Una de las conversaciones del fin de semana ha estado protagonizada por desarrolladores de peso, como los de GrapheneOS. Las nuevas medidas de seguridad de Google relacionadas con el acceso a webs están empezando a implementarse en 2026 y, como resultado, tanto custom ROMs como sistemas operativos sin presencia de Google lo tienen crudo.
Google Cloud Fraud. Si a alguien le parecen bien los captchas de semáforos como medida de seguridad, te diría que no es de fiar. Google también tuvo claro que no siempre eran lo ideal, así que desarrolló una solución alternativa, la evolución de reCAPTCHA. Cuando el sistema detecta tráfico sospechoso no utiliza el sistema de captchas, pide al usuario que escanee un código QR con su smartphone.
Según Google, es la mejor forma de luchar contra bots y agentes no deseados, protegiendo ante ataques y posibles fraudes. Pero todo tiene una cara B.
El problema. El problema es que, para que esta medida de seguridad funcione en Android, es obligatorio que el dispositivo cuente con Google Play Services instalado en una versión reciente. Uno de los puntos clave de las custom ROM como GrapheneOS es, precisamente, que son sistemas basados en Android Open Source, pero sin servicios de Google.
Google Play Services es la capa de software propietaria de Google que corre en los Android certificados y que proporciona, entre otras cosas, las APIs que verifican que un dispositivo está aprobado por Google. Sin ellos, no es posible satisfacer las peticiones de Play Integrity API, la encargada de aprobar los accesos a web.
El caso GrapheneOS. GrapheneOS es una de las ROMs más seguras del mundo, una que se ha ganado su reputación gracias a capas adicionales construidas sobre AOSP y, sobre todo, por no disponer de servicios de Google ni necesitarlos para su funcionamiento.
El equipo de GrapheneOS argumenta que esto no tiene nada que ver con la seguridad. Aseguran que Play Integrity API rechaza GrapheneOS y demás sistemas a pesar de que es técnicamente más seguro que la mayoría de dispositivos que sí pasan la verificación. Google's Play Integrity API permite dispositivos sin parches de seguridad desde hace años pero actualizados a Play Services, pero bloquea el uso de GrapheneOS a pesar de que es mucho más seguro a nivel técnico.
La entrada de Mega. Tras la queja no solo de Graphene, sino de Cyber Digest, Mega ha entrado a criticar la medida. Recuerda que en 2023 se intentó hacer algo similar con Web Enviroment Integrity (WEI). Esta fue una propuesta que Google tuvo que abandonar tras las críticas.
Ese año, Google trató de poner en marcha un mecanismo que permitiría a los sitios web comprobar si el software y el hardware del dispositivo del usuario estaban verificados por Google. La lógica era la misma que ahora: si tu configuración no se ajustaba a lo que Google consideraba aceptable, el acceso quedaba bloqueado. La propuesta generó un rechazo tan amplio entre desarrolladores, organizaciones de estándares web y usuarios que Google tuvo que retirarla.
Y ahora qué. La pregunta relevante no es si Google está legitimada o no a hacer esto, porque lo está. La pregunta es qué ocurre cuando el estándar de facto para verificar en internet lo controla la misma empresa que vende el hardware y el software necesarios para superarlo.
-
La noticia
Google se ha puesto (aún) más exigente con los captchas. A la comunidad Open Source no le ha hecho ni pizca de gracia
fue publicada originalmente en
Xataka
por
Ricardo Aguilar
.
🔥 Ver noticia completa en Xataka.com 🔥
