De las pocas comunidades que se ofrecen como alternativa al Android de Google, hay dos que destacan por sus propias soluciones: Murena con su /e/ OS y tienda con smartphones que lo traen preinstalado y GrapheneOS, un sistema concebido para los propietarios de un Pixel preocupados por la privacidad. Ahora ambas están en disputa, y no podía ser por otra cosa que por la seguridad.
Los desarrolladores de GrapheneOS, conocidos por su enfoque intransigente en la seguridad, han lanzado una serie de acusaciones sobre las prácticas de Murena y la seguridad del nuevo Fairphone 6 (móvil que viene de fábrica con /e/ a elección del usuario). Esto ha forzado una respuesta detallada por parte de Murena y ha abierto un interesante debate sobre qué significa realmente ser un Android «privado y seguro» en 2025, y qué compromisos son aceptables en el camino.
Las acusaciones: parches de seguridad tardíos y hardware vulnerable
La principal acusación que encendió la polémica fue que /e/ OS es lento a la hora de implementar los parches de seguridad mensuales de Android, dejando a los usuarios expuestos a vulnerabilidades conocidas durante semanas. Pero remontémonos al comienzo. Esta historia partió con una publicación en la comunidad de la /e/ foundation: Murena comentaba que se toma en serio las actualizaciones de seguridad, con una mención a GrapheneOS por hacer «afirmaciones engañosas» un tiempo antes en sus foros.
Dado que /e/OS no es un sistema operativo móvil con seguridad reforzada, se basa en las prácticas estándar del sector. Por lo tanto, para una versión determinada del mes N, nuestro flujo de trabajo actual consiste en integrar los parches de seguridad de Android del mes N-1. Como resultado, en el peor de los casos, se tardará hasta 9 semanas en implementar las últimas actualizaciones de seguridad disponibles. En la mayoría de los casos, será mucho antes.
El equipo de Murena explicó que hacen una excepción para los exploits zero-day, intentando entregar estos parches críticos antes. E incluso publicó una tabla donde compara a los principales fabricantes Android y su política de actualizaciones. Sin embargo, GrapheneOS apuntó también al hardware: en específico al Fairphone 6, que según ellos carece de un elemento seguro, algo que haría trivial para un atacante romper el PIN o contraseña por fuerza bruta.
Otra de las críticas fue que /e/ OS supuestamente esconde el verdadero nivel del parche de seguridad, mostrando una fecha más reciente de la que realmente corresponde a las correcciones implementadas. Es por ello que desde Murena protegieron su sistema operativo con la publicación en su comunidad.
Murena se defiende y promete mejoras
En su publicación, Murena se defiende argumentando que su flujo de trabajo, aún pudiendo presentar cierto retraso, está en línea con las «prácticas estándar de la industria» de muchos grandes fabricantes, y que siempre priorizan los parches más críticos.
Lo más importante de su respuesta es que, a raíz de la polémica, Murena se ha comprometido públicamente a mejorar. Han anunciado que van a actualizar su infraestructura para reducir drásticamente este tiempo y poder lanzar los parches de seguridad «en los días siguientes a su publicación».
Por otro lado, niega de forma rotunda que se oculte el nivel del parche y minimiza el riesgo de fuerza bruta en el Fairphone, asegurando que el hardware de seguridad de Qualcomm (SPU o Secure Processing Unit) hace que romper un PIN de seis digitos pueda llevar años.
Sea como sea, este conflicto no es solo técnico, sino de filosofías: GrapheneOS representa el purismo absoluto, la máxima seguridad posible aunque eso suponga una experiencia más restrictiva. /e/ OS y Fairphone, por otro lado, representan más un enfoque pragmático: buscan ofrecer un producto ético y más privado que el de Google, pero que sea usable y accesible para un público más amplio.
El uso de microG (alternativa de la comunidad que suplanta servicios de Google en sistemas sin las ‘Google Apps’) es el ejemplo perfecto de este dilema. Murena lo incluye en /e/ OS para que apps populares que dependen de los servicios de Google puedan funcionar, haciendo la vida más fácil a sus usuarios. Un purista de la seguridad puede verlo como una concesión inaceptable, de hecho, la organización se defiende argumentando que incluso ofrecen alternativas libres como UnifiedPush (para recibir notificaciones push sincronizadas).
Imagen de portada | Ricardo Aguilar para Xataka y Pepu Ricca para Xataka Android
En Xataka Android | Dejar atrás el Android de Google es posible, pero AOSP también. Linux busca un hueco en los móviles
Tomado de https://www.xatakandroid.com/feed
Más historias
Cuál es mejor app para conducir en 2025: llevo más de una década usando Google Maps, Waze y Mapas de Apple y lo tengo claro
Cuál es mejor app para conducir en 2025: llevo más de una década usando Google Maps, Waze y Mapas de Apple y lo tengo claro
La primera jornada de La Liga me pilla de camping: veré el partido gratis en abierto en mi Android Auto