Artículo

Las 7 amenazas reales que GrapheneOS bloquea (y las que no)

2 de julio de 2026

Un teléfono seguro no se elige por miedo, se elige por cálculo: qué amenazas te afectan de verdad, cuáles mitiga tu dispositivo y cuáles no. A eso se le llama modelo de amenaza, y es el punto de partida de cualquier decisión seria de seguridad.

En SekTel vendemos Pixel con GrapheneOS configurados a mano, así que nos interesa ser muy precisos con esto: aquí tienes las siete amenazas reales más relevantes, con casos documentados, lo que GrapheneOS resuelve y —igual de importante— lo que no. Léelas pensando en tu situación concreta: para un periodista con fuentes que proteger y para un empresario que viaja con información sensible, la lista pesa distinto.

1. Extracción forense: el teléfono confiscado

Qué es. Herramientas como las de Cellebrite se conectan a un móvil confiscado y vuelcan su contenido: mensajes, fotos, ubicaciones, incluso datos borrados. Las usan cuerpos policiales de medio mundo, España incluida, y no solo en causas graves. Lo contamos en detalle en nuestro artículo sobre Cellebrite en España.

Qué hace GrapheneOS. Cuánto se extrae depende sobre todo del estado del teléfono: bloqueado y recién reiniciado, la clave de cifrado no está en memoria y el contenido es un bloque cifrado. GrapheneOS se reinicia solo tras un rato de inactividad, devolviendo el teléfono a ese estado seguro; con la pantalla bloqueada el puerto USB solo da corriente, no datos; y la clave de cifrado vive anclada a un chip de seguridad del Pixel, así que no se puede extraer copiando la memoria ni forzar probando millones de PIN a toda velocidad.

Qué no resuelve. Si te quitan el teléfono encendido, desbloqueado y en la mano, hay poco que hacer: el sistema está abierto. Y lo que vive fuera del teléfono (copias en la nube, servidores de terceros) no depende de tu sistema operativo.

2. IMSI catchers: la antena falsa

Qué es. Un IMSI catcher es un dispositivo que se hace pasar por una antena de telefonía para que los móviles cercanos se conecten a él: identifica quién está en una zona y, en redes antiguas, puede llegar a interceptar comunicaciones. Su uso por parte de fuerzas de seguridad de varios países está documentado desde hace años; aquí explicamos cómo funcionan.

Qué hace GrapheneOS. Muchos de los ataques más agresivos dependen de degradar tu conexión a 2G, una red antigua con cifrado débil o nulo. GrapheneOS permite desactivar 2G por completo, algo que la mayoría de móviles de fábrica no ofrece o esconde. Además, su control por app de red y sensores limita lo que una app maliciosa podría aportar a un ataque combinado.

Qué no resuelve. Tu operadora sabe siempre dónde está tu SIM: es física de antenas, no software. Un IMSI catcher pasivo moderno puede seguir registrando tu presencia en una zona. Contra el rastreo por red celular, la única defensa completa es el modo avión o dejar el teléfono en casa.

3. Spyware mercenario y ataques zero-click

Qué es. Empresas como NSO Group venden a gobiernos spyware capaz de infectar un móvil sin que hagas nada: ni abrir un enlace ni contestar. En España, el caso más conocido es CatalanGate: en 2022 Citizen Lab documentó a decenas de personas del ámbito político y civil catalán atacadas con Pegasus, y el propio Gobierno confirmó que los teléfonos del presidente Pedro Sánchez y de la ministra de Defensa habían sido infectados. Le dedicamos un artículo completo a Pegasus y el spyware zero-click.

Qué hace GrapheneOS. Cuatro cosas que suman: memoria endurecida (la mayoría de estos exploits explotan errores de memoria; en Pixel modernos, con apoyo del propio procesador), menos superficie de ataque (componentes y servicios que en un Android normal están expuestos aquí no existen o están bloqueados), parches más rápidos y el reinicio automático, que expulsa a los implantes que no consiguen persistencia (la mayoría de los modernos, precisamente para no dejar rastro).

Qué no resuelve. Un atacante con presupuesto estatal y fallos desconocidos puede seguir teniendo opciones. GrapheneOS reduce y encarece el ataque; no lo elimina. Quien te prometa inmunidad contra Pegasus te está vendiendo humo.

4. Exfiltración de datos: tus apps y Google

Qué es. La amenaza más universal y la menos dramática: un Android de fábrica envía datos a Google de forma continua (identificadores, telemetría, actividad), y muchas apps recogen contactos, ubicación y hábitos de uso para monetizarlos. Investigaciones académicas han medido ese tráfico de fondo: existe aunque no toques el teléfono.

Qué hace GrapheneOS. Sale sin servicios de Google: no hay cuenta obligatoria, ni telemetría de Google, ni identificador publicitario. Si necesitas esos servicios para una app concreta, se instalan en una caja aislada sin privilegios, como una app más. Además, cada app puede quedarse sin acceso a red, sin sensores, o ver solo las fotos y contactos que tú elijas en lugar de todo el carrete y toda la agenda.

Qué no resuelve. Lo que entregas voluntariamente. Si instalas una app de mensajería y le das tu agenda, tu agenda se sube a sus servidores en cualquier sistema operativo. GrapheneOS te da el control; usarlo bien es cosa tuya.

5. Acceso físico y coacción: robo, registro, “desbloquéalo”

Qué es. Distinto de la extracción forense de laboratorio: aquí hablamos del momento. Te roban el móvil, te lo miran en un control, alguien te observa teclear el PIN, o directamente te exigen desbloquearlo.

Qué hace GrapheneOS. El teclado de PIN aleatorio evita que memoricen tu patrón de dedos mirándote. El PIN de coacción es un segundo PIN que, si te obligan a “colaborar”, borra el dispositivo de forma irreversible en lugar de abrirlo. La huella puede exigir PIN adicional o desactivarse al vuelo, y el arranque verificado detecta si alguien manipuló el sistema mientras el teléfono estuvo fuera de tu vista.

Qué no resuelve. El escenario en que te ven usar el teléfono desbloqueado y te lo arrebatan así: contra eso, el hábito de bloquear en cuanto sueltas el dedo vale más que cualquier ajuste. Tampoco resuelve el dilema legal o personal de una orden de desbloqueo: eso se decide fuera del teléfono. La tecnología te da opciones; la decisión sigue siendo humana.

6. Phishing y malware común

Qué es. El grueso del cibercrimen real: SMS de “su paquete no se ha podido entregar”, webs bancarias falsas, apps troyanizadas. España lo vivió a gran escala con FluBot, el troyano bancario que se propagó por SMS masivos hasta que Europol coordinó su desmantelamiento en 2022.

Qué hace GrapheneOS. Su navegador endurecido (Vanadium) y las protecciones de memoria frenan la parte técnica: exploits que en un Android sin parchear entrarían solos. El aislamiento reforzado entre apps limita el daño si algo malicioso llega a instalarse, y la ausencia de servicios privilegiados de Google reduce lo que un troyano puede escalar.

Qué no resuelve. El phishing puro no explota el sistema: te explota a ti. Si escribes tu contraseña del banco en una web falsa, ningún sistema operativo puede impedirlo. Aquí la defensa es criterio, no software: desconfiar de las urgencias, escribir las direcciones importantes a mano y no instalar nada que llegue por un enlace.

7. Rastreo publicitario y fingerprinting

Qué es. La vigilancia comercial: identificadores publicitarios, SDKs de terceros dentro de apps corrientes y data brokers que compran y revenden historiales de ubicación. Se ha documentado repetidamente cómo datos de ubicación “anónimos” recogidos por apps normales acaban en manos de intermediarios y son fáciles de reidentificar.

Qué hace GrapheneOS. Sin servicios de Google no hay identificador publicitario que te siga entre apps. El permiso de red por app corta la vía de salida de muchos SDKs de rastreo, y los perfiles de usuario permiten compartimentar: la identidad de una app no contamina a las demás.

Qué no resuelve. El rastreo dentro de las cuentas en las que inicias sesión: si entras en una red social, esa red social sabe que eres tú, con cualquier teléfono. Y el fingerprinting de navegador es una carrera continua que ningún dispositivo gana del todo.

Lo que ningún teléfono arregla

Habrás visto el patrón: en las siete amenazas, la parte que GrapheneOS no cubre casi siempre es humana. Reutilizar contraseñas, mezclar tu identidad real con la que quieres proteger, contar de más, confiar en la app equivocada. A eso se le llama OPSEC, y es la mitad del trabajo que ningún fabricante puede hacer por ti.

Es exactamente el hueco que cubre el curso OPSEC de SekTel, incluido con cada teléfono: hábitos concretos para que el dispositivo y la persona jueguen en el mismo equipo. Si después de repasar estas siete amenazas ves que alguna te toca de cerca, puedes configurar tu teléfono en sektel.com/configurar: llega preparado a mano, con estas protecciones activadas y explicadas, listo para usar desde el primer día.

Compartir: TG X @

¿Listo para proteger tu privacidad?

Un Google Pixel con GrapheneOS configurado a mano por expertos.

Configurar mi teléfono →