correo electrónico mundial por parte de la la NSA en 2013, y está inspirado en Gmail, Lavabit y Snapchat.

Financiación[editar]

El 17 de junio de 2014, ProtonMail comenzó una campaña de financiación colectiva en Indiegogo con el objetivo de recaudar 100 000 dólares. El 30 de junio de 2014, la cuenta PayPal de ProtonMail fue bloqueada, impidiendo la retirada de 251 721 dólares de donaciones de la cuenta. Un representante de PayPal declaró que dicha congelación fue originada por las dudas acerca de la legalidad de la encriptación, sospechas que demostraron ser totalmente infundadas.[16]​ Las restricciones fueron levantadas al día siguiente. La campaña finalizó el 31 de julio 2014, con un total de 550 377 dólares recaudados de 10 576 donantes.

El 18 de marzo de 2015, ProtonMail recibió 2 millones de dólares de Charles River Ventures, y de la Fondation Genevoise pour l'Innovation Technologique (Fongit). Los desarrolladores de ProtonMail planean utilizar dichos fondos para ampliar su infraestructura, hacer crecer su equipo y abrir nuevas oficinas.[17]

Véase también[editar]

Enlaces externos[editar]

Referencias[editar]

  1. https://protonmail.com/blog/2018-recap-future-roadmap/
  2. Techcrunch. «ProtonMail Is A Swiss Secure Mail Provider That Won’t Give You Up To The NSA» (en inglés). Consultado el 30 de agosto de 2015. 
  3. «Fundación». 
  4. ProtonMail. «Why switzerland?» (en inglés). Consultado el 30 de agosto de 2015. 
  5. Indiegogo. «ProtonMail». Consultado el 30 de agosto de 2015. 
  6. Andy Yen (31 de diciembre de 2018). «A look back at 2018 and our vision for the future». ProtonMail Blog (en inglés estadounidense). Consultado el 4 de mayo de 2019. 
  7. P^rotonMail. «FAQ» (en inglés). Consultado el 30 de agosto de 2015. 
  8. The hacker news. «ProtonMail: 'NSA-Proof' End-to-End Encrypted Email Service» (en inglés). Consultado el 30 de agosto de 2015. 
  9. «What is One Password Mode?». 
  10. ghacks.net. «First look at secure email provider ProtonMail» (en inglés). Consultado el 30 de agosto de 2015. 
  11. http://vimeo.com/99599725
  12. https://protonmail.ch/blog/update-reported-xss-issue/
  13. Lynch, Justin (2 de julio de 2018). «ProtonMail CEO: ‘The attacks are continuing’». Fifth Domain (en inglés estadounidense). Consultado el 4 de mayo de 2019. 
  14. Andy Yen (6 de septiembre de 2018). «Apophis Squad member responsible for attacks against ProtonMail has been arrested». ProtonMail Blog (en inglés estadounidense). Consultado el 4 de mayo de 2019. 
  15. Globalsign. «SSL Report: protonmail.ch». Consultado el 30 de agosto de 2015. 
  16. Bit-tech. «ProtonMail hit by PayPal account freeze» (en inglés). Consultado el 30 de agosto de 2015. 
  17. https://blog.protonmail.ch/protonmail-has-raised-2m-usd-to-protect-online-privacy/