Si deseas maximizar tu privacidad y seguridad digital, debes usar tu teléfono. Esta afirmación puede sonar controvertida, pero, lamentablemente, sigue siendo válida actualmente. Durante años, los modelos de seguridad de los teléfonos modernos han permitido una mayor protección de tus datos sensibles en comparación con las opciones de escritorio disponibles en la actualidad.

El mito sobre la falta de seguridad en los teléfonos ha sido tan común que solía ignorar por completo las configuraciones seguras de los teléfonos, ya que consideraba inaceptable la mera posesión de un teléfono. Aunque los teléfonos tienen sus propios problemas, algunos de los cuales son éticamente cuestionables, cualquier problema que puedas señalar en un teléfono moderno es varias veces peor en su equivalente de escritorio. A continuación, abordaremos algunos de estos mitos.

Es posible que hayas escuchado muchas veces que estos dispositivos móviles fueron diseñados para rastrear todos nuestros movimientos y actividades, pero esto es incorrecto. De hecho, sucede lo contrario. Si crees esta noción, es posible que no sepas que, desde Android 10, las aplicaciones no tienen acceso al identificador de hardware de tu teléfono. Puedes revocar el acceso a la ubicación en segundo plano o incluso el acceso en primer plano. Si has notado que estas solicitudes de permiso de aplicaciones son comunes en los teléfonos, prácticamente no existen en las computadoras de escritorio. En la configuración de privacidad de tu teléfono, encontrarás muchas opciones para fortalecer tu seguridad y limitar el acceso de las aplicaciones a tus datos.

Es curioso y triste al mismo tiempo que muchas personas sugieran Linux como una alternativa de privacidad a los teléfonos cuando no existen configuraciones de privacidad tan extensas en la mayoría de las distribuciones de Linux. Incluso Windows ha implementado más opciones de permisos y ese sistema es un centro de recopilación de datos.

Tanto Android como iOS fueron diseñados con un modelo de amenazas completo en mente. Por ejemplo, el modelo de amenazas de Android asume que tu dispositivo podría ser robado o que la policía querría desbloquearlo sin tu consentimiento. Para mitigar esta amenaza, Android desarrolló una implementación segura de almacén de claves que genera y almacena tus claves de cifrado en un hardware resistente a manipulaciones. Esta implementación de clave vinculada al hardware se diseñó de manera que sea imposible extraer tus claves criptográficas sin tu código de bloqueo de pantalla. Ni siquiera una explotación completa del kernel o una compromiso del sistema pueden acceder a tus claves secretas. Todos los teléfonos modernos están cifrados por defecto. La mayoría de las computadoras de escritorio ni siquiera lo ofrecen como opción y aquellas que lo hacen no tienen mitigaciones o protección limitada contra ataques de fuerza bruta o de inicio en frío.

La seguridad de los dispositivos móviles

Los sistemas operativos móviles modernos implementan mecanismos de defensa en profundidad que eliminan la capacidad del software malicioso de acceder a tus datos sensibles. Gran parte de esto se logra mediante la mitigación de exploits, la reducción de la superficie de ataque y el aislamiento. El aislamiento y la contención son donde se ven las diferencias entre los modelos de seguridad de escritorio y móvil de manera más clara para el usuario final.

Por ejemplo, cuando instalo una aplicación gestora de contraseñas en mi teléfono, puedo suponer con toda razón que ninguna otra aplicación podrá acceder a estos datos o registrar las pulsaciones de teclado durante las solicitudes de contraseña. Esto se logra mediante el aislamiento de aplicaciones, que limita estrictamente cómo las aplicaciones pueden comunicarse y compartir datos entre sí y con el sistema. Si mi gestor de contraseñas no permite un mecanismo IPC específico, ninguna otra aplicación puede acceder a él. El modelo de permisos estrictos garantiza este consentimiento.

Si utilizo el mismo gestor de contraseñas en mi máquina de escritorio, la única defensa que tengo es el cifrado de la base de datos de contraseñas. Es fácil que las aplicaciones maliciosas en mi máquina de escritorio roben mi base de datos de contraseñas y realicen ataques de fuerza bruta local. No existe un modelo de permisos que restrinja el acceso de otras aplicaciones a la base de datos de mi gestor de contraseñas.

Privacidad y seguridad móvil

La privacidad a menudo se equilibra entre el anonimato y la seguridad, y a veces se deben hacer concesiones. Por ejemplo, la forma más segura de instalar aplicaciones es a través de un repositorio oficial de aplicaciones. Esto se debe a varias razones, principalmente porque el proceso de firmado de aplicaciones garantiza que la aplicación proviene del desarrollador y no de una parte no confiable. Varios procesos de verificación de envío son un proceso de selección que elimina la presencia de imitaciones maliciosas. El problema es que la única forma en que Google y Apple te permiten usar sus tiendas de aplicaciones es después de registrarte con un número de teléfono real. En el mejor de los casos, esto será pseudónimo, ya que es difícil obtener una tarjeta SIM anónima, y los números de teléfono siempre estarán vinculados a una ubicación aproximada. Esto permite que las appstores recopilen datos sobre el uso de aplicaciones o, al menos, tu lista de aplicaciones, lo que se puede usar para identificarte.

Por otro lado, en Linux, también puedes instalar aplicaciones desde un repositorio, pero no es necesario crear una cuenta. Esto es beneficioso porque el único identificador que queda prácticamente es tu dirección IP, que puede ser ofuscada con una VPN o Tor. Pero ahí es donde terminan las ventajas, ya que las tiendas de aplicaciones de Linux no tienen manifestos de permisos y todas las aplicaciones de Linux que instalas obtienen acceso inmediato a todos los datos del usuario basado en la cuenta en la que iniciaste sesión. Mientras que no puedes esperar ser anónimo en una tienda de aplicaciones móviles estándar, al menos estás razonablemente seguro y privado. En un repositorio de escritorio, podrías mantener el anonimato hasta cierto punto, pero todo lo demás está sujeto a una gran cantidad de confianza en cada aplicación que instalas.

Cómo usar Android

Muchos entusiastas en la comunidad de la privacidad no hacen una distinción entre servicios y plataformas. Android significa cosas completamente diferentes para muchas personas. Pero en realidad, Android es solo un sistema operativo móvil gratuito y de código abierto. No tiene aplicaciones ni servicios de Google, ni paquetes preinstalados ni software innecesario. Es un sistema operativo muy limpio y fácil de usar que está disponible de forma gratuita para todos. Es importante hacer esta distinción porque es posible usar un dispositivo Android sin aplicaciones y servicios invasivos para la privacidad. El modelo de Android permite esto.

Android es privado y seguro por defecto. Es lo mejor si puedes usarlo sin servicios invasivos para la privacidad, como la Tienda Play de Google. Esto se logra de manera óptima con GrapheneOS. Pero incluso si no puedes usar tu teléfono sin ellos, no todo está perdido. Debes revisar la configuración de privacidad de cada uno de estos servicios y deshabilitar todas las ubicaciones que no te sientas cómodo compartiendo. Lo interesante es que incluso Android estándar te permite crear múltiples perfiles de usuario. Puedes utilizar estos perfiles para segmentar tus identidades en línea y tener perfiles separados para el trabajo, la vida personal y la banca en línea, por ejemplo. Gran parte de tu privacidad depende de cómo uses las herramientas a tu disposición.

Otro mito común y extremadamente dañino, pero muy popular, es que los iPhones son inherentemente más privados y seguros que cualquier teléfono Android. Pero nuevamente, esto no es cierto. No hay nada que los iPhones hagan fundamentalmente diferente a los teléfonos Android cuando se trata de proteger tus datos privados en tu teléfono, especialmente protegerlos de la recopilación de datos por terceros. La idea de que “lo que sucede en tu iPhone se queda en tu iPhone” es una campaña tremendamente engañosa. Android protege tus datos tan bien como iOS, y en algunos casos, los teléfonos Android superan a los iPhones en cuanto a seguridad de hardware.

Si estás comprando un teléfono por motivos de privacidad, los teléfonos Pixel de Google o los iPhones de última generación serán tu mejor opción. Los teléfonos Pixel te permitirán ir mucho más lejos que los iPhones si decides instalar GrapheneOS en ellos. De esta manera, tu teléfono estará significativamente protegido incluso contra vulnerabilidades desconocidas y exploits de día cero, y se anonimizará por completo. Pero aparte de eso, el mito de que iOS es infinitamente más seguro o privado que Android simplemente denota una falta grave de comprensión de los modelos de seguridad de estos sistemas.

Sistemas operativos móviles

Los sistemas operativos móviles están mejorando constantemente su seguridad con cada nueva versión. Su objetivo final es hacer que sea imposible explotar vulnerabilidades individuales y aumentar la cantidad de vulnerabilidades necesarias para eludir el modelo de seguridad. En gran medida, ya han alcanzado este objetivo. Por lo general, se requiere una cadena de exploits para hackear un dispositivo móvil, ya sea con acceso físico o ejecución de código remoto. Los precios del mercado de exploits de día cero ilustran claramente cuánto están por delante los teléfonos en comparación con las computadoras de escritorio. Actualmente, los exploits de Android son los más caros, seguidos de los de iOS, y ambos cuestan millones de dólares. Compara esto con los exploits de escritorio y verás de inmediato la diferencia. Es como el día y la noche.

La privacidad no debería sacrificarse en beneficio de la seguridad. Los teléfonos no serán completamente privados de fábrica. Todavía hay margen para fortalecer la seguridad, pero las características base de la seguridad móvil están años, si no décadas, por delante de los sistemas operativos de escritorio. Es más fácil aprovechar la seguridad móvil cuando comprendes dónde debes tomar medidas para proteger tu privacidad en lugar de confiar ciegamente en sistemas de escritorio mucho menos seguros que ofrecen defensas sustanciales.

Texto traducido del vídeo “Why phones are more secure than desktops” (https://www.youtube.com/watch?v=Wd4Pa03LvLk) hecho por el usuario de Youtube «The hated one»