GrapheneOS

GrapheneOS es la distribución Android de seguridad endurecida para hardware Pixel — el sistema operativo móvil respetuoso con la privacidad que se recomienda cada vez que la conversación se pone seria sobre los modelos de amenaza a nivel de teléfono. Arranque verificado hasta la raíz de confianza del hardware, Google Play Services en sandbox como una aplicación opt-in (no una capa privilegiada del SO), asignador de memoria endurecido y un requisito de hardware impulsado por la seguridad (solo Pixel, porque Pixel es la única línea de OEM Android que ofrece bootloaders desbloqueables + bloquearles de nuevo + chips de seguridad clase Titan-M2). Listado en Grado A · elección del editor porque es la única distribución Android con una historia creíble de "cambié el sistema operativo pero no perdí el modelo de seguridad."

Contexto. GrapheneOS fue iniciado por Daniel Micay en 2014 (inicialmente como CopperheadOS); la organización GrapheneOS actual ha sido el hogar consistente desde la bifurcación de 2018. Financiado por donaciones de usuarios, sin patrocinadores comerciales ni modelo de ingresos por publicidad. Código fuente en github.com/GrapheneOS. Desarrollo activo con actualizaciones de seguridad aproximadamente semanales sincronizadas con la cadencia de parches mensuales del Android Security Bulletin de Pixel — los usuarios de GrapheneOS típicamente reciben parches de seguridad dentro de días del lanzamiento oficial de Pixel, a veces antes de la ROM principal de Pixel a través del propio backporting del proyecto. El SO se distribuye sin servicios de Google preinstalados; los usuarios optan por Google Play en sandbox (separado de la capa de aplicaciones del sistema privilegiadas que Google incluye en Android oficial), o prescinden completamente de Google y usan F-Droid + Aurora Store + instalaciones directas de APK.

En qué confías. Seguridad a nivel de hardware: arranque verificado desde el chip de seguridad Titan-M2 / Tensor hacia arriba a través del núcleo, SO y espacio de usuario; si algo en la cadena de arranque es manipulado, el teléfono se niega a arrancar o advierte prominentemente. Sandboxing: el sandbox de aplicaciones de Android + el malloc endurecido de GrapheneOS + controles de permisos por aplicación (acceso a red, sensores, contactos, ubicación — todo granular y conmutable por aplicación). Sin vigilancia del proveedor: cero servicios de Google activados por defecto; Play Services en sandbox disponible como opt-in (las aplicaciones que requieren Play Services los ven pero en un entorno restringido). Red: permiso de red por aplicación (puedes denegar la red a cualquier aplicación), enrutamiento VPN por aplicación, y el SO admite funcionar sin tarjeta SIM o con una eSIM sin KYC como silent.link. Integridad de actualizaciones: actualizaciones OTA firmadas verificadas contra la clave de firma del proyecto — los ataques a la cadena de suministro contra el canal de actualización requerirían tanto un compromiso de firma de código como un fallo de reproducibilidad de compilación.

Especificaciones operativas. Hardware soportado: serie Pixel 6 en adelante (Pixel 6/6a/6 Pro hasta Pixel 9 Pro Fold y sucesores de clase Tensor). Los Pixel más antiguos (4/4a/4 XL/5/5a) ya no reciben soporte de seguridad de Google, por lo que GrapheneOS solo distribuye compilaciones de soporte extendido para hardware actualmente soportado por Google. Instalación: el instalador basado en web en install.grapheneos.org se ejecuta en Chrome / Brave / Vanadium y flashea a través de WebUSB — sin necesidad de `fastboot` de línea de comandos para la mayoría de los usuarios. Aplicaciones: F-Droid (catálogo libre/gratuito), Aurora Store (acceso proxy a metadatos de Play Store), Accrescent (tienda Android respetuosa con la privacidad), Play Services en sandbox para aplicaciones que no funcionan de otra manera. Navegador: incluye Vanadium, el fork endurecido de Chromium de GrapheneOS con mitigaciones de exploits más estrictas y mejor defensa contra huellas digitales que Chrome estándar. Perfiles: soporte completo multi-usuario / multi-perfil, con conjuntos de aplicaciones aislados por perfil — útil para separación trabajo/personal/anónimo en un solo dispositivo.

Filosofía. El diferenciador editorial de GrapheneOS es el argumento del "requisito de hardware impulsado por la seguridad". La restricción de solo Pixel frustra a los usuarios que quieren instalar en su Samsung / OnePlus / Xiaomi existente — pero la razón es técnica: GrapheneOS requiere bootloaders desbloquearles + que se puedan volver a bloquear (para poder instalar un SO personalizado y luego volver a bloquear al estado de arranque verificado), acceso completo a actualizaciones de firmware (para que los parches de seguridad mensuales de clase Pixel sean entregables) y un chip de seguridad con una ruta de atestación documentada (Titan-M2 en Pixel 6+). Los teléfonos Samsung/OnePlus o bien no admiten volver a bloquear después de desbloquear, o no exponen la ruta de actualización de firmware de una manera que preserve el modelo de seguridad. Así que la elección de solo Pixel no es esnobismo — es "solo podemos entregar el modelo de seguridad en hardware que lo admita." La gobernanza financiada por donaciones y sin patrocinadores corporativos refuerza la alineación: el incentivo del operador es mantener seguros a los usuarios, no incorporar más usuarios a costa de las garantías de seguridad.

Justificación de la calificación. El Grado A y la elección del editor reflejan: más de 12 años de continuidad operativa (linaje CopperheadOS → GrapheneOS desde 2014, proyecto actual desde 2018); financiado por donaciones sin presión de alineación corporativa; modelo de seguridad de arranque verificado a nivel de hardware que sobrevive al flasheo; modelo de Play Services en sandbox-no-privilegiado que no expande la huella de vigilancia de Google; cadencia de actualizaciones de seguridad aproximadamente semanal sincronizada con los parches de Pixel; avisos de seguridad publicados y respuesta a CVEs; inclusión consistente en cada guía seria de modelo de amenazas de privacidad + seguridad; infraestructura Android amigable con compilaciones reproducibles. Última verificación: 2026-05-13.

Útil cuando. Necesitas un teléfono que no se distribuya como un punto final de recolección de datos de Google. Eres periodista / activista / investigador / abogado / disidente cuyo modelo de amenazas a nivel de teléfono incluye "el operador a nivel de SO no puede ser un vector." Quieres usar Signal / SimpleX / Monerujo / Cake Wallet en móvil con un SO respetuoso con la privacidad debajo. Quieres Google Play en sandbox (usa las aplicaciones que necesitas, contiene su acceso). Estás ejecutando una configuración sin SIM / silent.link / GrapheneOS por razones de viaje u operativas. Quieres arranque verificado con atestación de hardware que puedas auditar realmente.

Advertencias. Solo Pixel — por diseño, pero una restricción real; no puedes instalar GrapheneOS en tu Samsung existente. Se requiere compra de nuevo hardware (~$400-1000 por un Pixel actual). Algunas aplicaciones se niegan a ejecutarse en Play en sandbox — las aplicaciones bancarias en particular a veces detectan "no es Android oficial" a través de SafetyNet / Play Integrity y se niegan a iniciarse. GrapheneOS publica una lista de compatibilidad de aplicaciones mantenida por la comunidad; compruébala antes de comprar si tu aplicación bancaria es crítica. Play Services en sandbox aún habla con Google — para las aplicaciones que lo necesitan; el sandboxing limita el acceso de Google a esas aplicaciones específicas, pero no hace que las aplicaciones en sí sean privadas. La configuración inicial es más compleja que Android oficial — pasarás ~30 min en la instalación + configuración inicial; no es nivel de usuario casual, aunque el instalador web lo ha hecho dramáticamente más accesible. Compensaciones de batería + ecosistema — las notificaciones push a través de Play en sandbox funcionan, pero algunas heurísticas de gestión de energía dependen de servicios de Google que no se están ejecutando; espera compensaciones menores de batería + integración con el ecosistema. Sin equivalente iOS — GrapheneOS solo existe para Pixel; si eres usuario de iOS, el equivalente más cercano es "modo de bloqueo + curación cuidadosa de aplicaciones" en iOS oficial, que es significativamente más débil. El calendario de actualizaciones depende de Google — GrapheneOS solo puede parchear lo que el firmware de Google Pixel admite; cuando Google finaliza el soporte de seguridad de Pixel para una generación de hardware, GrapheneOS lo sigue.