GrapheneOS y la extracción forense de datos (2024)

 (discuss.grapheneos.org)
2 puntos por GN⁺ 2025-09-12 | 1 comentarios | Compartir por WhatsApp
  • GrapheneOS llama la atención por su alto nivel de seguridad y privacidad, comparable con iOS
  • En mayo de 2024 ocurrió en redes sociales un ataque de desinformación que afirmaba que GrapheneOS era vulnerable a la extracción de datos
  • Herramientas forenses como Cellebrite permiten extracción sin consentimiento en la mayoría de los dispositivos Android/iOS, pero GrapheneOS no ha sido vulnerado cuando tiene los parches de seguridad más recientes
  • La extracción de datos basada en consentimiento ocurre cuando el usuario desbloquea un dispositivo de su propiedad; solo en ese caso la extracción es posible
  • La combinación de Pixel 6 o superior con GrapheneOS también bloquea ataques recientes como fuerza bruta de contraseñas y hackeo por conexión USB

Resumen de GrapheneOS y contexto del ataque en redes sociales

  • GrapheneOS es un sistema operativo basado en Android, de código abierto y centrado en la seguridad y la privacidad, que ofrece una protección al nivel de iOS o incluso superior
  • En mayo de 2024 hubo un ataque en redes sociales que promovió la idea errónea de que GrapheneOS había sido vulnerado por herramientas forenses
  • En realidad, fue un caso en el que se interpretó mal de forma maliciosa una extracción de datos basada en consentimiento del usuario, transmitiendo falsamente que GrapheneOS era vulnerable

Resumen de la informática forense digital y la extracción de datos

  • La informática forense digital es el proceso de recopilación y análisis de evidencia electrónica
  • En este proceso se extraen y analizan materiales relacionados con delitos o disputas legales desde diversos dispositivos como computadoras, smartphones y medios de almacenamiento
  • Sin embargo, las técnicas forenses pueden usarse indebidamente para invadir la privacidad, tomar represalias o manipular evidencia
  • GrapheneOS desarrolla diversas medidas de seguridad con el objetivo de evitar la extracción de datos sin consentimiento y la manipulación del dispositivo

Cellebrite y su impacto

  • Cellebrite es una empresa israelí representativa del sector de la informática forense digital, conocida por su herramienta UFED (Universal Forensic Extraction Device)
  • Vende legalmente sus equipos a gobiernos y organismos judiciales, pero también a Estados autoritarios o con historial de represión de derechos humanos
  • Con esta herramienta se han realizado intentos de extracción de datos de smartphones en distintas regiones del mundo

Métodos de extracción de datos y contexto técnico

  • La primera etapa de la informática forense digital es la extracción de datos de dispositivos móviles
  • Si el dispositivo está bloqueado, se intenta adivinar la contraseña o el PIN por varios métodos, como hackeo o fuerza bruta
  • Dos estados de un smartphone:
    • BFU (Before First Unlock): estado en el que no se ha desbloqueado ni una vez desde el arranque; los datos internos están completamente cifrados, por lo que el análisis forense resulta muy difícil
    • AFU (After First Unlock): después del desbloqueo, las claves se guardan en memoria y el acceso a los datos se vuelve relativamente más fácil

Práctica real de extracción de datos

  • Estado AFU: se intenta extraer datos usando vulnerabilidades de software, evasión o desbloqueo de pantalla
  • Estado BFU: se intenta adivinar el PIN o la contraseña mediante fuerza bruta (probar todas las combinaciones)

Capacidades recientes de extracción de datos de Cellebrite

  • Según material publicado en abril de 2024, puede hackear y extraer datos de todas las marcas Android excepto GrapheneOS, sin importar si están en estado AFU o BFU

  • También hay soporte parcial para dispositivos iOS recientes, y en la mayoría de los iPhone el riesgo disminuye porque los parches más recientes se aplican automáticamente

  • NSO (fabricante de Pegasus) ha mostrado casos en los que explota con gran rapidez vulnerabilidades de las versiones más recientes de iOS

  • GrapheneOS reconocidamente no puede ser vulnerado ni siquiera por Cellebrite si tiene aplicadas las actualizaciones de seguridad desde fines de 2022

  • Como las actualizaciones automáticas están habilitadas por defecto, la gran mayoría de los usuarios mantiene la seguridad más reciente

  • Sin embargo, si el usuario desbloquea manualmente el dispositivo (basado en consentimiento), entonces sí es posible extraer datos en iOS, Android y GrapheneOS

    • En GrapheneOS se puede acceder a todos los datos mediante opciones de desarrollador y la herramienta adb

  • La combinación de Pixel 6 y modelos posteriores + GrapheneOS no puede ser vulnerada por fuerza bruta ni siquiera con todas las combinaciones posibles de un PIN de 6 dígitos

El incidente del ataque en redes sociales y la realidad

  • En mayo de 2024 se difundieron en redes sociales afirmaciones falsas de vulnerabilidad basadas en un caso exitoso de extracción con consentimiento en GrapheneOS
  • En el pasado también hubo casos similares de desinformación, como el rumor de que se había roto el cifrado de Signal (cuando en realidad el usuario abrió la app manualmente y la entregó al análisis forense)

Estrategia de defensa de GrapheneOS frente al hackeo forense

Funciones principales para evitar el hackeo del teléfono

  • Cuando el usuario mantiene el dispositivo bloqueado (por ejemplo, con bloqueo de pantalla), ofrece una función para bloquear nuevas conexiones USB y bloquear el puerto a nivel de hardware
  • En escenarios como BFU, AFU o desbloqueo completo, se puede configurar el bloqueo total de USB hasta el nivel que el usuario desee
  • Desde 2024, la seguridad se reforzó incluso hasta el firmware de Pixel

Defensa contra ataques de fuerza bruta

  • Los dispositivos Pixel 6 en adelante incluyen Titan M2 (módulo de seguridad por hardware), que protege las claves de cifrado
  • Tras 5 intentos fallidos hay una espera de 30 segundos; al superar 30 y 140 intentos, el tiempo de espera aumenta respectivamente; después solo se permite 1 intento por día (secure element throttling)
  • Ha superado evaluaciones independientes como el nivel AVA_VAN.5, demostrando una seguridad extremadamente robusta
  • Los módulos de seguridad de iOS, Samsung y Qualcomm ya han sido evadidos por atacantes corporativos, pero la combinación GrapheneOS + Pixel 6 o superior no tiene casos exitosos conocidos en los últimos años

Función de reinicio automático (auto reboot)

  • Se reinicia automáticamente tras 18 horas por defecto (ajustable desde 10 minutos) y, si no se usa, vuelve al estado BFU
  • Por eso, aunque un hacker desarrolle un exploit, la ventana real de ataque queda limitada al tiempo entre el desbloqueo por parte del usuario y el reinicio

Conclusión y perspectivas futuras

  • El equipo de GrapheneOS sigue reforzando de forma continua varias mejoras de seguridad y funciones de seguridad automatizadas
  • A futuro planea incorporar medidas de protección aún más sólidas y convenientes, como autenticación en dos pasos con huella + PIN y UI automática de passphrase aleatoria
  • Aunque se intenta difundir desinformación pese a que grupos de hacking sofisticados no han logrado vulnerarlo, la información basada en hechos puede servir para contrarrestarlo

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-12
Comentarios en Hacker News
  • Creo que no existen los “gobiernos malos” y “gobiernos buenos”; al final todo depende de la perspectiva de la gente, así que no deberíamos confiarle ciegamente todos nuestros datos al gobierno solo porque supuestamente nos protege de terroristas o abusadores infantiles; en la práctica, tarde o temprano el gobierno termina abusando de ciudadanos inocentes, eso ya está pasando ahora mismo y quizá incluso estén pidiendo más control
    • Yo diría que un mal gobierno es aquel que no puede resolver adecuadamente las necesidades de la población, no sus deseos; si en las calles hay pandillas, ladrones, drogas y enfermedades, eso no es un asunto de perspectiva de la gente, sino algo malo que el gobierno debe resolver; si no cumple esa función, entonces no veo para qué existe el gobierno
    • Por eso creo que no se le debe confiar a ciegas la gestión de datos ni al gobierno ni a nadie; al menos el gobierno dice actuar en nombre del bien público, pero las empresas solo están motivadas por el interés de sus accionistas
    • Es una postura interesante en teoría, pero en el país del que vengo, en la práctica el gobierno revisa los teléfonos de la gente y usa como evidencia acciones o actividad en redes sociales contrarias al gobierno para imponer condenas larguísimas; como caso reciente, se puede ver este enlace; por muy seguro que sea GrapheneOS, para evitar de verdad una amenaza así necesitas un teléfono completamente limpio
    • Creo que alguien está desviando el punto a propósito; este tema ya ni siquiera debería debatirse más; un gobierno que secuestra, tortura, asesina y “desaparece” a sus ciudadanos es claramente un mal gobierno; históricamente y en la práctica, China, Rusia, México, Corea del Norte, Bielorrusia, los Balcanes y muchos países africanos son ejemplos de ello; que el 34% de mis vecinos quiera mandarme a un campo de concentración no lo vuelve justificable; personalmente, jamás querría ir a un lugar así; además, ese tipo de ejemplos de “depende del punto de vista” son precisamente un ejemplo clásico de mal gobierno; en realidad no es difícil ser un buen gobierno, basta con no actuar mal
    • Creo que esta forma de pensar es un fenómeno muy problemático: asumir que si el gobierno no coincide con la opinión personal, entonces automáticamente es un mal gobierno; parece olvidar que, para que una civilización viva con muchísimos integrantes que tienen perspectivas distintas, a veces hacen falta compromisos
  • Me gusta mucho GrapheneOS, pero sería perfecto si hubiera una versión que permitiera extraer datos privados de apps o conseguir un shell root cuando el usuario ya está autenticado; los desarrolladores dicen que el acceso root abre un agujero enorme en el modelo de seguridad, pero si hubiera una forma segura de usar root, podría modificar directamente las apps que yo quiera y sería un sistema operativo ideal para mí; claro, puedo descargarlas y firmarlas yo mismo, pero no quisiera llegar a ese punto
    • En GrapheneOS sí se puede configurar root, pero en ese caso se borran los datos, así que hay que hacer respaldo sí o sí; si de verdad necesitas root, se puede operar con algo como respaldo de datos -> habilitar root -> restaurar
    • Yo también quiero esa función; estoy usando una compilación userdebug hecha por mí mismo para tener adb root, pero sería mucho mejor si estuviera soportado oficialmente
    • Significa que no puedes tener ambas cosas; el acceso root es un agujero de seguridad muy grande, así que jamás lo van a soportar en la versión oficial; no hay otra opción aparte de crear tus propias claves e imágenes personalizadas
    • Me da curiosidad cuál es exactamente el modelo de amenazas al habilitar root en un teléfono y por qué no se puede bloquear por completo; la mayoría de servidores o desktops funcionan bastante bien aun con root habilitado
  • Es de [2024]; parece que este texto es un borrador, y se puede ver en el blog del autor: https://telefoncek.si/2024/05/2024-05-30-grapheneos-and-forensic-extraction-of-data/
  • Al leer esto me dan ganas de comprar un Pixel e instalar GrapheneOS; incluso si asumimos que las grandes empresas tienen cierta voluntad de proteger la privacidad, al final son objetivos legales fáciles; si mañana EE. UU. o la UE aprueban una ley que obligue a poner puertas traseras en todos los dispositivos móviles, eso afectaría a todo el mundo
    • Se puede probar muy barato; yo compré en eBay un Pixel 7 Pro reacondicionado por 250 dólares y le instalé GrapheneOS; es un teléfono dedicado para usar fuera de casa con un plan eSim de 20 dólares; si lo pierdo o me lo roban en un viaje, no me preocupa; solo cancelo la eSim, compro otro Pixel y le vuelvo a instalar GrapheneOS; en casa sigue estando seguro mi teléfono principal, un Pixel 10 Pro
    • Como referencia, el gobierno británico intentó exigirle a Apple que creara una puerta trasera amparándose en la Investigatory Powers Act de 2016, pero Apple se negó
    • Mi último Pixel (4a) quedó en bastante mal estado después de alrededor de año y medio; me pregunto si hay algún dispositivo Android más resistente; como el Apple SE me duró varios años sin problemas, terminé regresando a Apple; sí me gustaría probar GrapheneOS
    • Yo también quiero comprar un Pixel por GrapheneOS, pero Google, pese a ser una empresa de un billón de dólares, siempre ha sido poco agresiva con las ventas globales
  • Siento que esto intenta refutar especulación de internet con más especulación de internet; como Cellebrite no publica el estado de soporte para dispositivos recientes, la gente común no tiene forma de saber exactamente qué avances hay respecto a iPhone recientes o iOS, Pixel 9/10 y las versiones más nuevas de Android OS; lo que sí han dejado claro oficialmente ambas empresas es que Apple ofrece mucho más cifrado de extremo a extremo que Google cuando se usa Advanced Data Protection, y que ambas invierten en seguridad de hardware y de plataforma (por ejemplo, SEAR de Apple); la existencia de GrapheneOS en sí es algo positivo, pero no parece que esta publicación en particular aporte mucha ayuda práctica
    • Un documento filtrado a inicios de este año incluye incluso al Pixel 9; al menos según el material filtrado en ese momento, GrapheneOS aparece como no compatible con Cellebrite cuando tiene parches aplicados desde 2022, y es incluso más seguro que el firmware stock de Google; una de las razones por las que GrapheneOS evita este tipo de debates es que aplica sin miedo el bloqueo del puerto USB, algo que Google evita por motivos de usabilidad; a diferencia de Google, Samsung y Apple (none-lockdown mode), GrapheneOS siempre exige desbloqueo cuando el usuario intenta conectar el teléfono al auto, una pantalla, una memoria USB, un adaptador de 3.5 mm, etc., así que recibe menos quejas; además, agrega varias opciones de compilación aceptando pérdida de rendimiento para reforzar la seguridad, y ha explicado casos reales, aunque raros, donde eso fue clave para detener ataques (caso de GrapheneOS); puede que no sepamos el estado más reciente de Cellebrite, pero viendo que no ha podido comprometerlo bien en más de tres años, eso aumenta mi confianza en GrapheneOS; claro, GRU o NSA quizá tengan métodos de ataque excepcionales, pero a día de hoy no hay indicios de que las herramientas comerciales vendidas en el mercado hayan vulnerado GrapheneOS
    • Alguien le sigue filtrando al desarrollador de GrapheneOS el estado de compatibilidad de Cellebrite; según ese registro, en los documentos oficiales se especifica que solo podían hackear GrapheneOS con niveles de parche anteriores a 2022; ya tienen incluso documentos actualizados de junio de 2025 y podrían conseguir más si hace falta, pero por ahora tienen cosas más urgentes, así que no planean hacerlo de inmediato; si surge algo, el contacto clave que les pasa ese material se comunicará directamente, así que están tranquilos (enlace)
  • Si estás considerando migrar de iOS a GrapheneOS, puede servirte esta guía de migración y reseña: https://blog.okturtles.org/2024/06/the-ultimate-ios-to-grapheneos-migration-guide-and-review/
    • También hay servicios confiables como Ente que pueden reemplazar Apple Photos y Google Photos, además de muchas otras alternativas
    • Esto se sale un poco del tema, pero me da curiosidad cuántas personas del equipo mantienen actualmente GrapheneOS; si Daniel Micay desapareciera de repente, quisiera saber si hay gente e infraestructura listas para continuar el desarrollo de inmediato
  • Sobre la afirmación de que “...porque GrapheneOS está más reforzado que iOS frente a este tipo de ataques. El iPhone también tiene secure element, pero los atacantes lo han eludido durante mucho tiempo; lo mismo con Samsung y Qualcomm”, me da curiosidad si en la práctica Pixel resiste mejor los ataques de fuerza bruta y si iPhone y otros realmente caen con facilidad ante estas herramientas
    • No estoy de acuerdo con esa evaluación; respeto mucho a GrapheneOS, pero cuando recibe críticas a veces también aparecen expresiones que rozan la exageración publicitaria; los artículos e informaciones relacionados se basan en filtraciones de la lista de soporte de Cellebrite (archivos dentro de dispositivos administrativos que contienen esos datos), así que puede variar según el momento; al momento de escribir ese artículo, Cellebrite podía acceder por fuerza bruta a iPhone hasta antes del iPhone 12 (antes de la introducción del componente de almacenamiento seguro), y con el iPhone 12 estaban en fase de investigación para romper versiones anteriores a iOS 17; en Android, desde el Pixel 6 (con la introducción de Titan M2) ya no era posible por fuerza bruta; en lo fundamental, tanto iPhone como Pixel tienen casi el mismo modelo de confianza: el código del usuario se mezcla con entropía segura para crear claves criptográficas, y el procesador de seguridad limita los intentos; la arquitectura de Apple está muy bien documentada en su documentación oficial, y Weaver de Google funciona de manera similar; en conjunto, creo que tanto un iPhone moderno con iOS actualizado como un Pixel moderno con GrapheneOS ofrecen protección de primer nivel en la industria; como dice el artículo, la mayoría de los demás dispositivos y firmwares están bastante rezagados en el diseño del software de seguridad (ROM, bootloader, etc.)
    • Quitando la parte de “con facilidad”, en general es correcto
  • La preocupación de seguridad que primero se me viene a la mente son los blobs, que son controladores de hardware cerrados indispensables en teléfonos Android y que se ejecutan con privilegios altos; si GrapheneOS no los aísla de forma muy estricta, un atacante hábil podría romper la seguridad mediante una puerta trasera en los controladores de wifi, módem o Bluetooth; frente a esos blobs, es difícil que los desarrolladores de GrapheneOS puedan hacer mucho a nivel fundamental; por ejemplo, uno podría imaginar que el driver de wifi intercepta la entrada del PIN
    • GrapheneOS ejecuta incluso esos blobs en sandboxes muy estrictos; el usuario de HN strcat tiene muchos textos donde explica esto en detalle respuesta detallada de strcat
  • Mientras un smartphone siga usando su puerto USB, no puede garantizarse una seguridad total; la puerta trasera que quieren los gobiernos va justamente por esa vía; por privacidad y por libertad, recomiendo votar en consecuencia; más allá de la postura política, los gobiernos financian en secreto este tipo de trabajo, y muchísimos subcontratistas en plataformas como AWS analizan datos volcados con UFED (es decir, cuando comprimen en zip el directorio del teléfono); eso incluye correos, historial de llamadas, configuraciones del operador, historial del navegador, SMS, cookies, apps, logs y datos de apps, en fin, todo lo que haya en el teléfono
    • Según el contenido del TFA, GrapheneOS también puede desactivar el puerto USB
  • Como tema técnico me parece interesante, y me gustaría ver un artículo que compare cómo se comportan en la práctica las herramientas de forense digital al aplicarlas a la configuración más segura de cada sistema operativo
    • Si hablamos de la “configuración más segura”, quizá sería con el dispositivo apagado y sin estar conectado a nada en absoluto