Si te estás planteando quitar todo rastro de Google de tu móvil, es muy probable que hayas acabado comparando CalyxOS y GrapheneOS. Sobre el papel, ambos proyectos prometen más privacidad y control que el Android de fábrica, pero cuando rascas un poco la superficie empiezan a aparecer diferencias importantes en seguridad, en el trato con Google y en la filosofía del sistema.
Mucha gente comenta que CalyxOS resulta más amigable al principio, mientras que GrapheneOS tiene fama de ser la opción más dura en cuanto a seguridad. La realidad es algo más matizada: hay diferencias técnicas muy claras (microG frente a Google Play aislado, más conexiones o menos a servidores de Google, cómo se gestionan perfiles, kernel, WebView, etc.) que conviene entender bien antes de elegir. Vamos a desgranar todo esto con calma, pero con un lenguaje lo más llano posible.
CalyxOS vs GrapheneOS: visión general y narrativa habitual
En muchos foros se repite la idea de que CalyxOS es la ROM más sencilla para deshacerse de Google sin perder demasiada comodidad, y que GrapheneOS es “la exagerada de la seguridad”, más pensada para paranoicos o perfiles de alta amenaza. Sin embargo, varias personas han señalado que esta imagen tan simple es, siendo suaves, bastante engañosa y que se ha ido extendiendo gracias a una narrativa muy cuidada por parte del entorno de Calyx.
La crítica principal a esa narrativa es que, en la práctica, CalyxOS habla mucho más con los servidores de Google que GrapheneOS cuando usas el sistema tal cual viene de serie. No se trata solo de la Play Store o de cuatro servicios aislados, sino de funciones muy básicas del sistema que terminan enviando datos hacia la infraestructura de Google.
Según análisis independientes y comparativas técnicas, CalyxOS, de manera predeterminada, realiza conexiones recurrentes con Google para tareas de sistema que en GrapheneOS se manejan sin pasar por ellos o se han rediseñado para reducir la dependencia. Esta diferencia es clave si tu objetivo principal es minimizar al máximo la interacción con Google y sus servicios.
Existen recursos externos muy mencionados, como el gráfico comparativo de eylenburg.github.io o el análisis en alemán de Mike Kuketz (“CalyxOS: This is not how degoogling works”), que profundizan en estos puntos y evidencian que, a efectos prácticos, la supuesta “desgoogleización” de CalyxOS tiene bastantes matices.
Conexiones de sistema con Google: dónde se marcan las distancias
Uno de los puntos más polémicos es hasta qué punto el sistema, recién instalado y sin tocar nada, se conecta de forma automática a servidores de Google. En este terreno, GrapheneOS intenta cortar de raíz cualquier dependencia innecesaria, mientras que CalyxOS mantiene muchos elementos que tiran de la infraestructura de Google por defecto.
Más en específico, se ha señalado que CalyxOS usa servicios de Google para funciones tan básicas como:
- Sincronizar la hora de red (Network Time)
- Comprobar portales cautivos de WiFi (captive portal)
- Servicios A-GNSS (SUPL) para asistencia al posicionamiento
- Verificación de conectividad DNS
- Provisionar la atestación de hardware
- Provisionar Widevine DRM
- Gestión y provisión de eSIM mediante la app propietaria de Google
En GrapheneOS, muchas de estas funciones se han redirigido o ajustado para que no dependan por defecto de endpoints de Google. De esta forma, aun cuando decidas usar partes de su ecosistema (por ejemplo, Google Play en modo aislado), partes importantes del sistema base siguen manteniendo la distancia.
La cuestión del módulo de eSIM es especialmente sensible: en CalyxOS se incluye de serie el componente propietario de Google encargado de la activación de eSIM, con permisos de sistema muy elevados y sin forma oficial de desactivarlo. En GrapheneOS, ese mismo componente viene deshabilitado de base y solo se activa si tú lo decides al instalar el entorno de Google Play en modo sandbox.
Este tipo de detalles son los que llevan a muchos usuarios a decantarse por GrapheneOS cuando su prioridad absoluta es minimizar el contacto estructural con Google, incluso a costa de sacrificar algo de comodidad o compatibilidad en ciertos escenarios.
microG frente a Google Play aislado: dos filosofías opuestas
Uno de los puntos clave en la comparación entre ambas ROMs es cómo gestionan las apps que dependen de Google Play Services. Aquí chocan de lleno dos enfoques: el uso de microG, que es la opción de CalyxOS, y el modelo de Google Play en sandbox que propone GrapheneOS.
microG se presenta muchas veces como una alternativa libre a los servicios de Google, pero desde un punto de vista técnico no es tan sencillo. microG actúa como una reimplementación parcial de las APIs de Google Play Services y, además, suele necesitar descargar y ejecutar blobs propietarios de Google para funcionar correctamente con muchas aplicaciones.
Eso significa que, aunque el proyecto tenga partes de código abierto, no te libra realmente de Google. El propio microG se comunica con los servidores de Google y las aplicaciones que lo usan integran librerías propietarias de Google en su interior. microG se convierte así en una especie de intermediario entre esas librerías y los servicios remotos de Google, pero sin cortar por completo la relación.
En CalyxOS, microG funciona con un nivel de privilegios elevado, ejecutándose en el dominio SELinux system_app, similar al de los servicios oficiales de Google. Para evitar que las apps detecten que no es Play Services original, se permite la suplantación de firma (signature spoofing), algo que se considera un debilitamiento de la seguridad del sistema porque rompe un pilar importante del modelo de permisos de Android.
GrapheneOS toma un camino totalmente distinto: permite instalar el propio Google Play oficial pero dentro de un sandbox, ejecutándolo igual que si fuera una app más de usuario, con el mismo dominio SELinux untrusted_app y las mismas restricciones. Aquí no hay firma falsificada ni accesos secretos al sistema: Google Play solo puede hacer lo que tú le permitas, con permisos estándar y sin APIs de sistema extra.
Esta aproximación tiene varias ventajas importantes: por un lado, la compatibilidad con aplicaciones es prácticamente total, porque estás usando el código real de Google; por otro, puedes limitar con mucha precisión qué datos y sensores comparten Play Services y la Play Store, y decidir en qué perfil de usuario los instalas. Puedes mantener tu perfil principal completamente libre de Google y reservar un perfil secundario para todas las apps que no funcionarían sin él.
Ubicación, servicios de red y privacidad práctica
Otro campo donde se notan bien las diferencias es en cómo cada sistema maneja los servicios de localización y la interacción con redes externas. Aquí confluyen la precisión del GPS, la rapidez con la que una app te sitúa en el mapa y, sobre todo, a quién estás enviando datos de entorno.
Cuando usas el modelo de Google Play aislado en GrapheneOS, el sistema te permite redirigir las peticiones de localización que van a Play Services hacia la API de ubicación del propio sistema. Esto significa que puedes forzar un uso centrado en satélites (GPS, GLONASS, etc.) sin necesidad de utilizar proveedores de localización en red que consumen datos como MAC de redes WiFi cercanas y dispositivos Bluetooth para estimar tu posición.
En microG tienes varias opciones para el backend de localización en red: puedes tirar de Mozilla, usar soluciones como DejaVu (que construye una base de datos RF local y offline) o directamente no configurar ningún backend de red. A primera vista esto suena muy bien, pero si eliges Mozilla o similares, sigues enviando prácticamente los mismos datos que enviarías a Google, solo que cambias de proveedor. El beneficio real en privacidad es más psicológico que otra cosa.
Las soluciones tipo DeJaVu tienen otra pega: dependen de que el GPS funcione bien primero para ir alimentando su base de datos local. Si el punto fuerte de un proveedor de red es ayudarte cuando los satélites flojean (interiores, túneles, ciudad muy densa), un backend que necesita buen GPS previo ofrece una ayuda limitada. Al final, muchos usuarios acaban recurriendo, tarde o temprano, a soluciones conectadas a un tercero.
Si tu modelo de amenaza gira en torno a proteger tu ubicación y las direcciones MAC de los dispositivos cercanos, la opción de GrapheneOS de redirigir todo hacia la API del sistema y reducir al mínimo el uso de ubicación en red suele ser más coherente. No hay milagros —si quieres mapas fluidos vas a ceder algo de información—, pero el enfoque está claramente orientado a no regalar datos de más.
En cuanto a otras comunicaciones de sistema (DNS, comprobaciones de conectividad, etc.), GrapheneOS se mantiene muy pegado a la filosofía de no hablar con nadie salvo que sea imprescindible, mientras que CalyxOS conserva varios mecanismos compatibles con la infraestructura de Google desde el primer arranque.
Actualizaciones y ritmo de desarrollo
Cuando hablamos de privacidad, muchas veces se olvida que sin seguridad técnica al día no hay nada que hacer. De poco sirve usar una ROM muy “libre” si tarda meses en incorporar parches críticos o nuevas medidas de protección que llegan a Android.
Diversos análisis han señalado que CalyxOS tiene una cadencia de actualizaciones más lenta que otros sistemas personalizados, tanto en la base del sistema como en algunas aplicaciones centrales. Esto no significa que sea un proyecto abandonado, ni mucho menos, pero sí que hay retrasos notables a la hora de absorber novedades importantes que vienen de AOSP o del ecosistema Android en general.
GrapheneOS, en cambio, se caracteriza por estar muy pegado a la rama principal de Android, incorporando novedades como el modo de protección avanzado, hasta el punto de lanzar, en ocasiones, versiones basadas en nuevos Android antes incluso que la ROM de fábrica de Google. Este ritmo implica recibir parches de seguridad con mucha rapidez y beneficiarse antes de nuevas mejoras de privacidad y hardening que Google va incorporando al sistema base.
Esta diferencia de velocidad a la hora de actualizar es fundamental: una vulnerabilidad sin parche puede dejarte expuesto aunque des mil vueltas a la configuración de privacidad. Estar al día en seguridad es un requisito previo para que el resto de medidas (limitación de Google, perfiles aislados, etc.) tenga sentido.
eSIM, identificadores de hardware y control sobre Google
El tema de la eSIM es mucho más que una curiosidad técnica: implica cómo se gestionan permisos de acceso a datos sensibles como el IMEI y quién tiene puertas abiertas a esa información. Aquí las diferencias entre CalyxOS y GrapheneOS son muy marcadas.
En Android actual, la activación de eSIM depende de una aplicación propietaria de Google que cuenta con permisos especiales como read_privileged_phone_state. Este permiso le da acceso a identificadores de hardware del dispositivo, algo muy apetecible desde el punto de vista de la huella digital y el seguimiento.
En dispositivos con GrapheneOS, esta app de activación de eSIM viene instalada pero deshabilitada. Solo cobra vida si tú instalas el entorno de Google Play en sandbox y decides manualmente habilitarla para usar eSIM. De esta forma, si no necesitas eSIM, te aseguras de que Google no tenga acceso a esos datos de manera persistente ni en segundo plano.
En CalyxOS, en cambio, esa aplicación de Google está presente y activa de serie, independientemente de que elijas microG o de que configure o no servicios de Google. No existe una opción real de no tenerla, por lo que los identificadores de hardware pueden ser accedidos por Google incluso aunque tú pienses que ya te has “liberado” del todo de su ecosistema.
Para muchas personas con un modelo de amenaza exigente, esa línea no es aceptable: si el objetivo es cortar lazos con Google más allá de lo imprescindible, mantener una app propietaria con privilegios altos y acceso a IMEI funcionando a todas horas va contra esa meta.
Perfiles de usuario, aislamiento y uso diario
Uno de los grandes puntos fuertes de GrapheneOS es cómo ha potenciado el sistema de perfiles de usuario de Android. Esto no es solo una curiosidad para frikis de la seguridad: bien utilizado, hace posible separar por completo tu vida “Google dependiente” de tu uso más privado.
De fábrica, Android limita mucho las posibilidades con los perfiles: pocos usuarios adicionales, sin funciones avanzadas y con una gestión un tanto tosca. GrapheneOS ha introducido varias mejoras clave, entre las que destacan:
Más perfiles disponibles: en lugar del límite estándar de cuatro, puedes crear hasta 32 perfiles de usuario distintos. Esto permite tener, por ejemplo, un perfil principal totalmente libre de Google, uno secundario con Google Play aislado para apps que lo necesitan, uno laboral, uno para viajes, etc.
Cerrar sesión de verdad: GrapheneOS incorpora un botón de “End session” que pausa completamente toda la actividad de un perfil y borra sus claves de cifrado de la memoria RAM. Ese perfil pasa a estado BFU (Before First Unlock), de modo que nada de lo que haya ahí está accesible hasta que vuelvas a iniciar sesión explícitamente.
Además, solo el perfil activo en cada momento tiene acceso a sensores como el micrófono. No es cierto que, por instalar Google en un perfil secundario, vaya a estar “escuchando siempre” tu vida desde otros perfiles. El aislamiento está muy bien trabajado para que cada espacio sea realmente independiente.
GrapheneOS también añade opciones como bloquear la instalación de apps en determinados perfiles, habilitar o desactivar la recepción de notificaciones cruzadas y otros ajustes que hacen posible que un perfil secundario no invada la privacidad del principal, pero siga siendo cómodo para tareas concretas.
CalyxOS, en cambio, no introduce mejoras significativas en perfiles de usuario respecto a lo que ofrece AOSP de serie. Lo que sí incluye es una app tipo controlador de dispositivo para poder usar un perfil de trabajo sin tener que instalar herramientas de terceros como Shelter. El problema es que los perfiles de trabajo son menos flexibles, solo puedes tener uno, y no proporcionan el mismo nivel de aislamiento que un sistema de múltiples perfiles de usuario bien reforzado.
Hardening: WebView, kernel, memoria y modelo de procesos
Más allá de Google o no Google, una de las razones por las que GrapheneOS se considera de las ROMs más seguras es por su enfoque casi obsesivo hacia el hardening de todo el sistema. Esto abarca desde el navegador y la WebView hasta el kernel y la gestión de memoria.
En el apartado de navegación y contenido web, GrapheneOS utiliza Vanadium, una versión endurecida de Chromium. Esta WebView obliga a que los procesos se ejecuten en 64 bits (deshabilitando procesos 32 bits antiguos), utiliza opciones de compilación más seguras como -fwrapv y -fstack-protector-strong para dificultar explotaciones tipo desbordamiento de pila y desactiva APIs que puedan filtrar información, como ciertos accesos al estado de la batería por motivos de privacidad.
Todos los componentes del sistema que tiran de WebView pasan por Vanadium, de modo que cualquier app que integre contenido web se beneficia de estas capas extra de protección. CalyxOS también incluye un navegador basado en Chromium con parches, pero se considera que su parcheado deriva en parte de Vanadium y no llega al mismo nivel de exhaustividad.
En cuanto al kernel, GrapheneOS incorpora extensiones de proyectos como linux-hardened y del Kernel Self Protection Project (KSPP), buscando bloquear vectores de ataque conocidos y endurecer la superficie del sistema. CalyxOS, por su parte, se aproxima más al kernel estándar de Android con modificaciones menores, lo que implica un nivel de protección inferior frente a ciertos tipos de exploits.
Para la gestión de memoria dinámica, GrapheneOS usa su propio hardened malloc, un asignador de memoria diseñado para hacer mucho más difícil aprovechar errores de corrupción de heap. Este componente ha llegado a descubrir vulnerabilidades en AOSP, como CVE-2021-0703, que luego fueron corregidas aguas arriba. CalyxOS continúa utilizando Scudo Malloc, el asignador por defecto de AOSP, que aunque mejora frente a versiones antiguas, proporciona menos garantías frente a ataques sofisticados.
Otro cambio grande está en cómo se lanzan las apps. Mientras que Android (y por tanto CalyxOS) se apoya en el modelo Zygote, que parte de un proceso base ya inicializado para crear nuevos procesos de app (lo cual puede debilitar la aleatorización del espacio de direcciones, ASLR), GrapheneOS crea procesos nuevos desde cero para cada ejecución. Esto incrementa la entropía y complica seriamente el trabajo a los atacantes, a costa de un ligero impacto en el tiempo de arranque de apps, apenas apreciable en dispositivos modernos.
Esta suma de medidas de hardening no es “marketing técnico”, sino capas reales que se apilan unas sobre otras. La seguridad nunca es perfecta, pero cuanto más complicado y caro resulte explotar un fallo, menos probable será que un atacante medio lo consiga o que alguien te convierta en objetivo casual.
Copia de seguridad, SeedVault y planes futuros
Tanto CalyxOS como GrapheneOS incluyen SeedVault para gestionar copias de seguridad cifradas de tu dispositivo. Esta herramienta permite hacer backups con cifrado de extremo a extremo a través de la nube (por ejemplo, almacenamiento externo compatible) o a unidades USB, de manera que no dependas del sistema de copia nativo de Google.
Ahora bien, SeedVault tiene algunas limitaciones en su configuración por defecto: no todo se guarda automáticamente de la forma más exhaustiva posible y es necesario dedicar un rato a afinar qué se incluye, qué no y cómo se gestionan esas copias. Precisamente por eso, el equipo de GrapheneOS ha mencionado en varias ocasiones su intención de reemplazar SeedVault por una solución propia más robusta y alineada con su visión de seguridad y usabilidad.
Hasta que llegue ese relevo, ambos sistemas comparten esta misma herramienta, con lo bueno (cifrado sólido, independencia de Google) y lo mejorable (configuración algo manual) que tiene en el día a día.
Instalación, cambio entre ROMs y miedo a “brickear”
Otra duda habitual de quien viene de CalyxOS y se está planteando dar el salto es si es necesario volver primero a la ROM de fábrica de Google. En el caso de pasar de CalyxOS a GrapheneOS, no hace falta flashear de nuevo el sistema original de Pixel: puedes realizar la instalación de GrapheneOS directamente desde CalyxOS siguiendo el procedimiento oficial.
GrapheneOS ofrece un instalador web guiado que reduce muchísimo la probabilidad de dejar el teléfono inutilizable. Siempre existe un riesgo teórico cuando flasheas una ROM, pero si sigues los pasos al pie de la letra y utilizas el instalador oficial, las probabilidades de “brickear” el dispositivo son realmente bajas.
El propio proyecto recomienda que, ante cualquier duda, consultes la documentación oficial de instalación en grapheneos.org/install o pidas ayuda en sus canales de soporte. La idea es que el proceso sea asequible para gente con un mínimo de cuidado, sin necesidad de ser un desarrollador Android ni un experto en ADB.
Si ya estás en CalyxOS y no terminas de confiar en su diseño o en decisiones como el uso de microG privilegiado, pasar a GrapheneOS es, técnicamente, un camino razonablemente directo. Eso sí, implica volver a configurar el sistema casi desde cero y repensar tu flujo de trabajo, sobre todo si dependías de integraciones muy profundas con Google o de algunas automatizaciones.
Al final, la elección entre CalyxOS y GrapheneOS pasa por valorar el equilibrio entre comodidad, compatibilidad y el nivel de desacople real respecto a Google y a posibles vectores de ataque. Para quienes priorizan la usabilidad inmediata y están conformes con el modelo microG, CalyxOS puede ser suficiente. Para quienes buscan el máximo hardening posible, un control casi quirúrgico sobre qué se comunica con Google y una arquitectura de perfiles muy potente, GrapheneOS suele ser la opción que encaja mejor, incluso si al principio exige un poco más de aprendizaje.
