Hushmail

Hushmail es un servicio correo electrónico basado en web que ofrece cifrado correo electrónico PGP, almacenamiento de archivos y servicios de dominio de vanidad. Hushmail ofrece versiones gratuitas y de pago de su servicio.

Hushmail utiliza estándares OpenPGP y la fuente está disponible para su descarga. Si hay llaves de cifrado públicas disponibles para el destinatario y el emisor (ya sea que ambos sean usuarios de Hushmail o que hayan subido llaves PGP a los servidores Hush), Hushmail puede manejar mensajes autenticados y cifrados en ambas direcciones. Para destinatarios que no tienen una llave pública disponible, Hushmail va a permitir que un mensaje sea cifrado a través de una contraseña (con un hint de contraseña) y que sea almacenado para ser recogido por el destinatario posteriormente o en su defecto, el mensaje puede ser enviado en texto plano.

Historia

Hushmail fue fundado por Cliff Baltzley en 1999 después de dejar Ultimate Privacy.

El 4 de noviembre de 2014, Hushmail obtuvo una puntuación de 1 en el marcador de seguridad de mensajería Electronic Frontier Foundation. Hushmail recibió el punto por el cifrado durante la transmisión, pero perdió puntos porque la comunicación era cifrada con una llave a la que el proveedor no tenía acceso. Por ejemplo, la comunicación no tenía cifrado de extremo a extremo), los usuarios no podían verificar la identidad de los contactos, los mensajes anteriores no eran seguros si las llaves de cifrado eran robadas (el servicio no ofrecía forward secrecy), el código no está abierto para revisión independiente (el código no es open-source, el diseño de seguridad no está adecuadamente documentado y no ha habido una reciente auditoría independiente de seguridad.[1][2]AIM, BlackBerry Messenger, Ebuddy XMS, Kik, Skype, Viber, y Yahoo Messenger también obtuvieron 1 de 7 puntos.[1]

Cuentas

Individual

Una cuenta gratis de correo electrónico tiene un límite de almacenamiento de 25 MB, pero no incluye servicios IMAP o POP3. Si un usuario no utiliza la cuenta durante tres semanas seguidas, Hushmail inhabilita la cuenta. Los clientes que la quieren reactivar deberán pagar por el servicio Hushmail premium, de esta forma obtendrán una cuenta premium. Hay dos tipos de cuentas premium. La cuenta premium básica provee 1 GB de almacenamiento, sin servicio de escritorio. La cuenta Premium+Desktop provee 10 GB de almacenamiento, así como servicio IMAP y POP3.[3]​ El registro gratis no está disponible para algunas regiones.

Negocios

La cuenta estándar de negocios, provee la misma funcionalidad que la Premium+Desktop, más otras funcionalidades como reenvío de correo electrónico, dominio de vanidad. Funcionalidades opcionales pueden ser añadidas a través de un cargo extra que incluye: foros web seguros, usuario administrador y almacenamiento de archivos. .[4]​ Funcionalidades adicionales de seguridad incluyen ocultación de dirección IP en encabezados, doble factor de autenticación[5]​ y cifrado HIPAA

Mensajería instantánea

El servicio de mensajería instantánea, Hush Messenger, fue ofrecido hasta el 1 de julio de 2011.[6]

Compromiso con la privacidad correo electrónico

Hushmail recibió reseñas favorables en la prensa.[7][8]​ Se creía que posibles amenazas, como demandas por parte del sistema legal para revelar el contenido del tráfico que pasa a través del sistema, no eran inminentes en Canadá, en comparación con los Estados Unidos, y que si los datos iban a ser entregados, los mensajes cifrados debían estar disponibles solo en su forma cifrada.

Desarrollos realizados en noviembre de 2007 hicieron dudar a los usuarios de Hushmail acerca de la conciencia de seguridad y la preocupación sobre la puerta trasera. El hecho se originó con la versión que no utilizaba Java del sistema Hush. Se llevaba a cabo el proceso de cifrado y descifrado en los servidores Hush y utilizaban SSL para transmitir datos al usuario. Los datos estaban disponibles como texto plano durante estos pequeños periodos; la frase de contraseña podía ser capturada en este punto. haciendo posible el descifrado de todos los mensajes almacenados y de aquellos que usarían en un futuro esa frase de contraseña. Hushmail estableció que la versión de la Java era también vulnerable y que se veían obligados a entregar un java applet comprometido con el usuario.[9][10]

Hushmail se volteó en contra de copias en texto plano de mensajes correo electrónico privados asociados con varias direcciones por requerimiento de agencias legales bajo un Tratado de asistencia legal mutuo con los Estados Unidos.;[9]​ en este caso de U.S. v. Tyler Stumbo.[9][10][11]​ Además, los contenidos de correos electrónicos entre direcciones de Husmail fueron analizadas, y 12 CDs fueron entregados a autoridades de Estados Unidos. La política de privacidad de Hushmail declara que registra direcciones IP para "analizar tendencias de mercado, información demográfica y prevenir el abuso de servicios." [12]

Hush Communications, la compañía que provee Hushmail, asegura que no va a liberar ningún dato de usuarios sin una orden de un juez de la Suprema Corte de British Columbia, Canadá y otros países buscando acceso a datos de usuarios deben de acordarlo con el gobierno de Canadá a través de la aplicación de un Tratado de Asistencia Legal Mutua.[10]​ Hushmail establece que "...eso significa que no hay garantía que no seamos obligados, bajo una orden realizada por la Suprema Corte de British Columbia, Canadá, a tratar a un usuario llamado a la corte, diferente y a comprometer la privacidad de ese usuario" y "...si una orden de la corte se ha hecho por la Suprema Corte de British Columbia obligándolos a revelar el contenido cifrado de emails, el "atacante" podría ser Hush Communications, el actual proveedor de servicios."[13]

Proyectos similares

Véase también

Referencias

  1. a b «Secure Messaging Scorecard. Which apps and tools actually keep your messages safe?». Electronic Frontier Foundation. 4 de noviembre de 2014. Archivado desde el original el 28 de mayo de 2015. Consultado el 1 de junio de 2015. 
  2. «Only 6 Messaging Apps Are Truly Secure». PC Magazine. 5 de noviembre de 2014. Consultado el 8 de enero de 2015. 
  3. Hushmail – Features and Pricing Archivado el 16 de junio de 2012 en Wayback Machine.
  4. – Hushmail Business Features
  5. «– Two-Step Verification». Archivado desde el original el 25 de junio de 2014. Consultado el 13 de noviembre de 2015. 
  6. «Hushmail closes IM service». Archivado desde el original el 27 de octubre de 2013. Consultado el 13 de noviembre de 2015. 
  7. «Alternative Web Mail Review – Hushmail Premium, PC Magazine». Archivado desde el original el 14 de abril de 2009. Consultado el 13 de noviembre de 2015. 
  8. E-Mail Encryption Rare in Everyday Use: NPR
  9. a b c Encrypted E-Mail Company Hushmail Spills to Feds |Threat Level via Wired.com
  10. a b c Hushmail Privacy via Wired.com Archivado el 10 de noviembre de 2007 en Wayback Machine.
  11. bakersfield.com Archivado el 24 de julio de 2008 en Wayback Machine.
  12. «Hushmail.com Privacy Policy». Hushmail.com. Archivado desde el original el 15 de febrero de 2001. 
  13. Hushmail – Free Email with Privacy – About Archivado el 22 de noviembre de 2007 en Wayback Machine.

Enlaces externos