HardenedOS Seguro. Privado. Gestionado.

Funciones

Privacidad y seguridad,
en cada capa.

Una lista de lo que HardenedOS realmente hace — endurecimiento del kernel, mitigaciones contra exploits, controles de permisos por app, defensas en la pantalla de bloqueo, privacidad de red y un navegador endurecido. Todo lo de abajo está activado por defecto; la mayoría son opt-out, no opt-in.

Empezar por el hardware → Saltar a permisos

Con raíz de hardware

Empieza en el silicio.

El elemento seguro del Pixel guarda la raíz de confianza. Cada binario que se carga en el arranque — cargador de arranque, kernel, sistema, recuperación — se valida por hash contra una medición firmada en tiempo de compilación. Manipula cualquier punto y el dispositivo se niega a arrancar.

  • Arranque verificado

    Verificación continua de extremo a extremo desde la ROM de arranque hacia arriba. Las firmas fallidas detienen el arranque.

  • Atestación por hardware

    Prueba verificable de forma remota de la versión de firmware, el estado del cargador de arranque y la identidad del SO, firmada por el elemento seguro.

  • Anclaje de huella del cargador de arranque

    Las huellas del cargador de arranque, la radio y la partición de arranque se verifican en el arranque; cualquier discrepancia es fatal.

  • Bloqueo de datos USB-C cuando está bloqueado

    Las líneas de datos USB se bloquean a nivel del SO cuando el dispositivo está bloqueado. Configurable por perfil de dispositivo.

Dispositivo verificado

atestado hace 2 minutos

  • Cargador de arranquebloqueado
  • Arranque verificadoverde
  • Imagen del SOHardenedOS 0.1
  • Compilación2026050700
  • Elemento seguroTitan M2
  • Firmado poreb25 39e4 …

Memoria y exploits

La clase de bug está muerta antes de que el exploit la pueda usar.

El problema difícil en seguridad de SO móvil son los bugs de corrupción de memoria en C/C++. HardenedOS apila defensas para que un solo bug rara vez se convierta en ejecución de código.

Etiquetado de memoria por hardware

ARM MTE en los Pixel compatibles atrapa probabilísticamente use-after-free y desbordamientos entre objetos en tiempo real. Tanto en kernel como en espacio de usuario.

Asignador endurecido

Asignador de heap personalizado con aislamiento de metadatos, cuarentena, canarios y listas libres aleatorizadas. Ralentiza ataques; convierte la corrupción silenciosa en fallos duros.

Cero al liberar

La memoria se borra en el momento en que se desasigna. Evita que un atacante se haga con residuos de un búfer liberado.

Borrado de arranque temprano

La memoria se pone a cero durante el arranque para que nada se transfiera de un arranque anterior — sin claves residuales, textos en claro o estado obsoleto del heap.

JIT desactivado

JIT de Java desactivado por defecto; JIT de JavaScript desactivado en el navegador del sistema. Cierra una categoría de vectores de escape a costa de algo de velocidad de cómputo.

Filtro de syscalls seccomp-bpf

Cada proceso de app está restringido a las syscalls que realmente necesita. Las fugas de sandbox que dependen de syscalls raras no tienen oportunidad.

BTI y PAC en ARMv9

La Identificación de Objetivo de Salto y la Autenticación de Puntero están activadas para el espacio de usuario del SO. Corta de raíz la explotación común mediante ROP/JOP.

Limpieza de pila del kernel

La memoria de pila del kernel se limpia automáticamente. Cierra los canales laterales de fuga de información que dependen de lecturas de pila no inicializadas.

Permisos por app

Conmutadores reales para cosas que Android pretende que son permanentes.

Android de fábrica te deja denegar "ubicación" y darle el día por terminado. HardenedOS te deja denegar red, sensores, y limitar el acceso a archivos o contactos a una sola carpeta o persona — todo por app, todo reversible, todo visible.

  • Conmutador de acceso a red

    Bloquea el acceso directo e indirecto a la red para cualquier app. Sí — incluso para apps que pensaban que era un derecho. Las apps siguen funcionando sin conexión.

  • Conmutador de sensores

    Deniega acelerómetro, giroscopio, brújula y el resto de sensores no estándar por app. Útil para anti-fingerprinting.

  • Alcances de almacenamiento

    Concede acceso a carpetas específicas, no a todo el almacenamiento. La app ve solo lo que le señales.

  • Alcances de contactos

    Concede acceso a contactos o grupos específicos, no a toda la agenda. La app ve solo a esos.

  • Bloqueo de instalación de apps

    Los propietarios pueden impedir que los usuarios secundarios instalen apps. Un dispositivo que le pasas a un niño se mantiene limpio.

Brújula · v3.2.1

solicitando acceso

  • Acceso a red

    La app sigue arrancando. Ningún dato sale del dispositivo.

  • Sensores (giro, brújula)

    Necesario para el propósito de la app. Concedido.

  • Almacenamiento Alcance: /Documentos/Viajes

    La app ve una sola carpeta. Todo lo demás es invisible.

  • Contactos

    La app no puede enumerar tu agenda.

Seguridad física y coacción

Defensas para cuando alguien tiene el teléfono en su mano.

La mayoría de las brechas en teléfonos no involucran zero-days — involucran a una persona parada sobre tu hombro, o a un agente fronterizo exigiendo el PIN. HardenedOS planifica para eso.

  • Aleatorización de PIN

    Cada intento de desbloqueo aleatoriza la disposición del teclado numérico. El espionaje visual de la posición de tu dedo ya no revela los dígitos.

  • Huella digital de dos factores

    La huella digital desbloquea el dispositivo y el PIN debe seguir. Un escaneo forzoso de huella por sí solo no concede acceso.

  • PIN de coacción

    Configura un segundo PIN que, al introducirlo, borra el dispositivo de forma irreversible. Se ve idéntico a un PIN equivocado; no avisa al operador.

  • Reinicio automático

    Si el dispositivo permanece bloqueado durante un intervalo configurable, se reinicia — borrando las claves de descifrado de la RAM y forzando re-autenticación completa.

  • Contraseñas largas

    Hasta 128 caracteres sin necesidad de un workaround del Gestor de Dispositivos. Funcionan secretos de pantalla de bloqueo de calidad cold-storage.

Introduce el PIN

Disposición aleatorizada · las teclas se reordenan en el siguiente intento

Privacidad de red

Tu teléfono deja de transmitir quién es.

Los dispositivos móviles filtran identidad en lugares en los que la mayoría de la gente no piensa — sondas Wi-Fi, retroceso celular a radios inseguras, DNS evadiendo la VPN. HardenedOS cierra esos.

Aleatorización de MAC por conexión

Cada red Wi-Fi recibe una nueva dirección MAC aleatoria. Los rastreadores de cafeterías no pueden reconocer tu dispositivo la próxima vez.

Limpieza de estado DHCP

El estado DHCP se borra entre reconexiones, por lo que la misma red no puede identificar el dispositivo por su historial de leases.

Modo solo LTE

Desactiva 2G, 3G y 5G. Reduce la superficie de ataque de banda base y esquiva las debilidades conocidas del retroceso a 2G.

Prevención de fugas DNS

El resolver del sistema respeta la VPN activa; los bypass mediante multicast e interfaz directa se bloquean a nivel del SO.

Aplicación del túnel VPN

Las apps no pueden especificar una interfaz de túnel para evitar la VPN del usuario. El túnel es la única salida.

Localización de red, sin nube

La estimación de posición se ejecuta en el dispositivo contra datos abiertos. No se envían solicitudes de torre celular o huella Wi-Fi a un tercero.

Web endurecida

El navegador incluido es la superficie más atacada — así que recibe las defensas más agresivas.

Una vista web derivada de Chromium, endurecida más allá del original. Las mismas defensas que el resto del SO más trabajo específico del navegador para negarles a los atacantes el camino más barato.

Etiquetado de memoria en el navegador

MTE se aplica al asignador principal del navegador en los Pixel compatibles. Atrapa exploits de heap en el proceso de mayor riesgo.

Aislamiento de sitios

Cada origen se ejecuta en su propio proceso de renderizado. Un compromiso en un sitio no puede llegar a otro.

Filtro de contenido integrado

Las listas de rastreadores y anuncios vienen con el navegador. Activable por sitio si una página realmente los necesita para cargar.

JIT desactivado por defecto

JIT de JavaScript desactivado de fábrica; reactivable por sitio. Cambia rendimiento JS por cerrar una categoría importante de exploits.

Agente de usuario reducido

La cadena de UA elimina la versión del SO, el modelo de dispositivo y el nivel de parche. Recorta una buena parte de la señal de fingerprinting.

Sin contenido de terceros

Los servicios web incluidos en el SO prohíben contenido de terceros embebido vía CSP. No se puede cargar un rastreador por la puerta de atrás.

Perfiles e identidades

Ejecuta varios "teléfonos" en un solo teléfono.

Aislamiento real entre perfiles, no solo lanzadores separados. Las claves de descifrado son por perfil; al terminar una sesión se purgan de la RAM.

  • 32 perfiles secundarios

    Android de fábrica limita a 4. Lo subimos a 32 — suficiente para una familia, una organización pequeña o un dispositivo dividido por casos de uso.

  • Finalizar sesión

    Cierra la sesión de un perfil para desactivar sus apps y purgar las claves de cifrado de la RAM. Volver a entrar requiere el secreto de bloqueo del perfil.

  • Ocultar notificaciones en el bloqueo

    El contenido sensible de las notificaciones se enmascara en la pantalla de bloqueo por defecto. Las notificaciones siguen llegando, simplemente los nombres del remitente no se muestran en vista previa.

  • Desactivar apps sin desinstalar

    Oculta apps que no puedes o no quieres desinstalar — no se ejecutan, no aparecen, pero la configuración se conserva si las reactivas más tarde.

Cambiar de perfil

  • P

    Personal

    activo · 14 apps · claves en RAM

    en uso
  • T

    Trabajo

    8 apps · sesión finalizada · claves purgadas

    bloqueado
  • V

    Viajes

    3 apps · sesión finalizada · claves purgadas

    bloqueado

+ 29 espacios de perfil disponibles

Esto es lo que está activado por defecto.

Las funciones de arriba vienen con cada dispositivo HardenedOS, cada distribuidor, cada nivel. No es opcional. No es venta adicional.

Ver política de dispositivo →