GrapheneOS ha anunciado el cierre completo de su infraestructura en Francia, acelerando su retirada del proveedor de hosting OVH y citando las crecientes amenazas contra el software centrado en la privacidad en el país. El proyecto reporta un escalamiento del acoso contra su equipo y preocupaciones crecientes sobre el clima legal de Francia para el cifrado.
Una retirada estratégica ante presiones gubernamentales
El anuncio describe una serie de cambios de infraestructura destinados a distanciar a GrapheneOS de la jurisdicción francesa. Según los desarrolladores, la medida involucra la desactivación de todos los servidores activos en Francia, la rotación de claves criptográficas usadas para TLS y DNSSEC, y la preparación de una migración a corto plazo de servicios principales como email, chat Matrix, foros, Mastodon y servidores de attestation desde OVH Canadá al proveedor alemán Netcup. El objetivo a largo plazo es la colocación en Toronto, Canadá.
GrapheneOS es un sistema operativo móvil endurecido, enfocado en seguridad y privacidad basado en Android Open Source Project (AOSP), que ofrece seguridad mejorada del dispositivo a través de características como sandboxing seguro de aplicaciones, arranque verificado y mecanismos avanzados de verificación de actualizaciones. Su desarrollo ha sido seguido de cerca por defensores de la privacidad e investigadores de seguridad debido a su postura intransigente sobre la soberanía del dispositivo y su negativa a comprometer el cifrado.
Francia ya no es segura para proyectos de privacidad
El grupo afirma que Francia ya no es segura para proyectos de código abierto centrados en la privacidad, haciendo referencia a la presión política reciente para introducir puertas traseras en tecnologías de cifrado y penalizaciones criminales por negarse a desbloquear dispositivos. Aunque el controvertido proyecto de ley «Narcotrafic» de Francia, una propuesta agresiva de vigilancia que incluía mandatos de puertas traseras de cifrado, fue derrotada en el parlamento a principios de este año, GrapheneOS advierte que el país permanece hostil hacia las tecnologías que respetan la privacidad.
«Ya no tenemos servidores activos en Francia y continuamos el proceso de dejar OVH. Rotaremos nuestras claves TLS y las claves de cuenta de Let’s Encrypt fijadas vía accounturi. Las claves DNSSEC también pueden ser rotadas. Nuestras copias de seguridad están cifradas y pueden permanecer en OVH por ahora.»
Acoso intensificado contra el equipo de desarrollo
GrapheneOS dice que los miembros del equipo han enfrentado acoso intensificado, campañas de difamación y disrupción de los esfuerzos de desarrollo, incluyendo un despliegue retrasado del soporte experimental para Pixel 10. La organización reporta que las demandas de aplicación de la ley para acceder a dispositivos cifrados son técnicamente imposibles de cumplir, ya que las protecciones son aplicadas por elementos seguros (SEs) que requieren actualizaciones de firmware firmadas y autenticación del usuario. Enfatizan que incluso si están legalmente obligados, eludir las protecciones de fuerza bruta no es técnicamente factible.
A diferencia de Canadá o Estados Unidos, donde negarse a revelar una contraseña está protegido por derechos contra la autoincriminación, Francia criminaliza tales negativas, eliminando una salvaguarda central para la privacidad individual, explicaron los líderes del proyecto.
Reestructuración completa de la infraestructura
En respuesta a los riesgos de seguridad y legales, GrapheneOS está remodelando su infraestructura de la siguiente manera:
- Los mirrors de actualización ahora están alojados por patrocinadores en Los Ángeles, Miami y temporalmente Londres, siguiendo una migración de emergencia
- La infraestructura DNS se ha trasladado a Vultr y BuyVM, que permiten el anuncio BGP de un espacio IP personalizado
- Los servicios principales están en transición a Netcup, con planes a largo plazo para colocación de servidores físicos en Toronto
- Las protecciones criptográficas para actualizaciones, aplicaciones y el proceso de arranque permanecen en su lugar, con verificación por capas contra alteraciones y ataques de degradación
La organización asegura a los usuarios que todas las copias de seguridad están cifradas y pueden permanecer temporalmente en sistemas OVH durante la transición.
Un precedente preocupante para la privacidad digital
Esta decisión de GrapheneOS marca un precedente preocupante para el futuro de las tecnologías de privacidad en Europa. El proyecto se suma a otras organizaciones como Signal que han amenazado con abandonar Francia debido a las políticas gubernamentales hostiles hacia el cifrado fuerte.
La migración demuestra cómo las presiones regulatorias pueden forzar a proyectos de seguridad críticos a reubicarse, potencialmente fragmentando el ecosistema de herramientas de privacidad y creando incertidumbre para usuarios que dependen de estas tecnologías para proteger su información personal.
