Descubre cómo la ciberseguridad en los teléfonos móviles afecta tanto a usuarios comunes como a líderes mundiales. Analizamos el nuevo móvil del presidente de España y alternativas de código abierto como GrapheneOS.
Los dispositivos móviles son la puerta a través de la cual adquirimos información, conocimiento, y tantos servicios digitales como podamos imaginarnos. Sin embargo, nuestra privacidad, nuestros datos, y nuestras elecciones del día a día también es compartida y usada por aquellas empresas tecnológicas que tienen el monopolio en esta materia.
Los datos son el nuevo petróleo, y nosotros participamos de forma pasiva en el crecimiento exponencial de los beneficios de aquellas empresas, a la vez que perdemos cada día parte de los derechos sobre nuestros datos y nuestra privacidad.
Ante las amenazas a las que estamos expuestos de forma continua, es importante tomar conciencia del significado real de la ciberseguridad y poner en práctica métodos efectivos de protección contra un posible espionaje a través de softwares y móviles seguros.
En abril de 2022, el Gobierno español denunció que varios dispositivos móviles habrían sido hackeados, incluidos los del Presidente, Pedro Sánchez y varios Ministros.
Detrás de este espionaje está el software Pegasus, una herramienta que, a priori, está concebida para perseguir el crimen y terrorismo. Sin embargo, y aunque la empresa tecnológica de origen israelí desarrolladora del programa, el Grupo NSO, lo niegue; Pegasus es una herramienta potente de espionaje y vigilancia masiva.
Tanto es así que no solo ha comprometido la seguridad de líderes del Gobierno y figuras políticas, sino de periodistas, abogados, activistas, y personas de la sociedad civil.
En este artículo analizaremos la seguridad móvil en el año 2024, haciendo especial hincapié en el nuevo móvil del Presidente de España, así como en las posibles alternativas seguras que existen en el mercado, como GrapheneOS.
Ciberseguridad móvil: ¿Por qué es importante?
El número de amenazas cibernéticas aumenta constantemente, y junto a ello, las cifras de ciberataques a teléfonos móviles. El hackeo a smartphones es una realidad tanto para particulares como para empresas, y el motivo radica en la cantidad de datos que depositamos en ellos y el valor que estos tienen.
Los ciberdelitos y amenazas más frecuentes nos suenan cada vez más familiares: phishing, spyware, malware, robo de credenciales, entre muchos otros.
La descarga masiva de aplicaciones supone, per se, un riesgo alto que permite que seamos víctimas de spyware. Este software se instala en nuestro dispositivo, sin que tengamos constancia de ello, y una vez dentro, recopila información para reenviarla a terceros. Los datos que están en la diana de esta práctica son contraseñas, números PIN, claves de acceso a plataformas bancarias, documento nacional de identidad (DNI), además del acceso a nuestros hábitos de navegación, a nuestros contactos, a correos electrónicos, etc.
Y no se queda allí el peligro. Cada mañana cuando abrimos nuestra bandeja de entrada, abrimos también la puerta a potenciales correos electrónicos que suplantan la identidad de empresas, organismos públicos, u otros entes que solicitan información o nos redirigen a una página web fraudulenta para que introduzcamos nosotros mismos los datos que nos piden. Esta técnica conocida como phishing, está tan perfeccionada, que en ocasiones es casi imposible detectar que se trata de un correo fraudulento.
Especial atención debemos prestar a las redes de WiFi públicas, pues no podemos saber quién las ha configurado, si está o no protegida con encriptación, o si alguien está monitoreando en tiempo real. Para muchos ciberdelincuentes es fácil configurar redes WiFi falsas, con nombres de red que parecen completamente legítimos, que constituyen una mera fachada para capturar los datos que pasan a través del sistema
¿Qué impacto financiero pueden tener estas prácticas?
El impacto que supone el acceso a nuestras cuentas bancarias personales o de empresa por personas desconocidas es fácilmente cuantificable. Sin embargo, el acceso a contraseñas de redes sociales, de aplicaciones, de buzones electrónicos, entre otros, puede tener consecuencias que se traducen en elevadas pérdidas económicas, personales y reputacionales.
Además de todo esto, estos ciberataques también afectan el rendimiento de la red, al ralentizar el sistema de los dispositivos móviles y afectar, de forma indirecta, a cualquier proceso empresarial, con el impacto financiero que ello supone.
El nuevo móvil del Presidente de España: seguridad y costes
España cuenta con tres organismos especializados en dar respuesta a posibles emergencias informáticas. El Instituto Nacional de Ciberseguridad cubre a empresas privadas y ciudadanos. El Mando Conjunto de Ciberdefensa, al ámbito militar. Y el Centro Criptológico Nacional (CCN), dependiente del CNI, cubre al sector público.
Este último, el CCN, ha cualificado recientemente y hasta enero de 2027, al móvil SecurePhone, de la compañía estadounidense Sotera Digital Security, con la acreditación de nivel más alto en seguridad en España.
Este nivel de seguridad se traduce en la posibilidad de bloquear espionajes como el del software Pegasus, de la compañía israelí NSO; que en el año 2022 provocó una crisis en el Gobierno de España, al haberse conocido que varios miembros del mismo habían sido víctimas de una serie de ciberataques a través del hackeo de sus dispositivos móviles.
El CNI así da un paso más para proteger las comunicaciones más sensibles de los altos mandos, y evitar futuras vulnerabilidades y ciberataques, con el coste económico que ello conlleva.
El móvil SecurePhone cuenta con un nivel de trazabilidad muy bajo, al no necesitar conectarse de forma continua a las antenas de telefonía. Funciona con el sistema operativo Integrity, distinto de Android o Apple, que “permite que se realicen comunicaciones de voz y texto seguras en cualquier lugar del mundo y utilizando cualquier red pública, brindando privacidad a sus usuarios», según el propio CNI.
Su fabricación no requirió tecnología previa de terceros, pues fue diseñado “desde cero”, de forma que garantiza una protección incomparable tanto a nivel de hardware como software, así como de aplicaciones de mensajería. Estamos ante un dispositivo extremadamente seguro frente a ciberataques sofisticados, como el del software espía Pegasus.
El gobierno asegura que el SecurePhone no tiene un precio desorbitado, sin embargo, definamos qué no es desorbitado ya que después de todo se está utilizando dinero público de todos los españoles.
Dado que el gasto del SecurePhone no se ha divulgado públicamente, hagamos una estimación basada en generaciones anteriores de teléfonos seguros:
- Blackphone 2: fue uno de los primeros teléfonos enfocados en la seguridad y tenía un precio inicial aproximado de 800 – 1.200 euros. Utilizaba una versión modificada de Android y servicios de cifrado, pero la seguridad estaba más orientada al nivel comercial que al nivel militar
- KATIM Phone: entre 1.500 y 2.000 euros. Este teléfono, desarrollado por la empresa DarkMatter, estaba enfocado en usuarios de alta seguridad, con medidas de seguridad a nivel físico, cifrado avanzado, y un sistema operativo seguro basado en Android.
- Sectéra Edge (General Dynamics): En torno a 3.000 – 4.000 euros. Este dispositivo fue utilizado por agencias de seguridad estadounidenses y ofrecía comunicaciones seguras a través de redes gubernamentales. Utilizaba cifrado y medidas de hardware resistentes, lo cual lo hace comparable al SecurePhone.
El SecurePhone se encuentra dentro de una categoría de dispositivos extremadamente segura y especializada, cuyo coste refleja tanto la tecnología avanzada como el soporte necesario para mantenerlo operativo y seguro. Comparado con dispositivos como el KATIM Phone o el Blackphone 2, el SecurePhone debe de ofrecer un nivel superior de protección, incluyendo hardware blindado, el sistema operativo Integrity 178B y un soporte continuo. Por lo que estimamos que el SecurePhone tiene un coste aproximado de entre 3000 a 5.000 euros.
Comparativa: móviles seguros y sistemas operativos de alta seguridad
La privacidad y la protección contra el espionaje son elementos esenciales para aquellos que buscan resguardar sus datos sensibles. Tras haber analizado previamente el SecurePhone y sus capacidades avanzadas, es momento de comparar su propuesta con otras alternativas de alta seguridad. En particular, destaca GrapheneOS, un sistema operativo de código abierto basado en Android, que aún no ha sido discutido en detalle, pero que ofrece un enfoque distinto: accesible y altamente reforzado, ideal para quienes desean una protección mejorada sin depender de infraestructura corporativa, gubernamental o desembolsar una gran cantidad de dinero.
Además de SecurePhone y GrapheneOS, dispositivos como el Librem 5 también ocupan un lugar importante en el ámbito de la seguridad móvil, aportando una protección robusta frente a ciberataques y espionaje. Estos dispositivos representan distintos niveles de seguridad y están orientados a necesidades específicas: desde entornos de defensa y gobierno hasta usuarios conscientes de la privacidad. A lo largo de este artículo, se analizará cómo SecurePhone y GrapheneOS se comparan en cuanto a protección, accesibilidad y enfoque técnico, ofreciendo una guía sobre cómo cada solución puede cubrir diferentes niveles de riesgo y tipos de amenazas.
GrapheneOS
Es un sistema operativo de código abierto (AOSP – Android Open Source Project), lo que significa que parte de la base de Android, pero sin las dependencias de Google que normalmente vienen integradas.
Características
- Reforzamiento del Kernel: el sistema operativo está diseñado con múltiples mejoras de seguridad al kernel de Android, lo cual previene una amplia variedad de vulnerabilidades. Utiliza mecanismos como la aleatorización del espacio de direcciones (ASLR) y un aislamiento fuerte de procesos para evitar que el malware afecte al sistema.
- Permisos reforzados y gestión de privacidad: los permisos de las aplicaciones son altamente configurables. Los usuarios pueden permitir o denegar permisos como la ubicación o el acceso a archivos para cada aplicación y revocarlos en cualquier momento. Incluye opciones avanzadas de privacidad como la posibilidad de ofrecer acceso limitado a ciertos recursos del dispositivo, como el sensor de ubicación, limitándolo solo para tareas específicas.
- Aplicaciones aisladas y sin dependencia de google: no incluye servicios de Google por defecto, lo cual es una ventaja para usuarios que buscan evitar el seguimiento. Los usuarios pueden optar por instalar ciertos servicios de Google, pero se ejecutan dentro de un entorno aislado para minimizar los riesgos.
Utiliza su propio conjunto de aplicaciones base con mejoras de privacidad y seguridad. Los usuarios tienen acceso a aplicaciones como Vanadium (un navegador seguro basado en Chromium). - Cifrado de datos: GrapheneOS utiliza cifrado completo del dispositivo. Cada vez que el teléfono se enciende, es necesario autenticar al usuario, lo cual evita que un tercero pueda acceder a los datos almacenados en caso de pérdida o robo del dispositivo
- Actualizaciones frecuentes: muy importante destacar que los desarrolladores de GrapheneOS proporcionan actualizaciones de seguridad frecuentes, lo cual es fundamental para la protección continua contra nuevas amenazas.
Dispositivos soportados por GrapheneOS
GrapheneOS actualmente tiene soporte limitado, ya que está diseñado para funcionar en dispositivos específicos que cumplen con ciertos requisitos de seguridad de hardware, como el arranque verificado y módulos de seguridad (como Titan M en los dispositivos Pixel). Estos son los dispositivos soportados:
Pixel 9 Pro Fold (comet) Pixel 8 (shiba)
Pixel 9 Pro XL (komodo) Pixel Fold (felix)
Pixel 9 Pro (caiman) Pixel Tablet (tangorpro)
Pixel 9 (tokay) Pixel 7a (lynx)
Pixel 8a (akita) Pixel 7 Pro (cheetah)
Pixel 8 Pro (husky) Pixel 7 (panther)
Pixel 8 (shiba) Pixel 6a (bluejay)
Pixel 6 Pro (raven) Pixel 6 (oriole)
Ventajas de GrapheneOS en comparación con SecurePhone
- Open Source vs Sistema Cerrado: GrapheneOS se basa en una filosofía de código abierto, lo cual permite que cualquier persona revise el código en busca de vulnerabilidades y contribuya a su mejora,. Por otro lado, SecurePhone utiliza un sistema operativo propietario, auditado únicamente de forma interna por quienes la empresa determine.
- Privacidad sin dependencia de Google: GrapheneOS no depende de servicios de Google, proporcionando una capa adicional de privacidad para los usuarios que buscan evitar la recopilación de datos masiva.
- Accesibilidad: a diferencia del SecurePhone, que está dirigido principalmente a un público gubernamental y corporativo, GrapheneOS está disponible para cualquier usuario que tenga un dispositivo Pixel compatible.
Securephone, ¿100% seguro?
Según la web oficial de Sotera SecurePhone, aseguran que éste es 100% seguro. ¿Es eso posible?
