Cómo funciona
Tuta es un servicio de correo electrónico alojado, operado por Tutao GmbH desde Hannover, Alemania. El servicio está en línea desde 2011 y se llamaba Tutanota hasta su cambio de nombre en noviembre de 2023. Una cuenta incluye un buzón cifrado, un calendario cifrado y una libreta de direcciones cifrada, accesibles a través de un cliente web, clientes de escritorio para Linux, Windows y macOS, y aplicaciones móviles. Todo el código del cliente se publica bajo licencia GPLv3 en GitHub desde 2014, lo que permite inspeccionar el cifrado en lugar de aceptarlo por fe.
El cifrado ocurre en el dispositivo antes de que nada llegue a los servidores de Tuta. El cuerpo de los mensajes, los asuntos, los archivos adjuntos, los contactos y las entradas del calendario se sellan con claves derivadas de la contraseña de la cuenta; Tuta almacena el texto cifrado y no puede abrirlo. Las cuentas estándar usan AES-256 y RSA-2048. En marzo de 2024 la empresa introdujo TutaCrypt, un esquema híbrido que combina la curva elíptica X25519 con el algoritmo poscuántico Kyber-1024, aplicado primero a las cuentas nuevas y luego a las existentes a partir de diciembre de 2024.
KYC y privacidad
El registro pide una dirección y una contraseña, nada más: ningún número de teléfono, ninguna dirección de recuperación, ningún documento de identidad. Una cuenta gratuita guarda solo la dirección elegida, y Tuta elimina las direcciones IP del remitente del correo saliente. No existe ninguna capa AML, porque no se trata de un servicio financiero, y no hay verificación de identidad en ningún nivel.
Los límites son estructurales, no ocultos. Las direcciones de correo y las marcas de tiempo permanecen sin cifrar, porque la red las necesita para enrutar el correo. El cifrado es de extremo a extremo solo entre usuarios de Tuta o mediante un enlace protegido con contraseña; el correo procedente de proveedores externos llega al servidor en texto plano antes de cifrarse en reposo. Esa brecha es la que un tribunal de Colonia puso a prueba en 2020, al ordenar a Tuta interceptar los futuros mensajes entrantes en texto plano de una sola cuenta usada en un caso de extorsión - una decisión ampliamente difundida y confirmada en apelación. El contenido cifrado de extremo a extremo permaneció inaccesible en todo momento.
El pago es el otro punto débil para la privacidad: Tuta cobra directamente con tarjeta, PayPal y SEPA. Las criptomonedas no se aceptan en el sitio, aunque las tarjetas de regalo de Tuta pueden comprarse con Bitcoin, Monero o efectivo a través de una tienda asociada, lo que restaura una vía anónima para quien la quiera.
Fortalezas y límites
El argumento más sólido a favor de Tuta es la amplitud de su cobertura. La mayoría de los proveedores dejan el asunto y el calendario al descubierto; Tuta no, y ha mantenido ese diseño durante más de una década sin ninguna filtración de datos. Los clientes de código abierto y la adopción temprana del cifrado poscuántico respaldan las promesas de seguridad, y el cambio de nombre desde Tutanota no interrumpió el servicio.
Los límites son reales y conviene exponerlos con claridad. Tuta usa su propio cifrado en lugar de OpenPGP, así que no hay correo cifrado interoperable con los usuarios de PGP de otros servicios. No existe puente IMAP ni SMTP, lo que descarta Thunderbird y Apple Mail como interfaces. Una serie de ataques DDoS en 2020 dejó el servicio fuera de línea durante horas, aunque no expuso ningún dato. La jurisdicción funciona en ambos sentidos: la ley alemana ofrece sólidas garantías de protección de datos, pero también los poderes de interceptación legal en los que se apoyó la orden de 2020.
Veredicto
Tuta es un buzón cifrado maduro y transparente, que cifra en el dispositivo más elementos que la mayoría de sus rivales y no pide nada identificable para abrir una cuenta. La salvedad es jurisdiccional, no comercial: un tribunal alemán puede obligar a interceptar los futuros mensajes entrantes en texto plano de una cuenta concreta, y los usuarios cuyo modelo de amenaza incluya ese riesgo deben sopesarlo. Para todos los demás que buscan un buzón privado para el día a día, sigue siendo una opción de primer nivel. Nota: A- (8,6/10). Confianza: TRUSTED.
Tuta es un buzón cifrado maduro y transparente, que cifra más elementos que la mayoría de sus rivales y no pide nada identificable al registrarse. La única salvedad es jurisdiccional: un tribunal alemán puede obligar a interceptar los futuros mensajes entrantes en texto plano de una cuenta concreta, así que tenlo en cuenta en tu modelo de amenaza. Para un buzón privado del día a día, sigue entre las mejores opciones. Nota: A- (8,6/10). Confianza: TRUSTED.
