GrapheneOS: el Android que no te espía
TL;DR: GrapheneOS es un sistema operativo para móviles basado en AOSP (la base abierta de Android) que prioriza seguridad y privacidad por encima de todo. No trae Google de fábrica; si lo necesitas, puedes instalar Play como apps normales y encerrarlas en su propio “corral”. Añade controles que Android estándar no ofrece (cortar Internet por app, bloquear sensores, “scopes” para archivos y contactos), un navegador/WebView reforzado (Vanadium), verificación de integridad con Auditor y un montón de defensas internas. Está pensado para Pixel por su hardware de seguridad y por las actualizaciones rápidas. Si quieres seguir usando Android sin sentirte monitorizado, es una de las mejores opciones reales hoy.
Qué es GrapheneOS y en qué se diferencia de Android “normal”
Este artículo es parte de nuestra guía sobre GrapheneOS a petición de nuestra comunidad. Intentaremos explicarlo para todos los públicos, aunque como podreis comprobar, no hay que ser sysadmin linux para usarlo ni para instarlo, cualquier puede fácilmente. Sin maś preámbulos, empezamos:
Piensa en Android como dos capas. Abajo está AOSP, el proyecto abierto donde viven el kernel, el sistema, los permisos básicos y las APIs. Encima, cada fabricante pone su capa: apps propias, servicios, personalizaciones, acuerdos con terceros, y en la mayoría de casos, Google Play con privilegios de sistema.
GrapheneOS parte de esa base abierta y la refuerza. En vez de añadir bloat o telemetría, quita lo innecesario, mete defensas, corrige supuestos “inevitables” y te devuelve los mandos finos que en Android estándar no existen o están escondidos. Compatibilidad: sigues en el mundo Android, tus apps corren, pero se topan con límites más estrictos y transparentes.
La gran diferencia práctica: en GrapheneOS Google no es el sistema operativo. Si lo quieres, lo instalas como cualquier otra app, dentro del mismo sandbox, con los permisos que le concedas y, si te apetece, encerrado en otro perfil de usuario. Y si no lo quieres, no hay “restos” del sistema llamando a servidores de Google por su cuenta.
Lo que añade de verdad (y por qué se nota)
Permisos nuevos que sí te dan poder
- Interruptor de red por app: puedes cortar toda la conectividad de una aplicación. De verdad. Ni Wi-Fi, ni datos, ni loopback, ni “atajos” a través de otras apps. Perfecto para notas, lectores, reproductores o cualquier cosa que no debería salir a Internet.
- Interruptor de sensores: bloquea el acceso a sensores de movimiento/entorno (acelerómetro, giroscopio, barómetro, etc.) que muchas apps usan sin pedirlo para fingerprinting o telemetría. Si están bloqueados, la app recibe ceros; si de verdad los necesita, que te lo argumente.
- Storage Scopes: cuando una app te pide “Archivos”, eliges exactamente las carpetas o incluso archivos a los que puede ver. Se acabó eso de dar acceso a toda tu galería “porque si no no funciona”.
- Contact Scopes: igual, pero con la agenda. Puedes conceder solo unos contactos o un grupo, no todo tu listado.
Navegación y WebView reforzados
Vanadium es el navegador y también el WebView del sistema. Es Chromium, sí, pero con decisiones conservadoras y parches que priorizan seguridad sobre velocidad bruta: aislamiento de sitios más fuerte, mitigaciones de ejecución especulativa, control del JIT, endurecimiento de sandbox… ¿Qué ganas tú? Menos superficie para exploits web (que son, con diferencia, la vía más común de intrusión hoy) y menos filtraciones vía webviews incrustados en apps.
Google, solo si quieres y encerrado si lo usas
El invento clave aquí es Sandboxed Google Play. En Android normal, Play Services tiene privilegios de sistema; en GrapheneOS, no. Son apps corrientes. Puedes instalarlas en el perfil principal o —mejor aún— crear un perfil “Google” y meter ahí todo lo que dependa de Play (banca, transporte, mensajería…) para que no contamine el resto. Cerrar ese perfil al terminar el día “apaga” claves y procesos de ese mundo. Es la manera más limpia de tener compatibilidad sin regalar el control.
Verificación de integridad con Auditor
Auditor sirve para asegurarte (y demostrar) que tu teléfono sigue en buen estado: bootloader bloqueado, sin rebajar versiones críticas y sin modificaciones de sistema. Usa atestación respaldada por hardware. Puedes hacer verificaciones locales entre dos dispositivos o programarlas contra un servidor. Útil si viajas, si te mueves en entornos con inspecciones o si simplemente quieres rutina de “higiene”.
Endurecimiento bajo el capó
- hardened_malloc: un asignador de memoria orientado a seguridad que hace más difícil explotar errores típicos de memoria (use-after-free, sobreescrituras de heap). A veces destapa bugs en apps que “se la jugaban”; para eso existe un modo de compatibilidad por app.
- Memory Tagging (MTE) en los Pixel modernos: el sistema puede aprovechar el etiquetado de memoria de ARMv9 para detectar corrupción de memoria en caliente. Es una ventaja real frente a ataques que en otros móviles pasan desapercibidos.
Conexiones del sistema, bajo tu control
El sistema minimiza llamadas automáticas y, cuando las necesita (p. ej., la famosa comprobación de “hay Internet”, tiempo de red o datos asistidos de GNSS), por defecto usa endpoints neutrales del propio proyecto. Si prefieres camuflarte y parecer un Android “de siempre”, puedes cambiar a los de Google con un selector. Y si eres purista, puedes apagarlo todo y listo.
Tabla rápida de privacidad y control
| Función | Android/AOSP estándar | GrapheneOS | Beneficio real para ti |
|---|---|---|---|
| Cortar Internet por app | No hay permiso nativo; dependes de VPN/firewall | Interruptor de red a nivel de app | Evitas fugas y “telemetría creativa” en apps offline |
| Bloquear sensores de movimiento | Sin permiso unificado | Interruptor de sensores global por app | Menos fingerprinting físico y datos innecesarios |
| Acceso a archivos | Scoped storage, pero muchas apps piden acceso amplio | Storage Scopes (carpetas/archivos concretos) | Concedes lo justo sin romper apps |
| Acceso a contactos | Todo o nada | Contact Scopes (contactos/grupos concretos) | Evitas entregar toda tu agenda |
| WebView/Navegador | Chromium estándar | Vanadium endurecido | Menos superficie para exploits web |
| Google Play | Servicios privilegiados del sistema | Play en sandbox, opcional y por perfil | Compatibilidad sin ceder el sistema |
| Verificación de integridad | API genérica, sin flujo pensado para el usuario | Auditor (atestación con hardware) | Sabes si el equipo sigue “limpio” |
| Endurecimiento de memoria | Scudo/jemalloc | hardened_malloc + uso de MTE en Pixel | Exploits de memoria mucho más difíciles |
| Conectividad “de sistema” | Hacia Google por defecto | Endpoints propios con opción de cambiar | Menos telemetría de base o más mimetismo, a elección |
Relación con AOSP, y por qué importa
AOSP es la base. GrapheneOS no “rompe” Android: lo endurece y te da conmutadores que encajan con cómo usamos el móvil hoy. Donde AOSP deja el comportamiento más abierto por compatibilidad, GrapheneOS añade un interruptor. Donde Android estándar confía en servicios propietarios de conectividad, aquí hay servicios neutrales con opción de cambiar. Donde el navegador por defecto busca el mejor benchmark, aquí se elige seguridad antes que décimas en un test sintético.
Eso sí, la compatibilidad no es una religión ciega: si una app depende de permisos intrusivos o de comportamientos que el sistema bloquea por seguridad, en GrapheneOS se notará. Normalmente bastará con darle permisos finos o crearle un perfil aparte. Y si no, quizá valga la pena buscar alternativa.
¿Y el hardware? Por qué casi todo gira en torno a Pixel
El proyecto soporta oficialmente Google Pixel. ¿Hipocresía? No; pragmatismo. Los Pixel traen lo que GrapheneOS necesita para que su propuesta tenga sentido: arranque verificado con protección contra retrocesos, chip de seguridad dedicado (Titan M2 en generaciones recientes), atestación de hardware que realmente sirve, y —clave— parches de seguridad rápidos y prolongados. Además, las series más nuevas traen MTE de hardware, que eleva el listón de defensa sin penalizar batería como lo haría un truco puramente software. Podrían añadirse otros modelos en el futuro si cumplen el listón, pero el proyecto no “porta por portar” a hardware que no permita ese nivel.
Instalarlo sin drama
La vía recomendada es un instalador web oficial que te guía paso a paso: activar modo desarrollador, desbloquear bootloader, flashear, volver a bloquear, y arrancar. Si prefieres terminal, hay guía CLI. Más allá de eso, lo importante es no seguir tutoriales de terceros desactualizados y, tras instalar, dedicar diez minutos a configurar perfiles y permisos.
Checklist de los “primeros 30 minutos”:
- Crea tu perfil principal sin Google y configura las opciones de privacidad básicas (notificaciones sensibles fuera de la pantalla de bloqueo, teclado sin “memoria” si lo prefieres, etc.).
- Crea un perfil secundario con Sandboxed Google Play para las apps que lo exigen (banca, transporte, notificaciones push de mensajería, lo que sea).
- Revisa en Ajustes de red la política de conectividad por defecto y decide si te quedas con endpoints neutrales o si cambias al modo “parecer Android estándar”.
- En Permisos, acostúmbrate a los nuevos conmutadores: red y sensores. Plantéate dejarlos en “off” por defecto y encenderlos cuando una app lo necesite.
- Activa Auditor si quieres una verificación periódica. No molesta y te da tranquilidad.
Cómo se usa en el día a día (ejemplos reales)
- Notas y ofimática: instala tu app favorita, corta su acceso a Internet, concédele solo la carpeta de documentos. Cero anuncios, cero llamadas de “telemetría”, cero sustos.
- Galería y edición: un editor de foto/vídeo se queda con la carpeta del proyecto. No necesita ver el carrete entero de tu vida para exportar un clip.
- Mensajería: si dependes de notificaciones push, mete esa app en el perfil con Play. ¿No quieres que te interrumpa cuando duermes? Cierra el perfil y, por definición, deja de existir.
- Mapas: si usas mapas offline, corta Internet y listo. Si necesitas tráfico, se lo das solo mientras lo usas.
- Apps curiosas: cualquier app que intente leer sensores sin venir a cuento topará con el interruptor. Eso también reduce fingerprinting, porque esos patrones de movimiento y orientación ayudan más de lo que parece a identificarte.
Cosas a tener en cuenta (para no idealizar)
- Compatibilidad puntual: el endurecimiento puede descubrir chapuzas en apps. Para eso está el modo de compatibilidad por aplicación. Evita “soluciones globales” tipo “desactiva todo”, y ajústalo donde haga falta.
- No es magia: si tú das permiso, la app lo usará. La diferencia frente a Android estándar es que aquí puedes negar de forma granular sin romper medio sistema, y además puedes encapsular apps por perfiles.
- Aprendizaje leve: hay dos o tres conceptos nuevos (scopes, perfiles, toggles) que en una tarde ya tienes dominados. Después es olvidarte: el sistema trabaja solo.
Conclusión
“Android que no te espía” no significa “teléfono monacal”. Significa que el sistema no hace de comercial de tus datos, que las apps no se cuelan por puertas traseras, y que tú decides cuándo, cómo y con quién se comparten cosas. GrapheneOS coge la base abierta de Android y la lleva a un estándar de integridad que encaja con la vida real de 2025: navegadores y webviews cerrados a cal y canto, memoria vigilada, verificación de integridad con hardware, perfiles que sí aíslan, y permisos que por fin se parecen a lo que un usuario necesita. Si quieres seguir en Android sin tragar con la idea de que “esto es lo que hay”, es probablemente la alternativa más seria, coherente y utilizable ahora mismo.
Fuentes
- Sitio oficial de características de GrapheneOS: https://grapheneos.org/features
- Guía de uso (incluye Sandboxed Google Play, Storage/Contact Scopes, conectividad): https://grapheneos.org/usage
- Instalación oficial (web installer y CLI): https://grapheneos.org/install
- hardened_malloc (repositorio técnico): https://github.com/GrapheneOS/hardened_malloc
- Vanadium (navegador/WebView endurecido): https://grapheneos.org/vanadium
- AOSP — qué es y cómo encaja: https://source.android.com/docs/setup/about
Deja una respuesta