En un mercado dominado por Android e iOS, algunos sistemas operativos móviles se atreven a hacer algo diferente. Graphene ofrece mayor seguridad para personas y organizaciones de alto riesgo, mientras que /e/ quiere que la privacidad sea accesible para todos. Los dos sistemas operativos luchan contra la vigilancia y el capitalismo de la vigilancia, protegiendo a los consumidores de las miradas indiscretas tanto de los estados nacionales como de las empresas ávidas de datos.
El primero, GrapheneOS, está ganando adeptos dentro de la comunidad de la ciberseguridad, donde es alabado por ser estable y fiable. Este sistema operativo móvil de código abierto con seguridad reforzada fue creado por Daniel Micay, un desarrollador meticuloso que se preocupa por «avanzar en el estado del arte» de la seguridad. Construyó Graphene desde cero, afirmando que era la única forma de lograr el nivel de privacidad, seguridad y solidez que deseaba.
Mientras Micay crea un sistema operativo móvil para usuarios de alto riesgo, otro empresario toma un camino diferente. Gaël Duval, el cerebro detrás de Mandrake Linux, está construyendo un sistema operativo centrado en la privacidad que es fácil de usar. Los clientes pueden comprar teléfonos reacondicionados con /e/OS preinstalado, que funcionan nada más sacarlo de la caja, como cualquier otro dispositivo Android, pero no envían montones de datos a Google.
e/ y Graphene forman parte de una nueva oleada de sistemas operativos que poco a poco van ganando público. «Los consumidores buscan alternativas innovadoras, más seguras y más privadas al duopolio de los smartphones de Google y Apple», dice Sean O’Brien, fundador de Yale Privacy Lab. «He probado casi todos los sistemas operativos para smartphones disponibles actualmente. En muchos aspectos, opciones como Graphene y /e/ son más factibles, intuitivas y funcionales que los predeterminados enviados por los grandes fabricantes de equipos originales».
GrapheneOS: seguridad reforzada y una impresionante duración de la batería
GrapheneOS es, en su mayor parte, un proyecto unipersonal. Es una creación del investigador de seguridad Micay, con sede en Toronto, que también trabajó en CopperheadOS pero ya no forma parte del proyecto.
Con GrapheneOS, él hizo la mayor parte del trabajo. «He creado el 99% de lo que existe en este momento», dice. Este férreo control le permitió desarrollar un sistema operativo móvil a la altura de sus ambiciones y del nivel de seguridad reforzado que deseaba. «No hay otro proyecto igual en absoluto», argumenta Micay. «No creo que tenga competencia».
El SO fue diseñado de forma que elimina varias clases de vulnerabilidades, se lee en el sitio web grapheneos.org. «Tiene un kernel endurecido, libc, malloc y una cadena de herramientas de compilación con muchas mejoras de bajo nivel.»
A primera vista, Graphene se parece a Android de serie. Hay que instalarlo manualmente en uno de los teléfonos con soporte oficial: Pixel 2, 2 XL, 3, 3 XL, 3a y 3a XL. (El soporte de Graphene para los Pixel 4 y 4XL está en desarrollo, pero no hay una línea de tiempo.)
El sistema operativo tiene una sensación espartana, con pocas cosas incluidas en él. Dado su carácter privado y seguro, no utiliza los servicios de Google Play, y no incluye la tienda de Google Play. Sólo unas pocas aplicaciones están directamente disponibles, como Vanadium, una variante endurecida del navegador de código abierto Chromium. Los usuarios que quieran una gama más amplia de herramientas pueden descargar la tienda de aplicaciones F-Droid, que cuenta con aplicaciones gratuitas y de código abierto.
En algún momento, Micay espera tener su propia tienda. Aunque planea crear sólo un pequeño repositorio, dice que la tarea requiere mucho tiempo: «Rara vez podemos encontrar aplicaciones de código abierto de alta calidad, así que tendremos que desarrollarlas nosotros mismos o inspirar a otros para que lo hagan».
Iniciar una aplicación en Graphene podría llevar unos milisegundos más que en Android de serie, y podría utilizar más memoria debido a una mayor seguridad. Sin embargo, una vez que la aplicación se inicia, no hay ningún retraso apreciable.
GrapheneOS se adapta a algunos modelos de amenaza
La mayoría de los investigadores de seguridad que han utilizado Graphene hablan bien de él. Baptiste Robert, conocido por descubrir agujeros en Android, sostiene que GrapheneOS es «el mejor candidato» para algunos modelos de amenazas centrados en la seguridad. «Daniel ha hecho un trabajo fantástico al crear esta versión endurecida de Android», dice Robert, y añade que tiene «un enorme respeto por sus habilidades y su trabajo».
Costin Raiu, director del equipo de investigación y análisis global de Kaspersky, ha encontrado que Graphene es «extremadamente estable». Dice que un departamento de TI razonablemente capaz puede configurar y gestionar los dispositivos que ejecutan este sistema operativo sin demasiadas interrupciones.
«La instalación, la actualización mensual y el mantenimiento general fueron muy fluidos y completamente sin problemas», dice Raiu. «Puede ser un buen compañero, un teléfono seguro que las organizaciones de alto riesgo podrían desplegar entre su gente, junto con un mensajero seguro como Threema».
GrapheneOS no sólo es seguro y estable. También es eficiente desde el punto de vista energético, ya que se eliminan muchos procesos de fondo que consumen batería y que normalmente se encuentran en los dispositivos Android. La mayoría de los investigadores dicen que la batería dura dos o tres días con una sola carga. Con un uso menor, como consultar las noticias de vez en cuando y navegar, puede durar hasta 10 días, dice Raiu.
Este sistema operativo podría ayudar a los empleados del gobierno, los políticos, los funcionarios de inteligencia, los investigadores de seguridad (sobre todo los que investigan los ciberataques patrocinados por el Estado), los periodistas, los defensores de la privacidad y los activistas de los derechos humanos, además de las empresas que realizan trabajos delicados, según Raiu.
«Para estar seguros, hay que apilar unas cuantas capas de seguridad», dice. Dependiendo de la situación, se puede utilizar un teléfono GrapheneOS sin tarjeta SIM, para aumentar el grado de anonimato. El dispositivo también podría conectarse a «un pequeño router estilo Raspberry Pi, transmitiendo una red WiFi a través de TOR o una VPN», sugiere Raiu.
Otro aspecto emocionante de Graphene, dicen los usuarios, es la determinación de Daniel Micay de ampliar los límites de la seguridad. El sistema operativo ya ha llevado a cabo mejoras en todos los ámbitos, incluso en el proyecto de código abierto de Android (AOSP). Para conseguir más, Micay dice que necesita desarrolladores apasionados dispuestos a ayudar.
Mientras Micay trabaja en su proyecto destinado a ayudar a la comunidad más conocedora de la tecnología, el empresario francés Gaël Duval intenta desgooglear la vida de todos.
/e/OS: Privacidad para todos
A finales de los años 90, cuando instalar Linux era un proceso laborioso y ejecutarlo a menudo requería una magia en la línea de comandos, Gaël Duval cambió el paradigma. Quería que todo el mundo usara Linux, no sólo los técnicos, así que creó Mandrake, la primera distribución fácil de usar. Pronto, su producto llegó a millones.
«Con /e/, estoy en el mismo estado de ánimo que con Mandrake», dice Duval. «Los ingenieros que hacen grandes productos que son complicados de usar dicen: ‘La gente sólo tiene que aprender o leer el manual f*****’. Pero la verdad es que simplemente no les gusta construir interfaces de usuario convencionales.»
Duval lanzó el /e/OS centrado en la privacidad a finales de 2017 con una campaña de Kickstarter que recaudó más de 110.000 dólares. Fue suficiente dinero para que el empresario francés hiciera un fork libre de Google de LineageOS. (Lineage, un sistema operativo móvil libre y de código abierto basado en Android, es el descendiente de CyanogenMod.)
Más tarde, una recaudación de fondos en Indiegogo permitió a Duval obtener otros 120.000 dólares para crear un producto fácil de usar, pero respetuoso con la privacidad. Dice que /e/ se centra más en la privacidad que LineageOS. «Ofrecen la búsqueda de Google por defecto, utilizan los servidores de Google para la comprobación de la conectividad… no tienen ningún plan para desGooglear, que yo sepa». Duval ha sustituido los servicios de Google por microG, una implementación libre y de código abierto de las librerías de Google.
De hecho, la mayoría de las apps incluidas son de código abierto, aunque el teléfono ofrece al usuario una experiencia genuina de Android. El navegador web es una bifurcación sin Google de Chromium, la aplicación de correo es una bifurcación de K9, el motor de búsqueda se basa en Searx, mientras que la aplicación de la cámara es una bifurcación de OpenCamera. Duval también eligió MagicEarth para los mapas, y una bifurcación de GoodWeather como aplicación meteorológica. Los usuarios también pueden descargar aplicaciones a través de F-Droid.
«Lo más importante que aprendí de la experiencia de Mandrake Linux es que puedes tener el mejor sistema operativo del planeta, pero la gente usa primero las aplicaciones», dice Duval. Cree que la variedad de aplicaciones es fundamental para triunfar en el mercado. También quiere que esas aplicaciones sean justas con los clientes y no recojan montañas de información como hacen los grandes productos tecnológicos.
«Si usas un iPhone, unos 5MB de datos personales van a los servidores de Google al día», dice Duval. «En el caso de Android, es aún peor: unos 12MB al día. Mucha gente no se siente cómoda con esta situación».
No sólo Google recopila datos. El investigador londinense Gabriel Cîrlig demostró recientemente que los fabricantes de teléfonos también acumulan un océano de datos personales. Analizó un dispositivo Xiaomi Redmi Note 8 y descubrió que enviaba 1,5 MB de datos personales al día a servidores remotos en Singapur y Rusia. Eran puros datos personales de los que el usuario no podía prescindir, e incluían la música que escuchaba y las carpetas que tenía.
La magnitud del problema de la recolección de datos es algo que molesta a Duval. «El propósito de /e/ es ofrecer a la gente una opción», dice. Se dirige a un público amplio. Los usuarios pueden instalar la ROM en su dispositivo de forma gratuita, pero si eso es demasiado problema, también pueden comprar un teléfono reacondicionado ya configurado para ellos por tan sólo 250 euros. La tienda online de /e/ ofrece sobre todo dispositivos Samsung Galaxy, pero también se puede comprar un nuevo Fairphone 3, construido con un impacto medioambiental mínimo.
Como cualquier proyecto, /e/OS tiene sus críticas. El sistema operativo tiene «todos los mismos problemas de seguridad que LineageOS», argumenta un investigador que responde al nombre de madaidan. «Desactiva el arranque verificado, que se utiliza para asegurarse de que el firmware, el cargador de arranque, el sistema operativo, etc. no son manipulados». Argumenta que la mayoría de las ROMs personalizadas utilizan construcciones userdebug (que añaden una superficie de ataque de depuración adicional), permiten el acceso root a través de adb, no incluyen actualizaciones de firmware y debilitan las políticas de SELinux.
«/e/OS no se trata de seguridad endurecida, al menos por ahora», dice Duval. «No es para gente que pueda ser objetivo de gobiernos, servicios de inteligencia u organizaciones ilegales. Estamos haciendo un ecosistema de telefonía móvil que permite a los usuarios escapar de la recolección permanente e industrial de sus datos personales.»
A corto plazo, Duval espera añadir nuevas funciones de privacidad y mejorar aún más la experiencia del usuario. «A largo plazo, nuestro objetivo es convertirnos en el ecosistema móvil estándar de facto para los usuarios que quieren más privacidad y, en general, un entorno móvil más ético», afirma.
¿Podrán Graphene y /e/ crear una audiencia?
Salir adelante en el mercado de los sistemas operativos móviles, donde Apple y Google tienen una cuota de mercado del 99%, es un reto. «Si esperan vender millones de dispositivos, son unos ilusos», dice Francisco Jerónimo, vicepresidente asociado de dispositivos de IDC EMEA. Sostiene que mejorar la privacidad y la seguridad podría no ser suficiente para alcanzar una cuota de mercado decente. «Todo el mundo dice estar interesado en la seguridad y la privacidad, pero la mayoría de los consumidores, a pesar de ser conscientes de los riesgos, seguirán utilizando su teléfono normal.»
Aún así, Jerónimo cree que GrapheneOS y /e/OS pueden hacer algo de dinero, si lo hacen todo bien: «Hay un pequeño nicho de usuarios y empresas que se preocupan mucho por la seguridad y la confidencialidad, y no quieren ser vigilados».»
Para O’Brien, del Yale Privacy Lab, vale la pena defender este pequeño nicho a pesar de todas las dificultades. Dice que la gente que quiere una mejor privacidad y seguridad debería poder conseguirla. «En un planeta repleto de sensores de espionaje bajo el control de EE.UU., China y otros estados poderosos más pequeños, el panorama de la privacidad, la autonomía y la libertad parece sombrío», afirma. «Quienes han dedicado su vida a sustituir a las grandes tecnologías saben que las barreras son enormes, pero luchan de todos modos».
O’Brien sostiene que la pandemia del COVID-19 y las protestas en todo el mundo «pueden haber inclinado ya la balanza del control hacia las manos del gobierno», y que tener opciones podría ser la única forma de preservar la libertad digital para quienes más la necesitan.