GrapheneOS: compilación de Android reforzada en seguridad

 (lwn.net)
1 puntos por GN⁺ 2025-07-25 | 2 comentarios | Compartir por WhatsApp
  • GrapheneOS es un sistema operativo de código abierto desarrollado para reforzar de forma importante la seguridad y la privacidad de Android
  • Solo es compatible con cierto hardware limitado, como los dispositivos Google Pixel 6~9, y ofrece varias funciones de protección como hardening y control de permisos del usuario
  • Las apps de Google Play pueden usarse en forma de sandbox, y las apps y funciones innecesarias se eliminan de manera predeterminada
  • El proceso de instalación y configuración inicial puede no ser intuitivo o tomar tiempo, pero es una opción útil para usuarios centrados en la seguridad
  • Aun así, puede haber algunas incomodidades con apps y funciones comerciales esenciales, y también existen preocupaciones sobre la transparencia de la gobernanza de la comunidad

Descripción general y contexto del proyecto

  • GrapheneOS es un proyecto de reconstrucción de Android de código abierto que surgió para responder a los problemas de privacidad y amenazas de seguridad en smartphones
  • Parte de la limitación de que las distribuciones tradicionales de Android no representan suficientemente los intereses del propietario del dispositivo; se separó de CopperheadOS y evolucionó de forma independiente bajo Daniel Micay
  • Una fundación con sede en Canadá creada en 2023 apoya el desarrollo, pero casi no hay información pública sobre su forma de operación o su transparencia

Características principales y estrategia de hardening

  • Basado en el Android Open Source Project (AOSP), aplica una eliminación considerable de código y numerosos parches de refuerzo de seguridad
  • Por ejemplo, incorpora cambios importantes para mejorar la protección de memoria y la robustez, como la biblioteca hardened malloc() y la integridad del flujo de control (Control-Flow Integrity)
  • La mayoría de las funciones de seguridad están diseñadas para pasar casi desapercibidas para el usuario, minimizando las molestias al usar el sistema

Instalación y dispositivos compatibles

  • Los dispositivos compatibles se limitan a la serie Google Pixel 6~9, con algunas excepciones parciales para Pixel 4/5
    • Se recomiendan los Pixel más recientes por su garantía de 7 años de actualizaciones de seguridad y por el soporte de memory tagging en hardware basado en ARMv9 (función de seguridad)
    • La función de memory tagging viene activada por defecto y ayuda a prevenir exploits en el SO y en las apps compatibles
  • Hay dos métodos de instalación: instalación web e instalación por línea de comandos, aunque oficialmente la instalación web es más estable

Experiencia de uso inicial

  • GrapheneOS tiene limitaciones en apps predeterminadas y en funciones de migración de datos, por lo que el usuario debe rehacer toda la configuración inicial manualmente
  • Apps predeterminadas: solo incluye navegador web (Vanadium), app de cámara, visor de PDF y su propia tienda de apps
    • Google Play Store y sus apps asociadas no vienen incluidas por defecto (aunque luego pueden instalarse en forma de sandbox)
    • La tienda de apps incluye solo 13 aplicaciones en total
  • El navegador Vanadium es un fork de Chrome, con aislamiento de sitios en móvil y mejoras en seguridad del código
    • La documentación recomienda evitar Firefox por preocupaciones sobre vulnerabilidades de seguridad
  • La app de cámara elimina por defecto los metadatos Exif, y la función de ubicación requiere activación explícita

Instalación de apps y uso del ecosistema

  • Es posible instalar algunas apps de código abierto desde tiendas alternativas como Accrescent (por ejemplo: Organic Maps, Molly, IronFox)
  • Se puede usar F-Droid, pero la comunidad de GrapheneOS mantiene una postura crítica frente a los problemas de seguridad de F-Droid
  • Como la mayoría de los usuarios necesita Google Play Store, GrapheneOS ofrece Google Play en sandbox
    • Esta versión tiene menos privilegios del sistema y se ejecuta de forma limitada como una app normal
    • Si una app verifica su confiabilidad mediante la Integrity API, algunas podrían no funcionar si no detectan una imagen oficial
    • En el uso real, la mayoría funcionó correctamente, pero la compatibilidad de apps debe probarse con anticipación

Funciones adicionales de seguridad y privacidad

  • Bloqueo del acceso a red por app: Android no lo soporta de forma nativa, pero en GrapheneOS se puede controlar el bloqueo de red por aplicación
  • Permisos de sensores detallados: sensores como acelerómetro, orientación y termómetro también se administran con permisos separados
  • Storage/Contact Scope: las apps no pueden acceder a todo el almacenamiento ni a todos los contactos del dispositivo; solo se les exponen de forma virtual los archivos o contactos permitidos
  • Ofrece opciones avanzadas de seguridad, como bloqueo de 30 minutos tras fallos al desbloquear con huella y borrado inmediato de datos al introducir un Duress PIN (PIN de emergencia bajo coacción)
  • Compatible con funciones de verificación de integridad vinculadas al hardware mediante una app de auditoría de integridad del dispositivo
  • Actualizaciones regulares y rápidas: se incorporó Android 16 en menos de un mes tras su lanzamiento oficial
  • Reinicio automático tras 18 horas de inactividad para mantener el cifrado de datos y el software actualizado

Operación del proyecto y comunidad

  • Falta de transparencia operativa: existe una fundación oficial, pero casi no se conoce públicamente cómo se toman decisiones ni cómo se usan los recursos
  • La estructura de la comunidad de desarrollo no está clara, y la mayoría de la participación gira en torno a preguntas y respuestas de usuarios
  • La influencia del desarrollador principal Daniel Micay sigue pareciendo absoluta, y existen algunas preocupaciones sobre la continuidad futura si cambia el personal

Evaluación general e impresiones de uso real

  • Configurar el dispositivo y restaurar el entorno requiere bastante tiempo, pero permite un uso enfocado en funciones esenciales sin extras innecesarios
  • Amplía el control sobre seguridad y privacidad y excluye funciones innecesarias de IA/Google, por lo que cumple bien su objetivo
  • Sin embargo, hay limitaciones o incomodidades, como la falta de entrada por deslizamiento en el teclado, la necesidad práctica de iniciar sesión en Google Play y ciertas restricciones al usar apps propietarias esenciales
  • GrapheneOS es una opción razonable para quienes buscan control de permisos centrado en el usuario y seguridad reforzada
  • Pero si es importante ejecutar apps comerciales esenciales para la vida moderna, todavía hay límites parciales, y también conviene prestar atención a los problemas de gobernanza de la comunidad

Lecturas relacionadas

2 comentarios

 
GN⁺ 2025-07-25
Opiniones de Hacker News

  • Llevo como dos días usando GrapheneOS en un Pixel nuevo, y me devolvió esa sensación de "encontrar un tesoro en mi propio patio" que sentí cuando instalé Linux por primera vez en 1999. No puedo creer que un software tan bueno sea realmente gratuito en todos los sentidos; la cantidad de trabajo es enorme y muchísimas cosas están muy bien hechas. Puedes controlar con mucho detalle la configuración de seguridad y usabilidad como quieras. No soy alguien que normalmente recomendaría algo móvil, pero hasta ahora ha funcionado bastante bien. En mi caso casi no uso apps de terceros y tampoco tengo apps exclusivas de Play Store. La desventaja es el hardware, pero eso está fuera del control del equipo de Graphene

    • Me pregunto si también funciona bien en caso de que necesites banca móvil, como acceder a cuentas bancarias

    • Me pregunto de dónde se descargan e instalan las apps, supongo que de la tienda de apps de Google

    • Me pregunto si antes has usado algo como LineageOS

    • ¿Usas GrapheneOS en un Pixel? ¿No serás de esos criminales, verdad? /s

  • Usé LineageOS durante años en un teléfono viejo, y el año pasado compré un Pixel 4 para usar GrapheneOS. Me da mucho gusto que ambos sistemas funcionen bien; en particular, GrapheneOS merece puntos extra porque el proceso de instalación es muy fácil. Pero, lamentablemente, Graphene ya está dejando de dar soporte al Pixel 4, así que pronto tendré que volver a Lineage. La única limitación técnica que he tenido usando estas ROM es el GPS: la ubicación se pierde con frecuencia y a veces tarda varios minutos en volver a fijarse (y si tienes mala suerte, nunca vuelve). Supongo que es por no usar los servicios de ubicación de Google. También activé la mejora de precisión por WiFi/Bluetooth e intenté varios consejos de internet, pero no lo resolví. En Graphene es todavía peor, porque cada vez que cierro la app de Maps se pierde la ubicación. Supongo que debe ser un problema del teléfono o del sistema operativo

    • En el Pixel 8, el GPS es rapidísimo gracias a la nueva función de ubicación por red de Graphene. Se siente como un cambio realmente revolucionario. Antes solo tenía soporte para Wi‑Fi, pero hace poco también añadieron ubicación por red celular. Usa el servicio de ubicación de Apple como proxy

  • Lo último que escuché es que Google cambió su política de mantenimiento de AOSP y dejó de publicar los árboles de dispositivo y los binarios de drivers para equipos Pixel. Me pregunto si de verdad lo suspendieron o si solo se retrasó. También creo que publicar esos archivos ayudaba a generar demanda de usuarios por los Pixel, así que me intriga si el costo realmente superaba el beneficio, o si simplemente es un tema de mantenimiento. Agradezco mucho tanto a GrapheneOS como a Google por haber hecho posible una plataforma de teléfonos donde las funciones esenciales realmente funcionan bien

    • En Android 16 ya no proporcionan árboles de dispositivo para Pixel en AOSP, aunque en realidad nunca los daban para otros dispositivos; solo unos pocos OEM ofrecen árboles base para versiones antiguas de Android. Es una de las pocas ventajas que tenía Pixel y que ahora perdió, pero nunca fue parte de los requisitos de hardware de GrapheneOS. Hay información relacionada aquí. Esa no es la razón por la que solo Pixel cumple los requisitos. Están colaborando con un OEM importante, así que quizá haya cambios hacia 2026 o 2027. El port de una versión mayor de Android a GrapheneOS normalmente toma apenas unos días, y la versión estable se publica dentro de dos semanas. Android 16 también se portó pocos días después de su lanzamiento, y luego hubo que reimplementar el código de soporte para dispositivos Pixel en Android 16. Después del primer despliegue a producción del 30 de junio, llegó al canal estable el 8 de julio. Esta vez tomó más tiempo, así que estuvieron operando de forma poco habitual al retroportar parte de los parches y firmware de Android 16 a la rama Android 15 QPR2. En adelante ya tienen el flujo de trabajo automatizado, así que los ports de Android 16 QPR1~QPR3 o Android 17 deberían poder hacerse tan rápido como antes

    • Como rumor escuché que era por un tema antimonopolio, pero si están pensando volver a vender el negocio de dispositivos, entonces también podría tener sentido sacar los drivers de AOSP

  • Soy usuario de GrapheneOS desde hace mucho y me parece un proyecto realmente bueno. Comparto una lista de apps de código abierto que se pueden usar en lugar de las apps de Google

    • Aurora Store: interfaz anónima para Play Store
    • F-Droid: tienda de apps de código abierto
    • Obtainium: descargar apps desde github y otros sitios
    • Organic Maps: navegación de código abierto (no llega al nivel de las apps comerciales)
    • SherpaTTS: TTS para navegación
    • PDF Doc Scanner: escáner de documentos de código abierto
    • Binary Eye: lector de códigos de barras
    • K9 Mail / FairMail: cliente de correo
    • LocalSend: transferencia de archivos
    • Syncthing Fork: sincronización de archivos
    • VLC Media Player: reproductor multimedia
    • KOReader: lector de ebooks
    • Voice: reproductor local de audiolibros
    • AudioBookShelf: reproductor remoto de audiolibros
    • Immich: respaldo de imágenes
    • Fossify File Manager: administrador de archivos
    • Substreamer / DSub: streaming de audio para Navidrome
    • OpenCamera: app de cámara de código abierto
      Ojalá hubiera conocido esta lista antes; espero que le sirva a alguien

  • La función más divertida de GrapheneOS es que puedes ver los logs en cualquier momento desde la página de App Info de cualquier app

  • La función clave que sí me gustaría que tuviera GrapheneOS es una contraseña de emergencia que abra un "usuario" (perfil) completamente distinto en una situación de amenaza. Así, incluso si te obligan a revelar la contraseña, al menos no podrían acceder a la cuenta real. Aunque fuera solo una función de perfil oculto, ya daría una seguridad básica, y es una lástima que no exista. Como referencia, en lugar de eso sí hay una función para borrar por completo el dispositivo, pero en una situación de amenaza eso también podría jugar en tu contra. La discusión relacionada puede verse aquí

    • Soy community manager de GrapheneOS. El problema con ese tipo de funciones es que en la práctica no se pueden ocultar, incluso usando solo herramientas básicas. Esa también es la razón por la que la función de Duress PIN/Password no intenta ocultarse de forma deliberada. De hecho, solo la existencia de la función puede volver la situación más peligrosa, porque hace que un atacante "crea que hay algo escondido". Solo por existir, ya puede generar escenarios peligrosos donde te exijan desbloquear el dispositivo y entregar también la información oculta bajo amenaza. Creo que es un problema muy difícil de resolver en la práctica; no es algo que pueda solucionarse fácilmente solo con esta clase de propuesta

    • El foro de discusión de GrapheneOS muestra el aviso de que "este sitio se ve mejor en un navegador moderno con JavaScript activado", y desde una perspectiva de seguridad eso sí es realmente un problema. Le pedí al community manager que mejorara eso y también solicité un sitio .onion

    • Este tipo de función (contraseña de emergencia) se ha pedido durante mucho tiempo en varias comunidades de modding, y me pregunto si simplemente es algo difícil de implementar

    • Creo que esa forma tan extrema de expresarlo es exagerada. Si alguien necesita vivir haciéndose pasar por un usuario falso para sobrevivir, entonces probablemente hay un problema mucho más serio de fondo que la falta de una función a nivel del sistema operativo

  • Mi única queja con Graphene es que hay muy pocos dispositivos compatibles. Entiendo que hay razones como los requisitos de seguridad y demás, pero aun así me gustaría poder usar Graphene aunque fuera con un nivel menor de endurecimiento de seguridad, en lugar del Android base de Google

    • Soy community manager de GrapheneOS. Actualmente los únicos dispositivos que cumplen los requisitos de soporte de Graphene son los de Google (enlace), pero están trabajando con otro OEM y esperan ampliar el soporte a sus productos en 2026 o 2027. Aún no hay nada confirmado, pero lo ven con optimismo

    • Se dice que hay pocos dispositivos compatibles, pero incluso solo con Pixel ya hay de 4 a 5 generaciones (incluyendo la serie A, Pro y versiones más pequeñas o grandes), con distintos rangos de precio, así que en la práctica me parece que casi cualquiera podría usarlo

    • Más bien siento que está bien que Graphene se concentre en Pixel. A diferencia de Fairphone, Pixel se puede comprar en muchos países; es decir, Graphene no está limitado solo al mundo desarrollado o occidental. Y creo que la razón por la que no hay soporte para otros fabricantes tiene que ver con el tamaño del equipo, con lo diferentes que son entre sí las versiones de Android de cada OEM y con las políticas de actualización de Google, entre otros factores

    • Parece que Google se está volviendo menos cooperativo con el proyecto, así que si de verdad mucha gente lo necesita, quizá habría que intentar directamente el soporte para nuevo hardware

    • CalyxOS sí soporta otros dispositivos, y da la impresión de enfocarse en la privacidad verdadera

  • Graphene es un sistema operativo excelente para dispositivos Pixel: simple, confiable y con muchas funciones de seguridad y privacidad que transmiten una sensación cálida de estabilidad. Las actualizaciones del sistema son automáticas, las funciones básicas como las llamadas funcionan a la perfección, y la única decepción es la calidad de la cámara, que supongo se debe a la falta de drivers propietarios. Signal también funciona bastante bien sin servicios de Google, así que es perfecto para usarlo como teléfono principal. Muchísimas gracias a los desarrolladores

  • Me interesaba mucho GrapheneOS, pero me decepciona que solo pueda usarse en dispositivos limitados como Pixel. Me habría gustado probarlo también en un Galaxy A55

  • Es interesante que los únicos dispositivos que cumplen los requisitos de seguridad sean todos productos de Google. Me pregunto si internamente Google usa una versión separada de Android más enfocada en seguridad, porque para Google sería un gran riesgo de seguridad que hackearan los dispositivos personales de sus ingenieros clave. Tal vez sí exista una versión interna más orientada a seguridad