Categorías
Privacidad & seguridad

DeGoogled Android

Desmitificando los teléfonos móviles desgoogleados

Sí, lo sabemos: Google hace vigilancia masiva.

Sí, lo sabemos: Sensorvault de Google es el verdadero Big Daddy.

Sí, lo sabemos: Se trata de una cuestión que afecta a nuestros derechos de protección de datos.

Sí, lo sabemos: Google rastrea todos los movimientos de nuestros clientes, a través de nuestros teléfonos Android y servicios asociados.

Sí, lo sabemos: Google comparte los datos de localización con las fuerzas del orden basándose en un Geofence.

Y por último, sí, lo sabemos: todos queréis deshaceros de las aplicaciones de Google de vuestro smartphone Android, por diversas razones que preferimos no mencionar. Sin duda, todas estas razones son suficientes para encontrar la manera de eliminar a Google.

Pero… ¿Realmente puedes deshacerte de Google en tu smartphone Android? ¿Y eso sirve realmente para la protección y la seguridad de los datos? No lo creemos.

¿Qué es un teléfono desgoogleado?

Un teléfono desgoogleado es un smartphone, un teléfono móvil que presumiblemente ejecuta Android y al que se le han quitado todos los componentes propios de Google.

El sistema operativo Android consta de dos partes principales:

-La parte de código abierto llamada AOSP (Android Open Source Project) que es, bueno, «código abierto». Cualquiera puede descargarlo y utilizarlo como desee.

-El segundo componente o parte es la parte propiedad de Google, que incluye Google Play Store, Google Play Services, Google Carrier Services, y toneladas de componentes que hacen que un «teléfono Android propiedad de Google» funcione como a todos nos gusta y amamos y odiamos: como los teléfonos Pixel propiedad de Google, Samsung, LG, HTC, y muchos otros. Google licencia esta parte de Android a todas estas empresas.

En primer lugar, hay algunas desventajas de desgooglear tu smartphone. Los efectos secundarios van desde todas las comodidades que normalmente tienes en tu teléfono hasta una sensación de privacidad completamente falsa que se deriva de un teléfono desgoogleado.

Hay muchas cosas que dejan de funcionar después de desgooglear tu smartphone. Para recibir notificaciones, tienes que descargar y configurar un servicio, ya que las notificaciones provienen de Google (por lo que Google puede leer cualquier contenido de las notificaciones, lo cual es espeluznante). Para ver las notificaciones hay que entrar en la aplicación, lo que hace que las notificaciones sean bastante inútiles. Sólo obtienes una funcionalidad básica, lo que no significa necesariamente privacidad. Estos componentes de Google proporcionan al usuario una experiencia muy específica que ahora echará de menos.

Muchas aplicaciones dependen de los servicios de Google, por lo que muchas de ellas simplemente se bloquean o funcionan muy lentamente.

Un teléfono de-Googled necesita un reinicio de vez en cuando porque se vuelve insoportablemente lento con aplicaciones como Telegram.

A pesar de todos estos esfuerzos, como el propio teléfono es de código cerrado, nunca se puede asegurar que desactive completamente la telemetría (por ejemplo, Samsung y Huawei), incluso podría haber un chip especial en el interior para esta tarea.

La mejor opción sería no utilizar el teléfono en absoluto, que es el enfoque que algunas personas querrían adoptar, pero su estilo de vida actual, por desgracia, no se lo permite.

¿Cómo puedes desgooglear tu smartphone Android?

Muy sencillo, en 2 pasos:

  1. Primero tienes que desbloquear el bootloader. Esto lleva algo de tiempo y puede dañar su dispositivo. Si decides hacerlo, lee las instrucciones varias veces para asegurarte de que tienes una buena idea de lo que vas a hacer antes de empezar. Lo último que quieres es que tu teléfono o tableta tenga un peso de papel de gran tamaño.
  2. Necesitas flashear una nueva ROM, como LineageOS. Eso es casi todo lo que necesitas. Pero…

Las ROMs gratuitas de Android de Google sólo se publican como «nightlies» para la mayoría de los dispositivos como versiones (más o menos) inestables. Un Nightly es cuando un ordenador compila el trabajo del día en una versión y lo distribuye a los dispositivos. No es necesario que actualices a todas las Nightly, y no es realmente recomendable a menos que solucione un problema de grabación con tu dispositivo actual. Por ejemplo, una cámara rota o un GPS que se está arreglando. Tenga en cuenta que esta experiencia varía de un dispositivo a otro.

También es una extraña sensación de libertad. Llámalo placebo o lo que quieras, pero esa sensación de libertad está ahí de alguna forma una vez que todo está en marcha.

¿Debería probarlo?

Esta es una pregunta curiosa porque no sabemos tu tolerancia a la hora de piratear sistemas o lo mucho que te enfadas cuando algo no funciona. Sin embargo, si tienes ganas de usar Android sin los servicios de Google, hazlo. Aprende a desbloquear el bootloader de tu dispositivo, hazle root si lo deseas e instala fDroid desde el apk.

La diversión ha comenzado

Si nos remontamos en el tiempo, todos sabéis que el sistema operativo Android fue desarrollado por Google para ser utilizado principalmente en dispositivos con pantalla táctil, teléfonos móviles y tabletas. El código fuente de Android se publica en un formato de código abierto para promover los estándares abiertos para los dispositivos móviles. Sin embargo, a pesar de ser publicado como «abierto» (AOSP), Android sigue estando empaquetado con software propietario cuando se vende en los teléfonos. Así que lo que está tratando de hacer es eliminar Google de …. Google. ¿Te parece que eso tiene sentido?

La parte de la AOSP no se puede eliminar.

Las aplicaciones básicas de comunicación, como el teléfono, los mensajes, los contactos, etc., forman parte de AOSP, y todas… ¡Google!

La mayoría de las ROMs personalizadas vienen preinstaladas con aplicaciones básicas de comunicación como teléfono, mensajería y contactos, que siguen siendo componentes de Google. Así que sigues utilizando las aplicaciones desarrolladas por Google para comunicarte de forma «privada». Recuerde la última vez que estaba hablando de un determinado tema por teléfono y minutos después Google mostró un banner publicitario con exactamente el mismo tema del que estaba hablando por teléfono. ¿Sorprendido? No deberías: Google husmea en tus conversaciones telefónicas y luego te envía anuncios basados en las palabras clave seleccionadas. Sí, en tu teléfono inteligente «des-Googleado».

En muchas ROMs, estas aplicaciones forman parte del Proyecto de Código Abierto de Android (AOSP) y fueron desarrolladas por Google. Así que, técnicamente, sigues utilizando un producto de Google. Como resultado, tu teléfono desgoogleado no está tan desgoogleado como crees.

Seamos sinceros: con o sin código abierto, ¿cuántos de ustedes tienen la capacidad de buscar vulnerabilidades en las apk? ¿Cuántos de ustedes son pentesters? Y sí, hay exploits remotos disponibles para todas estas aplicaciones de código abierto.

En todos los smartphones Android, el teléfono, los mensajes y los contactos están contenidos como archivos APK. Cada aplicación instalada es vulnerable a varios exploits remotos utilizados tanto por hackers experimentados como (de forma abusiva o no) por las fuerzas del orden. Uno de los métodos se llama inyección remota de código. Un claro ejemplo:

Inyección remota de código

¿Qué obtienes de un teléfono desgoogleado?

Bastante sencillo: se consigue privacidad. Bueno, más o menos.

Pero no el tipo de privacidad que se espera. Y no es 100% de privacidad en absoluto.

Y lo que es más importante, no obtienes ninguna seguridad adicional. Y esa debería ser su principal preocupación. Porque privacidad no es igual a seguridad.

¿Cuánta privacidad obtienes de un teléfono sin Google?

Cuando empiezas a instalar aplicaciones, se acaba la privacidad de un teléfono desgoogleado. Por lo tanto:

Si consigues un teléfono desgoogleado y cargas allí aplicaciones estándar como Waze, Yelp, Uber, volverás a ser rastreado por Google.

¿Qué pasa con las aplicaciones de código abierto descargadas de otros lugares que no sean Google Play? Casi todas las aplicaciones tienen al menos algunos rastreadores. No sólo los rastreadores de Google, sino los que envían al menos algunos datos analíticos al desarrollador. Y sí, son datos que no quieres compartir con nadie.

Exodus te permite comprobar todos los rastreadores de aplicaciones de Google Play en línea. Lo hemos hecho por ti, para algunas aplicaciones notoriamente seguras utilizadas día tras día por usuarios obsesionados con la seguridad resulta que casi todas las aplicaciones tienen al menos un rastreador:

Rastreador de aplicaciones

Muchos usuarios de teléfonos desgoogleados creen que sólo porque el teléfono no tiene identidad, la privacidad de su teléfono está garantizada. Un teléfono desgoogleado está configurado para tener una ID de Google falsa para que el teléfono nunca tenga que ser identificado, incluso cuando las aplicaciones y la información se envían a los servidores Firebase de Google, no tienen su identidad real. Pues bien, este planteamiento es completamente erróneo, ya que falta una cosa: como todos sabéis, todos los teléfonos móviles tienen al menos otro identificador único además del de Google: el IMEI. Y sí, el teléfono sigue conectado a Google, incluso con una identificación falsa. Google puede obtener una huella digital del dispositivo y sabremos qué aplicaciones están cargadas desde Google Play. Google no conocerá tus aplicaciones f-Droid.

¿Cuánta seguridad te ofrece un teléfono degoogleado?

Seguridad cero. Nada.

Porque privacidad no es igual a seguridad. Un teléfono desgoogleado es igual que cualquier teléfono de Google en términos de seguridad. Tu teléfono desgoogleado tiene las mismas vulnerabilidades en cuanto a exploits remotos, virus, spyware, etc. que cualquier otro teléfono Android. La eliminación de Google no añade una capa adicional de seguridad.

Sin embargo, no es Google la principal preocupación en lo que respecta a la seguridad de los teléfonos, sino el software espía del gobierno que no se preocupa por los teléfonos desgoogleados: estos teléfonos pueden ser rastreados como cualquier otro teléfono móvil, sin distinción. Y sí, un teléfono desgoogleado puede ser vigilado, intervenido y abusado como cualquier otro teléfono móvil.

Cero seguridad significa:

  • Todo teléfono móvil desgoogleado es 100% vulnerable a los programas de espionaje del gobierno que revelan no sólo la geolocalización del teléfono, sino también todos los datos personales y la interceptación de llamadas y SMS.
  • Cualquier teléfono móvil desgoogleado puede ser rastreado en cualquier momento a través de SS7, tanto por hackers como por agentes estatales
  • Cualquier teléfono móvil desgoogleado puede ser localizado por un interceptor GSM con función de rastreo
  • El operador de la red puede localizar en cualquier momento cualquier teléfono móvil desgoogleado. Los datos de geolocalización se comparten con las autoridades policiales.
  • Cualquier teléfono móvil desgoogleado puede ser intervenido en cualquier momento por diversos medios.

EL GRAN ERROR

Los teléfonos inteligentes desgoogleados siguen siendo vulnerables a la geocerca

¿Qué es una orden de registro de geofence?

Una orden de búsqueda de geocerca (también conocida como orden de geocerca) es una orden emitida por un tribunal que permite a las fuerzas del orden buscar en una base de datos todos los dispositivos móviles activos dentro de una zona de geocerca especificada. Los tribunales han concedido órdenes de registro de geofence a las fuerzas de seguridad para obtener información de bases de datos como Sensorvault de Google, que recoge los datos históricos de geolocalización de los usuarios a través de registros GPS.

Una orden de búsqueda por geovalla no funciona para datos de geolocalización futuros, ni tampoco para datos de geolocalización en tiempo real.

Poco antes de las 17 horas del 20 de mayo de 2019, un hombre armado entró en un banco de Midlothian (Virginia), obligó a un empleado a abrir una cámara acorazada y huyó con 195.000 dólares. Las imágenes de seguridad mostraban al hombre acercando un teléfono móvil a su oreja justo antes del atraco, un detalle que llevó a la policía a probar una técnica de vigilancia cada vez más popular entre las fuerzas del orden estadounidenses.

Cuando las autoridades aún no habían identificado al sospechoso varias semanas después del atraco, un agente obtuvo una orden de búsqueda de los datos de localización de Google de todos los teléfonos móviles que habían estado cerca del banco Call Federal Credit Union durante el atraco. A partir de una lista de 19 cuentas, los investigadores pudieron reducir su búsqueda a un hombre de 24 años de Richmond llamado Okello Chatrie, al que finalmente detuvieron por robo a mano armada.

La demanda de datos de Google, conocida como orden de geofence, es una forma de que las fuerzas de seguridad utilicen la recopilación de la compañía de cantidades masivas de información sobre sus clientes. Las órdenes judiciales permiten a la policía rastrear a casi cualquier persona que utilice un dispositivo Android o una aplicación de la empresa -como Google Maps o Gmail- hasta una ubicación específica durante un periodo de tiempo. A medida que la policía utiliza más este tipo de órdenes, el método está suscitando la preocupación de los defensores de la privacidad, que afirman que el gobierno está recopilando información de las personas en violación de la Cuarta Enmienda, que protege contra los registros irrazonables.

Basándose en historias reales como la anterior, los usuarios de Android piensan que eliminar los componentes de Google de sus teléfonos Android hará que esos teléfonos sean «invisibles» para Google. Y, por tanto, invisible para las fuerzas del orden. Una conclusión muy equivocada. He aquí la razón:

Las órdenes de geocerca no suelen emitirse para los datos de localización de Google (únicamente) por una sencilla razón: no todo el mundo utiliza un teléfono Android. Si este es el caso, un ladrón que utilice un teléfono tonto o un iPhone escapará fácilmente, lo que no es el caso.

La policía utiliza lo que «cell dump» se llama. Un «cell dump» es el intercambio de información de identificación por parte de un operador de torres de telefonía móvil que puede utilizarse para identificar dónde se encontraba una persona concreta en un momento determinado. Cuando los usuarios de teléfonos móviles se desplazan, sus dispositivos se conectan a las torres de telefonía móvil cercanas para mantener una señal fuerte incluso cuando el teléfono no está en uso. De este modo, las fuerzas del orden tienen acceso a la geolocalización de todos los teléfonos móviles, no sólo a la de los teléfonos Android.

Y sí, los teléfonos inteligentes Android desengranados son vulnerables a las técnicas de volcado de celulares, al igual que cualquier otro teléfono. No hay ninguna diferencia ni privacidad real, por no hablar de la seguridad.

Los teléfonos inteligentes desgoogleados demostraron tener debilidades en los procedimientos de geolocalización:

  • son susceptibles de procedimientos de «volcado de células»
  • Son vulnerables a la transmisión de datos de localización GSM por parte del operador de la red a las autoridades policiales locales
  • Son vulnerables a los dispositivos de escucha GSM que tienen funciones de seguimiento de la ubicación
  • Son vulnerables a las técnicas de seguimiento de la ubicación del SS7 utilizadas tanto por los hackers como por los agentes estatales
  • Son vulnerables a los pings de seguimiento de la ubicación enviados a través de la red móvil local por diversos actores, desde piratas informáticos experimentados hasta organismos policiales

ENTONCES: ¿DÓNDE ESTÁ EXACTAMENTE LA PRIVACIDAD DE LA QUE HABLAS CUANDO USAS UN TELÉFONO DESGOOGLEADO?

Las órdenes de geocerca suelen utilizarse dentro de Estados Unidos porque Google es una empresa estadounidense que tiene que responder en muy poco tiempo a todas las órdenes de las autoridades de ese país, por no mencionar su participación directa en varios proyectos de la NSA. La situación es muy diferente cuando se trata de organismos policiales extranjeros, a los que Google podría negarse (y suele hacerlo) cuando se les pide que revelen la geolocalización de una persona situada fuera de las fronteras de Estados Unidos, simplemente porque los organismos policiales extranjeros no tienen autoridad sobre Google en esta materia.

Por esta razón, los organismos policiales, militares y de seguridad nacional extranjeros utilizan un método diferente para obtener la geolocalización de determinados teléfonos móviles: Se ponen en contacto directamente con las compañías de telefonía móvil, que deben cumplir las órdenes judiciales y los mandatos locales para obtener los datos de geolocalización de un teléfono móvil concreto en un periodo de tiempo determinado. Algunos organismos policiales también pueden ponerse en contacto directamente con un «Cell Dump» llevar a cabo.

¿Por qué tener un teléfono degoogleado?

A la gente le gusta la idea de no estar constantemente vigilada y controlada por Google. Así que algunos piensan que su libertad y privacidad están siendo violadas por Google. No vamos a debatir si eso es cierto o no. El hecho es que si renuncias a las comodidades de Google, estás libre de Google, pero tienes que aguantar muchas molestias…. y al final, dependes de alguien, de un tercero para que te proporcione tus aplicaciones. ¿Quién es ese tercero?

Sin pretender ser pro-Google, Google es una empresa estadounidense muy conocida y respetable (¡creemos!). Las alternativas: bueno, confiar en Apple… lo mismo… tal vez incluso peor. O puede confiar en el firmware y los circuitos del fabricante para el hardware real.

En esta era digital, no hay escapatoria. Las empresas de Internet, la compañía de telefonía móvil, las empresas de servicios públicos, los bancos, la agencia tributaria, el gobierno, las cámaras de tu calle, tu propio coche…. todos te siguen, te registran, saben dónde estás, cuánto gastas, dónde, cuándo, con quién….

Así que hay que ser prudente con la información que se comparte, cuándo, cómo, con quién…:Google se convierte en el menor de los problemas.

Geofence garantiza restricciones

En este punto no vamos a hablar de las limitaciones legales que tienen las órdenes de geocerca, sino de las limitaciones técnicas.

Por lo tanto, una orden de geocerca basada SOLO en los teléfonos habilitados por Google tiene varias limitaciones serias:

  • sólo puede emitirse para datos de localización del pasado. no funciona para datos de localización futuros.
  • no tienen una opción en tiempo real
  • casi sólo está disponible para los organismos policiales de EE.UU.
  • No se pueden revelar datos de geolocalización de teléfonos que no sean de Google, como iPhones, Dumb Phones, teléfonos Linux, etc.
  • No se pueden revelar los datos de geolocalización de los teléfonos que no tienen una conexión de datos utilizada para compartir los datos de localización con Google
  • recibe datos de geolocalización de sólo un 45-55% de todos los teléfonos móviles que han pasado por la zona en un periodo determinado. Otros teléfonos no tienen Google o utilizan otros sistemas operativos o plataformas.

No tenemos ni idea de por qué las autoridades estadounidenses sólo piden a Google que entregue los datos de geolocalización, dado que la cuota de mercado de Apple en Estados Unidos es del 52% (2021). Si se añaden los teléfonos inteligentes que no son de Google y los teléfonos tontos, el porcentaje de teléfonos de Google sujetos a órdenes de geocerca es bastante pequeño.

LO IMPORTANTE QUE ES CONOCER LA DIFERENCIA

«Privacidad» no es lo mismo que «Seguridad»

Existe cierta confusión entre la privacidad y la seguridad de la información. Que la información sea privada no significa necesariamente que sea segura.

En un mundo en el que los consumidores son conscientes de que la información personal se recopila para obtener beneficios económicos, pero la seguridad de esa información es casi una ocurrencia tardía, una violación de datos puede arruinar la reputación de una empresa y sus informes financieros.

Los informes semanales sobre violaciones de datos han hecho que la protección de datos y la ciberseguridad estén en boca de todos, pero la gente no se da cuenta de que hay una diferencia entre ambos conceptos.

La comunicación siempre ha sido la parte más significativa y la invención del ser humano. Con el avance de la tecnología y la ciencia, la interacción entre las personas es fácil. Podemos conectar con personas que se encuentran a miles de kilómetros de distancia con un solo toque a través de llamadas telefónicas, correos electrónicos y mensajes. La privacidad en la comunicación se ha convertido en un tema de masas desde que la gente se enteró de la vigilancia masiva por parte del gobierno y la retención de datos por parte de gigantes como Google. Dado que algunas personas no aprecian los valores de la privacidad porque no tienen «nada que ocultar», sólo queda una gran preocupación en la comunicación: la seguridad.

¿Qué pasa con los XCell Stealth Phones? Inmune a los procedimientos de geolocalización

Inmune a los procedimientos de geolocalización Con la excepción de XStealth Lite y XStealth, todos los XCell Stealth Phones son teléfonos móviles sin Google (feature phones), por lo que no hay problemas con el seguimiento de la ubicación de Google.

XStealth Lite y XStealth en consecuencia tienen verdaderas capacidades de suplantación de ubicación GSM, junto con alertas de seguimiento de la ubicación que te mantienen seguro.

A petición de los usuarios, XStealth Lite y XStealth pueden suministrarse como teléfonos Android sin Google, lo que sólo se recomienda a los compradores estadounidenses por las razones expuestas anteriormente. Sin embargo, la eliminación de los componentes de Google reduce la estabilidad del sistema y no hace que el teléfono sea inmune a otros tipos de seguimiento de la ubicación descritos anteriormente.