Tabla de Contenidos

Introducción

Me gusta tener conversaciones privadas con mis familiares y amigos. Hoy en día eso significa que soy un frikie.

En este manual explico los pasos para poder disfrutar de lo que hoy es un lujo, el derecho a la intimidad.

Supongo que ya sabrás que nuestros teléfonos, nos espían cada vez más de forma indiscriminada. Los algoritmos de cruzado de datos son cada vez más complejos y potentes.

Android envía datos a Google cada 4.5 minutos de media, incluso cuando no estas usando el dispositivo. Apple es parecido.

Sin embargo, la posibilidad de tener una alternativa segura y privada también está ahí.

Para poder disfrutar de la privacidad móvil vamos a dividirlo en cuatro frentes.

  1. Dispositivo móvil
  2. Sistema operativo del móvil
  3. Operador de telefónia
  4. Aplicaciones móviles

Cada uno de estos frentes te protege de cosas diferentes y entidades diferentes. Según el nivel de protección que estes buscando y de quién te estás protegiendo, te puede interesar más aplicarte sólo algunos de ellos.

También es importante entender que en seguridad no se tiene en términos absolutos, como “seguro” o “no seguro”. Sólo “más seguro” y “menos seguro”. Pero si te aplicas todos los frentes estarás a un nivel de seguridad y privacidad realmente muy muy elevado.

1. Dispositivo móvil

Todos los dispositivos móviles tienen un código IMEI que lo identifica de manera única. Podrías pensarlo como una especie de número de serie que lo identifica del resto. Este código IMEI no sólo lo usa el fabricante del dispositivo sino que también ve el operador móvil, el sistema operativo del móvil y en algunos casos hasta las aplicaciones. Sólo con encederlo y conectarlo a una red móvil, el operador ya sabe que ese IMEI se ha conectado en un lugar en concreto. Por lo que si pretendes tener algo de privacidad es importante que no haya nada que te relacione a tí con ese código.

Si por ejemplo compramos un teléfono en la web de un fabricante, ellos ya sabrán que teléfono nos han enviado (que IMEI) y nuestros datos personales, por lo que la relación ya existe.

Necesitas comprar un teléfono preferiblemente en efectivo en una tienda física que no registre ningún dato tuyo al realizar la compra. Otra opción es adquirir un dispositivo de segunda mano, aunque esto conlleva otros riesgos ya que no sabes el historial que tiene ese terminal.

2. Sistema operativo del móvil

Si usas Android de Google o iOS no puedes pretender tener ningún tipo de privacidad. Ambos sistemas está registrando y reportando prácticamente todo lo que haces.

Hay dos alternativas libres actualmente en el mercado:

  • Dispositivos Linux
  • Dispositivos Android-sinGoogle

2.1 Dispositivos Linux

Importantes, tenemos sólo dos. Librem-5 y Pinephone.

Linux en el móvil, en todas sus variantes, ya que hay varias distribuciones Linux posibles que se pueden instalar, está todavía en una fase temprana de desarrollo. Las aplicaciones que funcionan en estos dispositivos no deja de crecer pero todavía está lejos de lo que está acostumbrado cualquier usuario de Android o iOS.

Hay formas (Anbox o WayDroid) de instalar aplicaciones Android en un dispositivo Linux pero en algunos casos con funcionanlidad limitada y en otros cosas ni siquiera funcionan.

Para los usuarios más avanzados y si las aplicaciones que consigas hacer funcionar son suficientes para tí, quizás sea la mejor opción. Para el resto de usuarios (la mayoría) les recomendaría ir a Android-sinGoogle. Es posible que esto cambie en el futuro.

2.2 Dispositivos Android-sinGoogle

El sistema operativo Android que nos venden contienen software privativo y de código cerrado. Google lanzó el sistema operativo Android en 2008 como código abierto. Sin embargo, a medida que Google se fué haciendo con casi todo el mercado mundial, gradualmente fue añadiendo cada vez más código privativo y mayores restricciones a los fabricantes. Esta trampa, algunos lo consideran una traición por parte de Google a usuarios y fabricantes.

Actualmente los dispositivos Android que se venden no se pueden considerar libres (con sólo una excepción explicada más adelante). Los verdaderos dueños de los dispositivos no son las personas que los compran sino Google. Google (y no el usuario) es el único con acceso completo a tu dispositivo. Sólo Google puede instalarte o desintalarte cualquier aplicación o actualización sin tu consentimiento vía remota. El usuario no puede por ejemplo desinstalar ciertas aplicaciones o desactivar todas las funcionalidades de rastreo y control que tienen sobre nosotros.

Debido a ello empezaron a salir sistemas operativos Android-sinGoogle. Básicamente cogen sólo la parte de Android libre de código abierto (donde se ve claramente lo que hace y no hace el teĺéfono) y lo adaptan a un dispositivo.

Algunos de estos son Lineage OS, /e/ OS, Calyx OS y Graphene OS

Comparativas entre todas estas da para otros artículos, pero de forma resumida recomendaría elegir uno u otro en base a lo siguiente:

  • Graphene OS. Sin duda, el más seguro y estricto. Sin embargo, es compatible con muy pocos dispositivos (lista aquí). Además el número de aplicaciones que son compatibles, puede verse reducida.
  • Calyx OS. Es mi recomendación general. En la práctica, tan seguro como Graphene OS, pero con mayor compatibilidad de aplicaciones. Igual que Graphene OS, sólo es compatible con un número muy limitado de dispositivos (lista aquí).
  • LineageOS y todas sus variantes (/e/ OS es una de ellas), tiene un compatibilidad con un número mucho más alto de dispositivos.

Si vas comprarte un dispositivo nuevo, recomendaría comprar uno compatible con CalyxOS o Graphene OS. Si estas buscando un sistema operativo seguro para tu dispositivo actual (y no es compatible con CalyxOS o Graphene OS) entonces recomendaría ir a LineageOS y en su falta a /e/ OS.

Todos ellos ofrecen una privacidad infinitamente más elevada que un Android de Google.

El 2 de Septiembre de 2021, Nitrokey anunció el Nitrophone y lo anuncian como “El Android más seguro del planeta”. Nitrophone es un Pixel4a con GrapheneOS. Es una buena opción para aquellos usuarios que no quieren estar reinstalando sistemas operativos en el teléfono y prefieren que ya venga liberado de fábrica. También aceptan pagos con Bitcoin.

Como dato curioso puedes solicitar a Nitrokey que físicamente te quite todos los micrófonos del dispositivo. Esto te obligaría a tener que usar cascos externos para las comunicaciones por voz. Edward Snowden utiliza este método como medida de seguridad.

2.2.1 MicroG

Si vas a utilizar un dispositivo Android sin Google deberías conocer el proyecto MicroG.

Siguiendo la filosofía de cada OS, Graphene OS no permite el uso del MicroG. CalyxOS te permite activarlo opcionalmente. LineageOS y /e/OS lo tienen y utilizan por defecto.

Es preferible evitar usar MicroG por los riesgos que conlleva, por eso GrapheneOS no lo permite y CalyxOS no lo instala por defecto. Sin embargo, algunas aplicaciones pueden no funcionar sin MicroG por lo que puede resultarte útil tenerlo, si te son imprescindibles.

3. Operador de telefonía

Los operadores de telefonía saben en todo momento donde estás tú y todos los demás. Por lo que saben todos tus movimientos, a quien ves, con quien viajas, etc. Con quien comparten esta información y de que forma, pocos lo saben exactamente, pero puedes asumir que cómo mínimo es accesible a las autoridades de tu país en tiempo real.

En España, igual que en algunos otros países ya no está permitido tener una línea móvil anómina, ya que incluso para tener una tarjeta prepago, desde el 2007, es obligatorio registrarlo a una persona física o jurídica.

Sin embargo, vuelve a ser posible tener un móvil funcional realmente anónimo, utilizando una eSIM y números extranjeros de países que no tienen este requisito legal.

Una eSIM es como una tarjeta SIM digital. Es decir, en vez de tener un chip físico que metemos al móvil, tenemos un código de texto que introducimos en el móvil y nos da exactamente el mismo servicio. Es la evolución de la SIM de toda la vida.

Para poder usar una eSIM, nuestro dispositivo tiene que soportarlo. Aquí hay una lista de todos los dispositivos compatibles actualmente.

En silent link, podemos comprar una eSIM online de forma completamente anónima. Por un lado, no registran ningún dato personal tuyo (ni tu nombre), no saben donde vives (porque al ser digital no te envían nada a tu domicilio), ni siquiera saben tu email, ya que el código eSIM se muestra en pantalla al realizar el pago. Además el pago se realiza con criptomonedas, por lo que no hay ningún registro del pago. Es decir, si haces esto, tendrás cobertura móvil sin que tu proveedor (silent link), ni tu operador local (Vodafone, Movistar, etc), ni las autoridades de tu país sepan quien está detrás de esa línea. Es una línea realmente anónima.

Ofrecen dos modalidades, con o sin número de teléfono. Sin número de teléfono, significa que tienes sólo datos. Es decir, tendrás todos lo que estás acostumbrado a tener en el móvil menos SMS y llamadas clásicas de voz. Teniendo en cuenta que ni los SMS ni las llamadas tradicionales son seguras, si puedes prescindir de ellos pues mejor. Por supuesto, siempre podrás realizar llamadas de voz y video por aplicaciones seguras como Signal.

En cuanto a la compra con criptomoneda, cuidado. Por defecto aceptan bitcoin, sin embargo bitcoin, al contrario de lo que muchos creen, salvo en contadas excepciones sofisticadas, no es un medio de pago anónimo ni mucho menos. Para realizarlo de forma anónima, se puede realizar el pago con Monero, que es una criptomoneda mucho más segura y completamente anónima.

Consideración a tener en cuenta. Que tu línea no está asociada ni a tí ni a nadie es una paso de gigante en cuanto a privacidad, pero eso no significo que el dispositivo dejen de rastrearlo. Todavia sabrán donde está la línea en todo momento, donde vas, con quien vas, acceso a llamadas etc. Lo que no sabrán, al menos que se lo digas por otra vía es quien está detrás de esa línea. Por ejemplo, si pasas muchas horas en tu hogar es fácil asumir que el titular vive o trabaja ahí.

4. Aplicaciones móviles

Sirve de poco hacer todo lo anterior si luego instalamos una aplicación que nos identifique y nos espíe.

Cualquier aplicación que no sea de código abierto, no hay forma de saber lo que verdaderamente hace, por lo que es potencialmente peligrosa y debe evitarse.

Que la aplicación sea de código abierto es necesario pero no suficiente. También hay que tener en cuenta de donde la descargas. Se han visto casos donde Google Play (Play Store) ha cogido el código de una aplicación de código abierto, le ha añadido código malicioso propio y la distribuye como si fuera la aplicación original. El usuario es incapaz de notar la diferencia, ya que aplicación funciona igual de bien, pero ya con un código malicioso funcionando.

Para conseguir tus aplicaciones tienes dos opciones interesantes, compatibles entre sí para conseguir tus aplicaciones:

4.1 F-Droid

F-Droid es un catálogo instalable de aplicaciones de software libre. El catálogo es muy amplio y aquí tienes la ventaja de saber lo que estás instalando. Según tu nivel de riesgo podrás decidir instalar unos aplicaciones u otras, ya que F-Droid te da una serie de avisos según el tipo de aplicación que sea.

4.2 Aurora

Aurora es una buena solución para los usuarios que quieran el mayor nivel de protección posible pero no pueden prescindir de alguna aplicaciones no libres que sólo están disponibles en Google Play (Play Store). Los usuarios más estrictos con la seguridad no deberían usuarlo.

El concepto de Aurora, es que tiene un banco de cuentas de Google y las utilizan para descargar las aplicaciones de Google Play (Play Store) y luego entregartelas a tú dispositivo. Al utilizar Aurora como proxy, Google no sabe que tú te has bajado esa aplicación y lo que es más importante, lo puedes hacer sin tener Google Play (Play Store) instalado en tu dispositivo. Sólo ten en cuenta que estás teniendo fe ciega en la aplicación que te estás descargando.

Puedes descargar Aurora en F-droid.

Notas finales

No contamines tu dispositivo. Tu operador de telefonía sabe cada vez que enciendes tu teléfono tu SIM (o eSIM) y tu IMEI. Es decir que telefono se ha encendido en que dispositivo. Si metes una SIM en tu teléfono que te identifica como persona y mañana lo sustituyes por una eSIM anónima, perderás el anonimato.

Una vez que tengas un dispositivo anónimo, no lo relaciones con nada que no lo sea porque dejará de serlo.