GrapheneOS: alejarse de Google y Apple

 (blog.tomaszdunia.pl)
6 puntos por GN⁺ 2026-02-18 | 1 comentarios | Compartir por WhatsApp
  • GrapheneOS es un sistema operativo de código abierto basado en Android diseñado con la privacidad y la seguridad como máxima prioridad, y elimina la integración de servicios de Google para bloquear la recolección de datos por parte de las empresas
  • Está optimizado exclusivamente para la serie Google Pixel y aprovecha el chip de seguridad Titan M y la función Verified Boot para garantizar la integridad del sistema
  • Los usuarios pueden ejecutar los servicios de Google Play en un entorno sandbox aislado, lo que permite usar las apps necesarias limitando al mismo tiempo sus permisos de acceso al sistema
  • A través de Obtainium y Aurora Store se instalan apps de código abierto y apps sin GMS, con control detallado de permisos y separación de datos sensibles mediante Private space
  • Este sistema es considerado una alternativa realista para quienes buscan dejar de depender de los ecosistemas de Google y Apple

Resumen de GrapheneOS

  • GrapheneOS es un sistema operativo endurecido (custom) basado en Android Open Source Project (AOSP)
    • Elimina la integración de servicios de Google a nivel del sistema para evitar el rastreo y la recolección de datos
    • El hardening del kernel y de componentes clave minimiza las vulnerabilidades frente a ataques
  • Puede ejecutar Google Play Services en un entorno sandbox aislado
    • Así, el usuario puede usar apps populares mientras limita su acceso al sistema
  • Actualmente solo ofrece soporte oficial para la serie Google Pixel
    • Aprovecha el chip de seguridad Titan M para reforzar la protección de datos

Dispositivos compatibles y elección

  • A febrero de 2026, la lista de dispositivos compatibles incluye la serie Pixel 6 a 10 y la Pixel Tablet, entre otros
    • Entre los dispositivos recomendados figuran Pixel 9a, 9 Pro y 10 Pro, entre otros
  • El autor eligió un Pixel 9a y lo compró por alrededor de 1600 PLN (unos 450 dólares)
    • Sus ventajas son el soporte por 7 años y un precio razonable
    • Se muestra satisfecho con la duración de la batería y el rendimiento, y expresa su intención de usarlo a largo plazo
    • La desventaja es que la calidad de la cámara está por debajo de la del iPhone 15 Pro o el Galaxy Z Fold 6

Proceso de instalación de GrapheneOS

  • Requisitos para la instalación: smartphone Pixel, cable con transferencia de datos y una PC con navegador basado en Chromium (se recomienda Windows 10/11)
  • Resumen del procedimiento
    • Desbloquear el bootloader → descargar y flashear la imagen del sistema → volver a bloquear el bootloader → restaurar el bloqueo OEM
    • Se activa la función Verified Boot para la verificación de integridad del sistema
    • Después de la instalación, se restaura la seguridad desactivando las opciones de desarrollador y reiniciando

Cómo se usa GrapheneOS

  • GrapheneOS presenta una estructura de compromiso entre comodidad y privacidad
    • El usuario puede ajustar libremente la configuración según el nivel de seguridad que desee
  • Aprovecha la función de perfiles de usuario múltiples para separar dos perfiles: ‘Owner’ y ‘Tommy’
    • En el perfil Owner se instalan Google Play Services y apps bancarias (mBank, T-Mobile)
    • En el perfil Tommy se mantienen los datos personales y las apps principales
    • Si hace falta, eliminar el perfil secundario permite borrar rápidamente información personal
  • La función Private space permite aislar apps financieras o sensibles en un espacio separado
    • Ejemplo: Google Drive, mBank, Revolut, Santander, etc.
    • Algunas funciones de pago NFC no funcionan dentro de Private space

Uso de apps de código abierto y sin GMS

  • Con Obtainium se gestiona la instalación de archivos .apk y las actualizaciones automáticas de apps de código abierto
    • Apps principales en uso: AntennaPod, Bitwarden, Brave, DAVx2, Signal, Organic Maps, Thunderbird, entre otras
  • Aurora Store es un cliente de código abierto de Google Play que permite descargar apps sin una cuenta de Google
    • El uso de cuentas anónimas mejora la privacidad, aunque existe riesgo de bloqueo de cuenta
    • La posibilidad de ataques Man-in-the-Middle es algo cuya confianza debe evaluar el usuario
  • Apps confirmadas como funcionales sin GMS: Apple Music, Bolt, Discord, Duolingo, GitHub, Lidl Plus, Messenger, Reddit, Zepp, entre otras

Control de permisos y gestión de seguridad

  • GrapheneOS permite controlar con precisión el acceso a red y sensores por app
    • Por ejemplo, FUTO Voice Input, FairScan y Librera no necesitan acceso a internet
    • La mayoría de las apps no necesitan acceso a sensores, aunque suele estar permitido por defecto
  • Ruta para gestionar permisos: mantener presionado el ícono de la app → App info → Permissions
    • Las opciones se dividen en Permitir / Preguntar siempre / No permitir
  • Con Permission manager y Privacy dashboard se puede revisar el estado general de permisos y la frecuencia de uso

Apoyo al proyecto

  • El equipo de desarrollo de GrapheneOS trabaja con el objetivo de construir un ecosistema de código abierto centrado en la seguridad
  • El autor considera que GrapheneOS es una alternativa realista para dejar atrás la dependencia de Google y Apple, y recomienda apoyar a los desarrolladores

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-18
Opiniones de Hacker News

  • Llevo usando este SO alrededor de 1 año en un p9 pro. En general funciona bien
    Había escuchado que Google Tap to Pay no funciona, pero el Tap to Pay de Vipps sí funciona bien. BankID funciona, pero el inicio de sesión con biometría no. La app personal de DnB funciona, pero la app empresarial está bloqueada
    De verdad es absurdo que bloqueen las apps así. Al sitio web se puede acceder igual. Incluso en Linux se puede usar la web del banco, así que da risa que confíen más en Linux que en Windows
    No recomiendo dividir el uso en varios perfiles de usuario. En seguridad casi no aporta nada y más bien es molesto. Aun así, en general estoy satisfecho

    • Escuché la historia de un colega que antes pasó por una auditoría de seguridad en un gran banco en línea. Entre los puntos de auditoría, siempre señalaban como amenaza prioritaria que “¡la app corre en un teléfono rooteado!”. Mientras tanto, los desarrolladores hacían QA con teléfonos rooteados; era puro show de seguridad
    • En España la situación es distinta. Se puede entrar al sitio web del banco, pero las operaciones reales son imposibles sin la app. Incluso para iniciar sesión en el sitio web te piden verificación de identidad con la app. Por eso bajo las apps desde Aurora Store y hago la banca solo en un Vollaphone
    • Recomiendo migrar poco a poco a GrapheneOS. Es importante entender los límites de seguridad de cada app. Tap to Pay no funciona y probablemente no vaya a funcionar en el futuro. Las apps bancarias varían muchísimo. Yo simplemente pago con tarjeta y hago la banca desde la web. Uso perfiles separados para trabajo, personal, clubes, etc., y como no se mezclan las notificaciones me ayuda a concentrarme
    • Llevo usando la web bancaria en Ubuntu/Debian desde 2009, y cada banco tiene un método de autenticación distinto. Algunos usan un dispositivo TOTP, cuya batería lleva 20 años sin cambio. Otros exigen app + huella o verificación por SMS. Al final es difícil evitar depender de Google o Apple. GrapheneOS también es solo para Pixel, así que la dependencia de Google sigue ahí
    • Hubo una vez en junio en que la app de BankID quedó completamente rota. Le escribí por correo al desarrollador y me respondió que no bloquearon GrapheneOS a propósito. Más bien dijo que era fan de GrapheneOS. Pero en la versión reciente la biometría no funciona porque WebView no es Chrome. Supongo que fue un simple error, así que pienso volver a escribirle

  • Yo instalé GrapheneOS en un Pixel 8, y para pagos o seguros mantengo aparte un iPhone viejo que solo uso en casa. Es incómodo, pero así puedo usar las apps oficiales necesarias mientras protejo al máximo la privacidad
    Uso F-Droid como base, Aurora como apoyo y Obtainium como último recurso. De las apps de Google, la única realmente necesaria es la cámara, y la tengo aislada en sandbox sin permiso de red
    Para respaldos uso una combinación de Seedvault de GrapheneOS, immich y MyPhoneExplorer. Abajo está mi lista de apps de código abierto que uso con frecuencia: Newpipe, Organic Maps, Wireguard, Signal, KOReader, etc.

    • También comparto las apps FOSS que uso a diario: Aegis (2FA), Breezy Weather, OnlyOffice Documents, Aves, Termux, Unexpected Keyboard, etc. Se pueden instalar fácilmente con Obtainium
    • Me gusta Organic Maps. Como no tiene anuncios ni feeds sociales, se siente limpio. El cliente de escritorio para Linux también es útil
    • Últimamente me cambié a CoMaps. La integración con la edición de OpenStreetMap está muy buena y hasta hice mi primera contribución
    • Este tipo de listas de apps ayuda muchísimo a quienes empiezan en una nueva plataforma. Ojalá hubiera también un sitio de curación de apps así para escritorios Linux
    • Me da curiosidad cómo se vería una app como Google Maps en sandbox. Quisiera saber si puede identificar el dispositivo incluso sin iniciar sesión

  • Es irónico que para “salir de Google” haya que comprar un Pixel, pero en la práctica es el teléfono Android más abierto. Desbloquear el bootloader es fácil y la recuperación también es sencilla

    • Hay noticias de que GrapheneOS está preparando una nueva alianza con OEM para poder usarse sin depender de Google (artículo de Android Authority)
    • Pixel es un dispositivo realmente bien hecho. Es casi imposible dejarlo brickeado incluso si lo intentas a propósito. Hay gente que lo ha intentado como en este video. Si compras uno reacondicionado de segunda mano, ni siquiera tienes que darle dinero a Google
    • Uso GrapheneOS en un Pixel 6a, pero por un recall de batería tengo que restaurarlo a Android stock. El proceso de respaldo y restauración es engorroso
    • Hoy en día el rastreo de ubicación a nivel de hardware es tan preciso que el anonimato total es imposible. Por eso creo que es mejor vivir con un modelo de “gray man” que no llame la atención
    • No pude intentarlo porque mi Pixel 5 murió por un defecto de pantalla y placa base

  • Si usas GrapheneOS, también puedes salir del ecosistema de smartwatch con GadgetBridge (gadgetbridge.org)
    La combinación Thinkpad (NixOS) + Pixel 9 (GrapheneOS) + Amazfit funciona perfectamente. KDE Connect y GadgetBridge se integran, así que se logra una sincronización completa sin nube

    • Eso sí, GadgetBridge todavía no puede sincronizar automáticamente los datos de actividad (.fit, .gpx). Por eso uso ActivityLog2(enlace) para hacer respaldos manuales. Cuando GadgetBridge soporte sincronización de carpetas locales, pienso volver a usarlo
    • Los relojes Garmin son bastante abiertos. Envío los datos a InfluxDB y los visualizo en un dashboard de Grafana
    • Como alternativa también existe PineTime. Puedes elegir tú mismo el SO
    • Pero después de unos meses, apps de bancos, gobierno o eventos detectan el bootloader desbloqueado y se niegan a ejecutarse. Depende de la región, pero es una limitación real

  • Estoy usando GrapheneOS en un Pixel 9 y estoy muy satisfecho. En especial me impresionaron estas funciones

    1. La app de cámara de Pixel funciona perfectamente
    2. Con GPhotosShim se puede previsualizar sin Google Photos
    3. Android Auto, QuickShare, NFC, Yubikey y Screencast funcionan todos
    4. Se puede bloquear el acceso a sensores e internet por app
    • También reconoce perfectamente SSD externos. Probado hasta exFAT de 2 TB
    • También hubo gente preguntando si Android Auto exige instalar Google Play (documentación oficial)
    • Algunos comentaban que Open Camera también es buena, pero tenían curiosidad por saber si la cámara de Pixel ofrece algo mejor
    • También hubo preguntas sobre si QuickShare funciona sin cuenta de Google y si los datos no terminan yendo a Google
    • También hubo quien lamentó que Yubikey no sea compatible con Bitwarden

  • He usado GrapheneOS desde el Pixel 3a hasta el 10 Pro, y creo que ya no podría volver a otro SO
    Aunque hay cosas que extraño

    • Que no se pueda configurar con detalle el alcance del acceso a contactos por etiqueta
    • Que no se puedan instalar extensiones en el navegador Vanadium
    • Que no se puedan usar varios VPN al mismo tiempo (por ejemplo: Tailscale + bloqueo de anuncios + límites de productividad, etc.)
      Pedí funciones así en el issue de la app Rethink, pero ojalá existiera soporte a nivel del SO
    • Si tienes acceso root, puedes usar AdAway de F-Droid para bloquear anuncios con base en /etc/hosts. También tengo Reddit y HN metidos en la lista de bloqueo
    • Si usas el navegador IronFox, puedes instalar extensiones de Firefox (disponible en la tienda Accrescent)
    • Si separas los perfiles, puedes activar 2 o 3 VPN al mismo tiempo
    • Con la función de etiquetas de contactos sí se puede controlar parcialmente el alcance
    • Me dieron ganas de buscar un Pixel 10 Pro usado

  • Hace poco en HN hubo una discusión sobre cómo el spyware hackea WhatsApp, Telegram y Signal a nivel del SO, y me dio curiosidad qué tan seguro es GrapheneOS (post relacionado)

    • GrapheneOS ya había parchado las principales vulnerabilidades antes de mediados de 2026 (notas de lanzamiento). Mucho más rápido que los grandes vendors
    • Claro, no puede detener ataques de nivel estatal, pero para un usuario común es suficientemente seguro. Basta con ver que gobiernos europeos intentan prohibir GrapheneOS
    • Gracias a hardened_malloc, los ataques por vulnerabilidades de memoria son mucho más difíciles. Aun así, Android sigue teniendo una superficie de ataque amplia
    • De todos modos, como todavía hay mucho firmware y blobs de hardware, la seguridad total es imposible. Al final lo realista es tratarlo como un dispositivo no confiable
    • Algunos dicen que “al final no deja de ser un fork de Android, así que será igual de vulnerable”

  • Cuando trabajaba en Microsoft usaba FreeBSD, pero como adb era complicado, instalaba ROMs personalizadas desde una laptop con Windows. Ahora uso Fedora, y como los drivers de Android vienen integrados por defecto, es muchísimo más cómodo. De hecho, en Windows tuve más problemas de drivers

    • Yo tuve la misma experiencia. Los AirPods se conectan de inmediato en Linux, pero en Windows se cortaban todo el tiempo por problemas de drivers

  • Llevo 3 años usando GrapheneOS. La mayoría de las apps bancarias también funcionan sin problema, y tengo Google Play instalado en sandbox en dos perfiles
    Pero una vez la app de Uber me suspendió la cuenta sin motivo. Solo había creado la cuenta y hecho una reserva, pero me bloquearon alegando violación de los términos de uso. Después de varios días peleando con soporte lo recuperé, pero este tipo de riesgo me hace dudar

    • Yo uso Uber en GrapheneOS sin problemas. Parece más bien un problema de Uber
    • Casi que no poder usar Uber me parece algo bueno. Los taxis en efectivo son más éticos y seguros
    • Yo también dejé Uber y solo uso taxi. Hasta sale más barato
    • Uso Uber en GrapheneOS sin problemas. No tengo inconvenientes
    • También queda la duda de si de verdad esto fue por GrapheneOS o no