En su búsqueda por la soberanía digital, varias empresas europeas tienen un plan para Android: pagos seguros fuera de Google

Instalar una ROM alternativa en un móvil Android sigue siendo perfectamente posible, y existe una comunidad activa que lleva años desarrollando sistemas basados en el proyecto de código abierto de Android. Sin embargo, esa libertad técnica no siempre se traduce en la misma experiencia de uso que ofrece un teléfono con servicios de Google. El contraste se vuelve especialmente visible cuando entran en juego aplicaciones sensibles, como las de banca, pagos o identidad digital, que suelen apoyarse en mecanismos de verificación para evaluar el entorno en el que se ejecutan. Esa diferencia práctica es el punto de partida de una iniciativa impulsada por varias empresas europeas que busca ofrecer otra forma de comprobar estos dispositivos dentro del ecosistema Android.

El anuncio. La novedad que explica este movimiento es el anuncio de Unified Attestation, una iniciativa promovida por el fabricante alemán Volla junto a otras compañías, como Murena, iodé y Apostrophy. Según heise, estas empresas han puesto en marcha un consorcio para desarrollar un sistema que permita verificar la integridad de dispositivos Android sin depender necesariamente de los servicios de Google. El proyecto se plantea como una alternativa abierta a Google Play Integrity, la interfaz que hoy utilizan muchas aplicaciones para evaluar si un dispositivo cumple determinadas condiciones antes de permitir ciertas funciones o accesos.

Cómo funciona hoy una parte de Android. Play Integrity permite a las aplicaciones solicitar información sobre el entorno en el que se están ejecutando y recibir señales que ayudan a evaluar riesgos, detectar manipulaciones o comprobar si el dispositivo cumple determinadas condiciones de integridad. Esa información no decide por sí sola si una app puede funcionar o no, pero sí sirve de base para que los desarrolladores determinen cómo reaccionar. En la práctica, muchas aplicaciones que manejan datos sensibles utilizan este tipo de verificación como parte de sus sistemas de protección.

Qué buscan los impulsores del proyecto. Según explicó Volla al anunciar el consorcio, uno de los objetivos de Unified Attestation es ofrecer un mecanismo de verificación que no esté controlado por una única empresa. Desde esa perspectiva, el proyecto se presenta como un paso hacia una mayor autonomía para fabricantes, desarrolladores y sistemas basados en el Android Open Source Project. La idea, en palabras de sus promotores, es crear un procedimiento transparente y verificable que permita comprobar la integridad de un sistema sin apoyarse exclusivamente en la infraestructura de Google.

El verdadero desafío. Presentar una alternativa técnica es solo una parte del camino. Para que un sistema como el que propone este consorcio tenga impacto real, tendría que ser aceptado por los servicios que hoy utilizan mecanismos de verificación para proteger sus aplicaciones. En ese escenario, el reto no es únicamente desarrollar la tecnología, sino convencer a estos actores de que el nuevo procedimiento ofrece garantías suficientes para integrarlo en sus sistemas.

No todos están de acuerdo. Aunque el proyecto intenta ofrecer una vía distinta para comprobar la integridad de estos sistemas, no todos los actores de ese entorno ven la propuesta de la misma manera. GrapheneOS, una ROM conocida por su enfoque en privacidad, seguridad y libertad, reaccionó públicamente tras el anuncio y expresó su desacuerdo con la iniciativa. Sostuvo que el nuevo sistema no resolvería los problemas estructurales asociados a este tipo de verificaciones y pidió a los desarrolladores que priorizan esos principios que no lo adopten.

Hay intención, falta acción. Si el proyecto sale adelante, podría facilitar que los móviles basados en ROMs alternativas tengan más opciones de ser aceptados por aplicaciones que hoy aplican controles estrictos de integridad. Por ahora, sin embargo, se trata de una propuesta en desarrollo cuyo recorrido dependerá tanto de su evolución técnica como de la confianza que logre generar entre los servicios que deberían adoptarla.

Imágenes | Jonas Leupe

.