GUARDIA NOCTURNA · ARCHIVO · RECURSO  ·  VERIFICADO
HOMEBLOGINFORMESDISCURSOSRECURSOSRECLUTAGLOSARIOMENSAJES
HerramientaPROTON MAIL CategoríaCORREO PlataformaWEB · IOS · ANDROID · MACOS · WINDOWS · LINUX TipoRECURSO · HERRAMIENTA DEL SOBERANO EstadoRECOMENDADO · VERIFICADO
Proton Mail

El correo electrónico fue diseñado sin privacidad. Proton Mail es el intento más sólido de arreglarlo dentro de los límites del protocolo existente. Desarrollado por Proton AG — fundada en 2013 por científicos del CERN en Ginebra — opera bajo jurisdicción suiza y aplica cifrado de extremo a extremo para el contenido de los mensajes. MONARCH lo usa. No porque sea perfecto, sino porque es lo mejor disponible dentro del modelo de correo convencional.

// Qué hace

Almacena y transmite correo con cifrado de acceso cero: las claves de descifrado existen únicamente en el dispositivo del usuario. Proton no puede leer el contenido de los mensajes almacenados, aunque quisiera o fuera obligada a hacerlo.

Para correo entre cuentas Proton: E2EE automático con OpenPGP. El contenido viaja y se almacena cifrado de extremo a extremo sin configuración adicional.

Para correo hacia cuentas externas (Gmail, Outlook, cualquier SMTP convencional): el mensaje sale cifrado hasta el servidor del destinatario, pero ese servidor puede leerlo. Se puede forzar E2EE con destinatarios externos enviando mensajes protegidos con contraseña — el destinatario recibe un link y descifra en el navegador.

El código fuente de los clientes web y móviles es completamente abierto. La arquitectura criptográfica fue auditada de forma independiente por Securitum en 2021.

NOTA: El asunto (Subject) de los mensajes hacia destinatarios externos NO está cifrado de extremo a extremo — es parte del protocolo SMTP estándar y viaja en texto claro entre servidores. Entre cuentas Proton, el asunto sí puede cifrarse. Nunca poner información sensible en el asunto de un correo a una cuenta externa.

// Modelo de amenaza

Protege contra:

No protege contra:

// Jurisdicción y datos

Jurisdicción: Suiza. Proton opera bajo la LDPF (Ley Federal de Protección de Datos suiza). Suiza no pertenece a la Unión Europea, no pertenece a Five Eyes ni a Fourteen Eyes — los acuerdos de inteligencia anglosajones que comparten datos entre EE.UU., Reino Unido, Canadá, Australia y Nueva Zelanda y sus aliados.

Datos que Proton puede entregar bajo orden judicial suiza:

Datos que Proton no puede entregar bajo ninguna orden:

Caso documentado — 2021: Un activista climático francés usó Proton Mail para coordinar acciones. Un tribunal suizo ordenó a Proton entregar la dirección IP con la que se creó la cuenta. Proton cumplió la orden. El contenido de los mensajes no fue entregado porque era técnicamente imposible. La lección operativa: el contenido está protegido, la IP no lo está.

NOTA: Desde ese caso, Proton implementó un acceso vía red Tor con dirección onion oficial: permite crear y acceder a la cuenta sin exponer la dirección IP real a los servidores de Proton. Si la identidad desde el registro es crítica, usar Tor Browser o Tails para crear la cuenta.

// Cómo empezar

// Alternativas

Tuta (antes Tutanota) — con sede en Hannover, Alemania. Jurisdicción de la Unión Europea y el RGPD. Usa su propio protocolo de cifrado en lugar de OpenPGP, lo que significa que no es interoperable con clientes externos que usen PGP estándar, pero el cifrado es igual de sólido. El asunto también está cifrado entre cuentas Tuta. Código abierto. Alternativa directa a Proton para quienes prefieren jurisdicción alemana sobre suiza, o valoran el cifrado del asunto por defecto.

Correo self-hosted — control total del servidor implica que ninguna empresa puede entregar datos que no tenga. También implica que la responsabilidad de la seguridad del servidor recae completamente en quien lo opera. Para la mayoría de los modelos de amenaza, Proton o Tuta son más seguros que un servidor self-hosted mal mantenido.

// Advertencias

// FIN  ·  ← VOLVER A RECURSOS