GrapheneOS, la distribución de Android centrada en privacidad, ha corregido un fallo de seguridad que afecta a la función VPN de Android estándar antes de que Google lo haya parcheado. Según informa Android Authority, el problema permite que datos del usuario escapen a la red aunque el dispositivo tenga una VPN activa.
Qué ha pasado
El fallo afecta a cómo Android gestiona el tráfico de red cuando una VPN está habilitada. En condiciones normales, activar una VPN debería enrutar toda la conexión a través del túnel cifrado, sin excepciones. Sin embargo, existe una vía por la que el tráfico puede salir sin pasar por ese túnel, lo que convierte la protección en algo menos hermético de lo que el sistema indica al usuario.
La analogía es directa: es como un candado en tu puerta que, en teoría, la mantiene cerrada, pero tiene un mecanismo que permite abrirla sin llave. GrapheneOS ha reemplazado ese candado antes de que el fabricante original lo haga.
Por qué Google no lo arregló primero
Esta es precisamente la pregunta incómoda. GrapheneOS opera con un equipo mucho más reducido que Google, pero su foco exclusivo en privacidad y seguridad le permite actuar con más agilidad ante este tipo de vulnerabilidades. Google, por su parte, gestiona Android como un sistema operativo para miles de modelos de dispositivos distintos, con ciclos de actualización más lentos y prioridades más amplias.
El resultado práctico es que los usuarios de GrapheneOS ya están protegidos frente a este fallo, mientras que los usuarios de Android estándar —la gran mayoría— permanecen expuestos hasta que Google publique un parche oficial. La fecha de ese parche no se ha confirmado.
Qué puedes hacer si usas Android estándar
El material disponible no detalla soluciones alternativas específicas para usuarios de Android convencional. Lo que sí se desprende de la situación es que confiar únicamente en el indicador de VPN activa del sistema no garantiza que todo el tráfico esté protegido.
Mientras Google no publique una corrección, los usuarios con mayor exposición a este riesgo —periodistas, activistas, personas que manejan información sensible— tienen en GrapheneOS una alternativa funcional, aunque su instalación requiere conocimientos técnicos y está limitada a dispositivos Pixel.
El boletín de seguridad de Android de abril de 2026, publicado el 8 de abril, no menciona explícitamente este fallo entre las vulnerabilidades corregidas, según la documentación pública del Android Open Source Project.
