Riseup es un proveedor de servicios muy interesante y es obvio que es bastante popular en la lista de Hacktivistas, sobre todo, para usar su servicio de correo electrónico.

Supongo que cada uno tendrá sus propios motivos, pero me puedo intuir que mucha gente está buscando un correo alternativo al Gran Hermano (Google, Microsoft, Yahoo, etc.) con intención de reforzar la privacidad. Puedo imaginarme también que la gente de Riseup tiene deshabilitados los logs y sólo guarda la información necesaria para el correcto funcionamiento del sistema.

PERO.

Pero hay algo que me chirría cosa fina. Riseup está alojado en EEUU, precisamente donde el poder de la NSA es absoluto, y además existe el respaldo de leyes completamente abusivas que se escudan en la seguridad nacional para cometer todo tipo de abusos.

Mi idea no es señalar a Riseup como un caballo de Troya. La idea es recordaros que aun en el caso de que esta gente tenga la mejor de las intenciones¹, y los conocimientos adecuados para hacer su trabajo correctamente², si hay un sitio en el mundo donde sus servicios van a ser sometidos a posibles ataques legales y no tan legales es en EEUU.

Por ejemplo, aunque Riseup deshabilite los registros locales para evitar asociar conexiones IP con cuentas de correo, el hecho es que están dentro de las redes de datos americanas, así que los procesos de recolección de información pasiva en nodos centrales funcionan a las mil maravillas. Aunque para realizar esa recolección pasiva de metadatos también tienen servidores controlados en el extranjero, es de pura lógica que es en casa donde la capacidad es máxima. En países europeos o asiáticos, por ejemplo, aunque fuese con un margen pequeño, quizás sus capacidades sean menores.

También es de esperar que ataques activos como los MITM, usados tanto para interceptar comunicaciones como para suplantar identidades y servir malware, sean especialmente fáciles de ejecutar en sus propias redes. El caso es que todos estos mecanismos ilegales ya sean activos o pasivos, en su casita, están al 100% de sus capacidades.

Por otro lado tenemos los mecanismos legales, como las ordenes judiciales para incautar un servidor. Aquí y en principio, si entendemos que los mecanismos de logging del servidor están desactivados, no se puede recuperar ninguna información de un servidor incautado. Eso es precisamente lo que pasó a la gente de Riseup cuando el FBI les incautó un servidor. Pero… también conocemos ahora que la NSA trabaja en implantes hardware que activan capacidades de espionaje allá donde son colocados. ¿Qué les impide hacer una orden legal de secuestro de un servidor con cualquier excusa real o fabricada, para inmediatamente colocar uno de estos implantes que anulen por completo la seguridad que los operadores hayan intentado configurar? Los servidores que se incautaron fueron devueltos a sus dueños tras el proceso. Parece que hoy en día, un servicio como Riseup debería destruir cualquier hardware que haya caído en manos del gobierno antes de volver a usarlo. No sé si lo hicieron…

Yo si trabajase en la NSA, os puedo asegurar que entre proyecto y proyecto me encargaría de poner manos a la obra a algunos de mis empleados para que al menos algún servidor de Riseup y otras organizaciones del estilo en mi territorio acaben troyanizadas. Vaya que sí.

¿Y entonces qué?

Que existen muchos más proveedores de correo alternativos, muchos fuera de la jurisdicción de EEUU, y aunque sus tentáculos lleguen lejos cualquier cosa que no sea sentarse en su regazo me parece mejor. ¿Estás libre en países europeos? Probablemente no, que aquí los servicios de inteligencia también intentarán lo mismo aunque quizás con menor capacidad. Por eso, y porque la NSA si quiere ya intentará vulnerar el software en alguna capa mediante ataques remotos de todo tipo. Pero que oye, que cuando se habla de privacidad, si pones tus servicios precisamente dentro de su territorio… pues es que lo estás poniendo a huevo. Cuanto más lejos estés de los que tienen más capacidad, mejor que mejor.

La idea es evitar siempre que se pueda al grupo de los Five Eyes (Australia, Canadá, Nueva Zelanda, Reino Unido y EEUU), así como a China, Rusia y en Europa especialmente tanto a Francia como a Alemania.

Aquí tenéis una lista con unos cuantos proveedores más, para diversificar y recordar que hay tierras más allá de Riseup.

[¹,²] – Si nos preocupa la seguridad, debemos aceptar que nuestro proveedor ni tiene las mejores de las intenciones, ni es suficientemente competente para garantizar tu seguridad sin cometer errores en el proceso que puedan ser aprovechados por atacantes externos.