Hushmail es un servicio correo electrónico basado en web que ofrece cifrado correo electrónico PGP, almacenamiento de archivos y servicios de dominio de vanidad. Hushmail ofrece versiones gratuitas y de pago de su servicio.
Hushmail utiliza estándares OpenPGP y la fuente está disponible para su descarga. Si hay llaves de cifrado públicas disponibles para el destinatario y el emisor (ya sea que ambos sean usuarios de Hushmail o que hayan subido llaves PGP a los servidores Hush), Hushmail puede manejar mensajes autenticados y cifrados en ambas direcciones. Para destinatarios que no tienen una llave pública disponible, Hushmail va a permitir que un mensaje sea cifrado a través de una contraseña (con un hint de contraseña) y que sea almacenado para ser recogido por el destinatario posteriormente o en su defecto, el mensaje puede ser enviado en texto plano.
Hushmail fue fundado por Cliff Baltzley en 1999 después de dejar Ultimate Privacy.
El 4 de noviembre de 2014, Hushmail obtuvo una puntuación de 1 en el marcador de seguridad de mensajería Electronic Frontier Foundation. Hushmail recibió el punto por el cifrado durante la transmisión, pero perdió puntos porque la comunicación era cifrada con una llave a la que el proveedor no tenía acceso. Por ejemplo, la comunicación no tenía cifrado de extremo a extremo), los usuarios no podían verificar la identidad de los contactos, los mensajes anteriores no eran seguros si las llaves de cifrado eran robadas (el servicio no ofrecía forward secrecy), el código no está abierto para revisión independiente (el código no es open-source, el diseño de seguridad no está adecuadamente documentado y no ha habido una reciente auditoría independiente de seguridad.[1][2] AIM, BlackBerry Messenger, Ebuddy XMS, Kik, Skype, Viber, y Yahoo Messenger también obtuvieron 1 de 7 puntos.[1]
Una cuenta gratis de correo electrónico tiene un límite de almacenamiento de 25 MB, pero no incluye servicios IMAP o POP3. Si un usuario no utiliza la cuenta durante tres semanas seguidas, Hushmail inhabilita la cuenta. Los clientes que la quieren reactivar deberán pagar por el servicio Hushmail premium, de esta forma obtendrán una cuenta premium. Hay dos tipos de cuentas premium. La cuenta premium básica provee 1 GB de almacenamiento, sin servicio de escritorio. La cuenta Premium+Desktop provee 10 GB de almacenamiento, así como servicio IMAP y POP3.[3] El registro gratis no está disponible para algunas regiones.
La cuenta estándar de negocios, provee la misma funcionalidad que la Premium+Desktop, más otras funcionalidades como reenvío de correo electrónico, dominio de vanidad. Funcionalidades opcionales pueden ser añadidas a través de un cargo extra que incluye: foros web seguros, usuario administrador y almacenamiento de archivos. .[4] Funcionalidades adicionales de seguridad incluyen ocultación de dirección IP en encabezados, doble factor de autenticación[5] y cifrado HIPAA
El servicio de mensajería instantánea, Hush Messenger, fue ofrecido hasta el 1 de julio de 2011.[6]
Hushmail recibió reseñas favorables en la prensa.[7][8] Se creía que posibles amenazas, como demandas por parte del sistema legal para revelar el contenido del tráfico que pasa a través del sistema, no eran inminentes en Canadá, en comparación con los Estados Unidos, y que si los datos iban a ser entregados, los mensajes cifrados debían estar disponibles solo en su forma cifrada.
Desarrollos realizados en noviembre de 2007 hicieron dudar a los usuarios de Hushmail acerca de la conciencia de seguridad y la preocupación sobre la puerta trasera. El hecho se originó con la versión que no utilizaba Java del sistema Hush. Se llevaba a cabo el proceso de cifrado y descifrado en los servidores Hush y utilizaban SSL para transmitir datos al usuario. Los datos estaban disponibles como texto plano durante estos pequeños periodos; la frase de contraseña podía ser capturada en este punto. haciendo posible el descifrado de todos los mensajes almacenados y de aquellos que usarían en un futuro esa frase de contraseña. Hushmail estableció que la versión de la Java era también vulnerable y que se veían obligados a entregar un java applet comprometido con el usuario.[9][10]
Hushmail se volteó en contra de copias en texto plano de mensajes correo electrónico privados asociados con varias direcciones por requerimiento de agencias legales bajo un Tratado de asistencia legal mutuo con los Estados Unidos.;[9] en este caso de U.S. v. Tyler Stumbo.[9][10][11] Además, los contenidos de correos electrónicos entre direcciones de Husmail fueron analizadas, y 12 CDs fueron entregados a autoridades de Estados Unidos. La política de privacidad de Hushmail declara que registra direcciones IP para "analizar tendencias de mercado, información demográfica y prevenir el abuso de servicios." [12]
Hush Communications, la compañía que provee Hushmail, asegura que no va a liberar ningún dato de usuarios sin una orden de un juez de la Suprema Corte de British Columbia, Canadá y otros países buscando acceso a datos de usuarios deben de acordarlo con el gobierno de Canadá a través de la aplicación de un Tratado de Asistencia Legal Mutua.[10] Hushmail establece que "...eso significa que no hay garantía que no seamos obligados, bajo una orden realizada por la Suprema Corte de British Columbia, Canadá, a tratar a un usuario llamado a la corte, diferente y a comprometer la privacidad de ese usuario" y "...si una orden de la corte se ha hecho por la Suprema Corte de British Columbia obligándolos a revelar el contenido cifrado de emails, el "atacante" podría ser Hush Communications, el actual proveedor de servicios."[13]