GrapheneOS, uno de los sistemas operativos móviles centrados en la privacidad más conocidos del mundo, ha anunciado que pondrá fin a sus operaciones en Francia después de que un reportaje francés lo vinculara con supuestos “móviles espía” usados para vigilar y borrar a distancia los teléfonos de determinados colectivos. El proyecto denuncia que se trata de afirmaciones falsas y de una campaña de miedo que confunde productos cerrados de empresas europeas con el sistema abierto que ellos desarrollan.
En una serie de mensajes públicos, el equipo de GrapheneOS acusa al artículo de dar voz a declaraciones “infundadas y demostrablemente falsas” sin ofrecer al proyecto la oportunidad de responder. La pieza, firmada por un periodista francés y citando a fuentes del Estado, mezclaba supuestas funciones de control remoto con el nombre y el código del sistema operativo, presentado como herramienta al servicio de la vigilancia.
Los desarrolladores rechazan frontalmente esa descripción. Según explican, GrapheneOS no incluye ninguna función de borrado remoto, ni de gestión centralizada de dispositivos, ni mecanismos de suscripción o licencias integrados en el propio sistema. Tampoco se distribuye a través de canales opacos: las únicas vías oficiales son la web de instalación y la página de descargas del proyecto, donde se ofrecen las imágenes verificadas del sistema.
Un sistema abierto confundido con productos cerrados
El núcleo del conflicto, sostienen, está en la confusión entre GrapheneOS —un proyecto sin ánimo de lucro y de código abierto— y otros productos comerciales de compañías europeas que han reutilizado partes de su código para desarrollar sistemas modificados y cerrados, con funcionalidades adicionales que nada tienen que ver con el proyecto original.
En el artículo se habría llegado a mencionar la existencia de una supuesta aplicación “tipo Snapchat” capaz de borrar el contenido del teléfono de manera encubierta. “No existe nada así en GrapheneOS”, insisten los responsables del sistema, que recuerdan que cualquiera puede auditar públicamente el código fuente para comprobarlo.
Los desarrolladores ponen el foco en un aspecto clave del software libre: el hecho de que un producto use fragmentos de código procedentes de un proyecto abierto no significa que sean responsables de lo que esa empresa haga después. Del mismo modo que Android aprovecha el trabajo de Linux o LLVM sin que sus autores respondan por todas las decisiones de Google, un fork de GrapheneOS solo contiene una pequeña parte de su código y se convierte en un proyecto distinto.
Qué es realmente GrapheneOS
GrapheneOS es una bifurcación de Android diseñada para reforzar la seguridad y la privacidad. Se basa en el Android Open Source Project (AOSP) y añade múltiples capas de endurecimiento del sistema: mejoras en la memoria, mitigaciones frente a exploits, controles más estrictos de permisos y una mayor protección frente a ataques dirigidos.
El proyecto no vende móviles ni ofrece servicios en la nube con datos sensibles. Su actividad principal es el desarrollo del sistema operativo y la publicación de imágenes verificadas para determinados modelos de Google Pixel. Cualquier empresa puede comprar esos dispositivos, instalar GrapheneOS y revenderlos como parte de su catálogo, algo que ya hacen varios proveedores europeos especializados en seguridad y privacidad. Según el propio proyecto, no existe relación comercial ni financiación directa con ellos, más allá del uso legítimo del sistema.
Ruptura con Francia y salida de OVH
Tras la publicación del reportaje, GrapheneOS afirma que ejercerá su derecho de réplica en Francia, donde la legislación reconoce esa posibilidad. Sin embargo, el proyecto considera que el clima regulatorio y político del país se ha vuelto hostil para las iniciativas centradas en la privacidad y el cifrado, hasta el punto de anunciar que dejará de operar allí.
En la práctica, esto significa que el pequeño número de servicios alojados en infraestructura francesa se trasladará a otros países. El proyecto ya contaba con la mayoría de sus servidores fuera de Francia, pero ahora acelerará el proceso:
- Su web principal y el servidor de debate se mudarán de la infraestructura del proveedor francés OVH a otros centros de datos.
- Los foros, la instancia de Matrix, Mastodon y otros servicios que estaban alojados en un centro de datos de OVH en Beauharnois (Canadá) se moverán a máquinas locales o en housing en Toronto y a otros proveedores europeos, como Netcup, con sede en Alemania.
- Los espejos de actualización y el DNS autoritativo ya estaban distribuidos fuera de OVH y seguirán funcionando con firmas criptográficas y protección contra downgrade para garantizar la integridad de las actualizaciones.
El equipo subraya que no guardan información sensible de usuarios finales en sus servidores: ni copias de seguridad de móviles ni historiales de uso. Su infraestructura se centra en distribución de software y en comunidades de soporte.
“Francia ya no es segura para los proyectos de privacidad”
Más allá del caso concreto del reportaje, GrapheneOS enmarca su decisión en un contexto europeo más amplio. En sus mensajes, el proyecto sostiene que algunos Estados miembros están impulsando iniciativas como el llamado “Chat Control”, que pretende obligar a escanear comunicaciones privadas en busca de material ilegal, algo que organizaciones de derechos digitales consideran una amenaza al cifrado de extremo a extremo.
A partir de ahora, el equipo aplica una regla sencilla: evitar operar en países que apoyen ese tipo de medidas. En el caso de Francia, aseguran que no solo terminarán sus operaciones técnicas, sino que sus responsables evitarán viajar al país —incluidas conferencias tecnológicas— y procurarán que ninguna de las personas que trabajan en el proyecto lo haga desde territorio francés. “Creemos sinceramente que ya no podemos operar con seguridad en Francia como proyecto de código abierto centrado en la privacidad”, resumen.
Un choque entre modelos de seguridad
Paradójicamente, GrapheneOS recuerda que tanto Android como iOS tratan de proteger a los usuarios frente a los mismos vectores de ataque que ellos combaten, y que muchas de sus protecciones refuerzan la seguridad incluso de quienes no son usuarios del sistema. El proyecto ha hecho públicas vulnerabilidades y técnicas de explotación que, una vez corregidas, limitan también la capacidad de los Estados para espiar determinados dispositivos.
En una publicación fijada en sus redes, los desarrolladores muestran un ejemplo de cómo sus mejoras han dificultado el uso de ciertos exploits contra móviles Android, algo que, según insinúan, no es del agrado de algunos servicios estatales. Desde su punto de vista, parte del malestar institucional procede precisamente de que el endurecimiento del sistema hace más difícil el trabajo de quienes quieren explotar esas brechas, no de quienes desean protegerse de ellas.
Un aviso para el ecosistema europeo de código abierto
El choque entre GrapheneOS y las autoridades francesas puede tener efectos que van más allá de un único proyecto. Para muchos observadores, el caso ilustra los riesgos de que gobiernos y medios generalistas traten las tecnologías de privacidad como sospechosas por defecto, especialmente cuando se combina la presión política contra el cifrado con una comprensión limitada de cómo funciona el software libre.
Si proyectos independientes perciben que operar dentro de determinados países de la UE implica un riesgo jurídico o reputacional constante, la reacción más probable será la que anuncia GrapheneOS: mover servidores, desarrolladores y conferencias a jurisdicciones percibidas como más seguras. Un escenario que chocaría frontalmente con los discursos europeos sobre soberanía digital y autonomía tecnológica.
Por ahora, el sistema operativo seguirá desarrollándose con normalidad, pero desde fuera de Francia. El debate que deja abierto es más amplio: hasta qué punto Europa está dispuesta a proteger —o a poner bajo sospecha— a quienes diseñan herramientas pensadas precisamente para reforzar la seguridad de los ciudadanos frente a abusos y espionaje.
Preguntas frecuentes
¿Qué es GrapheneOS y en qué dispositivos se puede usar?
GrapheneOS es un sistema operativo móvil de código abierto basado en el Android Open Source Project, centrado en reforzar la seguridad y la privacidad. Actualmente se distribuye de forma oficial para modelos recientes de Google Pixel, que los usuarios pueden flashear por su cuenta siguiendo la guía de instalación del proyecto.
¿Incluye GrapheneOS funciones de borrado remoto o control a distancia del teléfono?
No. El proyecto afirma que el sistema no incorpora ninguna función de gestión remota integrada, ni herramientas para borrar el contenido del dispositivo sin intervención del usuario. Cualquier solución comercial que ofrezca esas capacidades y utilice partes de su código es un producto distinto y no una versión oficial de GrapheneOS.
¿Por qué el proyecto considera que Francia no es segura para los desarrolladores de privacidad?
Según los responsables de GrapheneOS, en Francia se ha creado un clima hostil hacia las herramientas de cifrado y los proyectos de privacidad, ejemplificado tanto por el reportaje que los vincula con “móviles espía” como por el apoyo político a iniciativas de escaneo masivo de comunicaciones. Temen que este contexto pueda derivar en riesgos legales o de presión institucional para los desarrolladores.
¿Qué implica que otras empresas reutilicen código de GrapheneOS en sus productos?
Como en cualquier proyecto de software libre, terceros pueden reutilizar partes del código de GrapheneOS para crear sus propios sistemas. Eso no convierte esos productos en “GrapheneOS”, ni implica que el proyecto original avale sus prácticas comerciales o técnicas. Los desarrolladores recuerdan que su responsabilidad se limita al código que publican y a las imágenes oficiales del sistema que distribuyen desde su web.
