3.3 Relock del bootloader y verificaciones posteriores

El relock del bootloader es un paso crítico dentro del ciclo de vida de un dispositivo con GrapheneOS. Restablecer el sello de arranque verificado refuerza la cadena de confianza y garantiza que el sistema operativo no haya sido modificado de manera no autorizada. A continuación se detalla, de forma exhaustiva, cada fase del procedimiento y las comprobaciones posteriores necesarias para certificar la integridad y la seguridad del dispositivo.

3.3.1 Preparación previa al relock

• Copia de seguridad de datos: Antes de cualquier operación de relock, realice un backup completo de su información. El proceso implicará un borrado total de almacenamiento interno.
• Versión de GrapheneOS: Asegúrese de que la imagen instalada corresponda a una compilación oficial y firmada. Verifique la huella SHA256 descargada desde la web oficial.
• Herramientas necesarias: Disponga de fastboot (versión 31.0.3 o superior) y los drivers ADB/fastboot actualizados.
• Modo bootloader abierto: El dispositivo debe encontrarse en estado unlocked para proceder. Compruébelo con:
  
  fastboot flashing getvar unlocked

3.3.2 Procedimiento de relock

1. Inicie el dispositivo en modo bootloader. Generalmente, mantenga pulsados simultáneamente los botones Power y Volume Down al arrancar.
2. Conéctelo al equipo y verifique la conectividad:
   
   fastboot devices
3. Ejecute la instrucción de bloqueo:
   
   fastboot flashing lock
4. Confirme la operación en pantalla del dispositivo, seleccionando “LOCK THE BOOTLOADER”. Esta acción aplica una señal física interna que deshabilita la recepción de imágenes no firmadas.
5. Tras completarse, el dispositivo se reiniciará y realizará un borrado completo de la partición de usuario.

3.3.3 Verificaciones post-relock

Una vez relockeado, es imprescindible ejecutar una serie de comprobaciones que confirmen la restauración de la cadena de confianza y la protección de arranque:

• Estado de bloqueo:
  fastboot flashing getvar locked
  Resultado esperado: locked: yes.
• Verificación de AVB (Android Verified Boot):
  En modo desarrollador de GrapheneOS, acceda a Ajustes → Sistema → Estado de arranque verificado. Debe mostrar “Integrity Verified” y “dm-verity enabled”.
• Integridad de VBMeta: Compruebe la firma criptográfica:

  Variable	Valor esperado
  vbmeta.digest	Huella SHA256 oficial
  vbmeta.avb_version	1.0
  vbmeta.firmware_version	Coincidente con la build instalada

• Registro de arranque (logcat): Examine el buffer de arranque en busca de alertas de integridad:
  adb logcat -b all grep -E avbveritydm-verity. No debe existir ninguna entrada relacionada con fallos de verificación o arranques en modo de recuperación.

3.3.4 Auditoría de seguridad adicional

Para mayor confianza, puede complementar las pruebas con:

• Comparativa de hashes: Extraiga el binario de arranque (boot.img) y calcule su SHA256 para cotejarlo con la referencia oficial.
• Evaluación de SafetyNet: A pesar de que GrapheneOS no persigue el soporte de CTS, la verificación de los servicios de Google puede indicar si el entorno de arranque ha sido alterado de forma anómala.
• Inspección física: En dispositivos de alto valor, valide el estado de los sellos de garantía y posibles manipulaciones en los conectores internos.

Conclusión

El relock del bootloader, acompañado de una batería de verificaciones exhaustivas, restablece y fortalece la cadena de confianza en GrapheneOS. Siguiendo este protocolo, asegura que sólo se ejecute software firmado oficialmente, mitigando riesgos de firmware malicioso y ataques de persistencia.