Iván Linares
Editor SeniorEuropa está desarrollando la plataforma para identidad digital en toda la Unión, la que se conoce como EUDI Wallet. Es una app que podrá instalarse en los smartphones y que servirá como apoyo al resto de aplicaciones que cada país desarrollará bajo sus necesidades, como es el caso de España. Y dicha app en desarrollo ha despertado polémica por el uso de Play Integrity, una API que solo tienen los móviles certificados por Google. Se quedan fuera ROMs como GrapheneOS, aunque esto solo es una parte de la historia.
El problema. La Unión Europea quiere que el desarrollo de la cartera sea transparente. Por eso el proyecto para Android se encuentra en GitHub, es de código abierto. Allí podemos auditar dicho código, aportar modificaciones y hasta descargar el APK de la cartera para probarla ya mismo en nuestro Android. Es una app que sirve como modelo genérico. Y no implica que sea la definitiva para toda la Unión.
Europa promueva el desarrollo Open Source en Android y parece que imponga un requerimiento cerrado para el uso de la app: el móvil que instale la app en desarrollo debe incluir la API Play Integrity. Dado que aún queda año y medio para la puesta en marcha de la cartera digital a nivel europeo, lo más seguro es que las aplicaciones finales se apoyen en la citada API como una opción de seguridad; completando las posibilidades con la certificación de claves o «Key attestation», un sistema abierto que acostumbran a incluir las ROMs.
Las ROMs se quedan fuera. Por ahora. En la cartera digital europea confluyen los datos privados de los usuarios y un requerimiento de seguridad estricto para proteger esos datos. Por eso tiene sentido que la instalación requiera un sistema que verifique la integridad del hardware y del software. No es algo extraño, las aplicaciones bancarias, que también manejan datos sensibles de uso y acceso, suelen requerir la integridad del dispositivo mediante los mecanismos incluidos en el firmware.
ROMs como GrapheneOS permiten ejecutar los servicios de Google instalándolos aparte, pero Play Integrity devuelve un fallo de validación en estos entornos, lo que impide que muchas apps se ejecuten o funcionen con normalidad. Existen métodos no oficiales para esquivar este peaje impuesto por Google, aunque no son aptos para la mayoría de usuarios. De hecho, tampoco las ROMs son para todos los dueños de un Android.
¿Y el iPhone? La Unión Europea no solo mantiene un repositorio en GitHub con el desarrollo open Source de la cartera en Android, existe uno aparte para iOS. No hay mayor requerimiento que el hecho de contar con un mínimo de iOS 16, ya que los iPhone no comparten la dualidad de Android: todos los teléfonos están certificados por Apple. Por tanto, Europa ha de pasar sí o sí por el aro manzanero. Aunque está consiguiendo lo contrario.
Si bien las críticas por la imposición de Google se han hecho notar, no ha ocurrido lo mismo con Apple. Es cierto que las plataformas no son estrictamente comparables, pero, en el fondo, comparten la base: como sistema operativo de una empresa privada que son, cualquier app debe pasar sí o sí bajo sus normas. En ordenadores los dueños del sistema no ejercen tanto control, en móviles sí.
Garantizar un entorno seguro no es sencillo. Con un panorama en el que las aplicaciones están captando más y más información privada de las personas, casos como el de la filtración masiva de Tea demuestran la necesidad de garantizar un entorno lo más seguro posible. Y esa garantía pasa obligatoriamente por el dueño del sistema operativo, lo queramos o no.
Android comenzó como un sistema mayoritariamente abierto y Google lo ha ido cerrando a sus designios fijándose en el reflejo de Apple con su iOS. No abandona el desarrollo abierto, ahí está AOSP para demostrarlo, cada vez más acorralado. Sí que ha conseguido que tanto usuarios como empresas veamos el Android certificado por Google como el único sistema con el que sacarle todo el provecho al teléfono. No hay mejor demostración de esta evidencia que la caída de los móviles de Huawei, sin Google Apps.
La cartera digital europea aún está en desarrollo. Según los planes de la Unión Europea, la EUDI Wallet no entrará en vigor hasta finales de 2026. Por tanto, aún queda desarrollo para rato, las aplicaciones finales seguramente sean muy diferentes de la actual, la que sirve de modelo. Elegir qué sistema pedir para la verificación de la integridad será decisión de cada país.
Imagen de portada | Cartera europea
En Xataka Móvil | Tenía un giga de fibra y seguía viendo el IPTV con cortes. Un par de cambios en el router fueron mi solución
Ver 1 comentarios