Ir al contenido
fabmo.eu

Android: cuando la seguridad caduca por diseño

·5 mins
Opinión Android Seguridad Fragmentación Obsolescencia Actualizaciones Google Custom ROM LineageOS
Jordi Fàbregas
Autor
Jordi Fàbregas
Administrador de Sistemas y Redes. Entusiasta del software libre.
Tabla de contenido

Android: cuando la seguridad caduca por diseño
#

Introducción:
#

En este artículo hablaremos de la política de actualizaciones de Android, de la obsolescencia por diseño y los graves problemas de seguridad que conlleva.

Hablemos del elefante en la habitación:
#

Fragmentación:
#

A diferencia de un ordenador con arquitectura x86, que ofrece una capa (BIOS o UEFI) que permite arrancar y gestionar cualquier sistema operativo, en Android (y especialmente en los procesadores ARM), cada fabricante suele personalizar el arranque y el firmware, lo que impide instalar nuevas versiones del sistema operativo de forma universal.

Además, casi cada fabricante añade su propia capa de personalización (MIUI, One UI, Xperia UI…), y es el propio fabricante quien controla cuándo y cómo lanza las actualizaciones en sus dispositivos.

Obsolecencia programada:
#

La mayoría de fabricantes deciden interrumpir el soporte de seguridad después de dos o tres años, incluso si el hardware sigue siendo perfectamente funcional. ¿Por qué? Porque quieren que compres un dispositivo nuevo. Mantener modelos antiguos no genera ingresos, y prefieren vender terminales nuevos.

Al limitar la vida útil a solo 2 o 3 años, también se penaliza el mercado de segunda mano, ya que muchos dispositivos quedan obsoletos o con muy poco tiempo de soporte restante.

El público en general, no és consciente de los peligros que supone no tener los dispositivos actualizados a la última versión, però además me parece una irresponsabilidad por parte de Google y los fabricantes anteponer políticas que afectan a la seguridad integral de los usuarios y los sistemas a favor de el consumismo salvaje.

Aquí podemos ver por ejemplo la cantidad de errores críticos de RCE (Remote Code Execution) parcheados según el boletín de seguridad de Marzo de 2025. Por lo que cualquier fabricante que no haya actualizado sus dispositivos en los últimos cuatro meses está exponiendo a sus usuarios.

Falta de regulación:
#

La única forma real de garantizar un soporte extendido para estos dispositivos es crear un marco legal fuerte, que obligue a los fabricantes a aumentar el tiempo de soporte y asumir consecuencias legales por dejar dispositivos sin parches de seguridad.

Existen propuestas legislativas en marcha, especialmente desde la Comisión Europea, que buscan obligar a los fabricantes a ofrecer al menos 5 años de actualizaciones de seguridad y garantizar la disponibilidad de repuestos. Aunque aún no son de cumplimiento obligatorio, se espera que entren en vigor en los próximos años.

Consecuencias:
#

Millones de dispositivos quedan sin parches importantes de seguridad. Es entonces cuando empiezan los problemas, sobre todo cuando se acumulan vulnerabilidades en componentes críticos del sistema operativo, como WebView, el kernel, SELinux o la gestión de permisos.

Esto expone al usuario a amenazas reales. Por ejemplo, si un atacante explota una brecha no parcheada de WebView (el motor de renderizado de páginas usado por muchas apps), basta con hacer clic en un enlace malicioso para que el dispositivo acabe exportando cookies, sesiones o credenciales a un servidor externo.

Además, esta fragmentación y abandono complica seriamente el trabajo de los desarrolladores, que deben lidiar con una enorme variabilidad de versiones de Android, capas de personalización y hardware.

La visión de Google:
#

Bien, desde Google han hecho algunos pasos insignificantes, orientados a reducir la fragmentación, sobretodo de cara a contentar algunos entes reguladores, esperando así que no se apliquen leyes específicas.

Un ejemplo de ello són los teléfonos Pixel (anteriormente Nexus), en los que és el mismo Google quien gestiona las actualziaciones, por la contra són dispositivos extremadamente caros, no orientados al público general, sinó a desarrolladores y usuarios de alto perfil adquisitivo.

En 2014 se lanzó el proyecto Android One, que ofrecía dispositivos de marcas comerciales (Xiaomi, Samsung, ). Estos dispositivos cadecían de la capa de personalización de la marca, ofreciendo Android puro y las actualizaciones eran gestionadas directamente por Google. Aunque Google no ha anunciado oficialmente el cese del proyecto Android One, los últimos dispositivos lanzados con esta política fué en 2022.

Luego se intentaron algunos proyectos como Treble o Mainline que buscavan separar componentes entre el sistema operativo, controladores y aplicaciones del sistema, permitiendo actualizar algunas aplicaciones de sistema directamente desde la Play Store y facilitando la actualización a fabricantes separando distintos componentes en módulos de software distintos.

Ninguna de estos proyectos ha logrado que las actualizaciones de seguridad se distribuyan de manera masiva a los dispositivos de los usuarios finales.

La solución definitiva no vendrá de los fabricantes ni de Google, sino de una presión coordinada entre usuarios conscientes, desarrolladores activos y marcos legales que pongan la seguridad por delante del modelo de consumo.

¿Y que hacer?
#

¿Que hacer como usuario?
#

Como usuarios podemos presionar a las empresas

Al comprar un teléfono informarnos previamente de las políticas de actualización de los distintos fabricantes y dispositivos.

En usuarios avanzados, valorar la compatibilidad con custom ROM.

Las custom ROM:
#

Una custom ROM (o ROM personalizada) es una versión alternativa de Android, desarrollada por comunidades, que reemplaza el software del fabricante.

Al instalar una ROM seria podremos acceder a versiones más recientes del sistema operativo, eliminaremos gran cantidad de bloatware y publicidad (algunos fabricantes, como Xiaomi, la incluyen en sus dispositivos más económicos). Algunas ROMs también ofrecen mejoras de privacidad, entre otras ventajas.

Desgraciadamente, no están disponibles para todos los móviles, y no es recomendable instalar cualquier sistema operativo descargado de un foro aleatorio. Es que incluso he visto a gente instalar sistemas operativos personalizados descargados de Telegram… 🤦🏻

Además, no es una opción recomendable para todo el mundo. Requieren conocimientos técnicos para desbloquear el bootloader, instalar el Recovery y la ROM, y restaurar el sistema cuando algo falla. La compatibilidad está bastante limitada a pocos dispositivos y fabricantes, y cada modelo suele tener procedimientos de instalación distintos. Además, pueden aparecer fallos en funciones como la cámara, el lector de huellas o los pagos por NFC, debido a la falta de drivers o módulos propietarios.

Francamente, solo hay una ROM de código abierto con una gran comunidad y buena compatibilidad: LineageOS. Luego hay algunas menciones destacables como GrapheneOS, /e/OS y alguna más, pero o bien solo están disponibles para teléfonos marca Pixel, o bien están basadas mayormente en LineageOS. Así que mi recomendación, si os interesa este tema, es que miréis la compatibilidad con LineageOS y ya, si acaso, con suerte podáis probar otra variante de fiar.
Eso… o compraros un Pixel.