Sin "backdoors": los desarrolladores de GrapheneOS rompen contrato con el mayor proveedor de hosting de Europa para proteger la privacidad

El proyecto del sistema operativo móvil GrapheneOS anunció la ruptura de relaciones con OVHcloud, por temor a que la jurisdicción francesa ya no permita proteger de manera fiable los datos y los dispositivos de los usuarios. Los desarrolladores ya han comenzado a trasladar la infraestructura a otros proveedores y subrayan que la decisión no está relacionada con problemas técnicos, sino con la política en materia de privacidad.

OVHcloud — uno de los mayores proveedores europeos de infraestructura en la nube con centros de datos en Europa y Norteamérica. La empresa ofrece alojamiento, servidores virtuales y servicios relacionados, en los que se basan, entre otros, proyectos de código abierto que prefieren almacenar datos en la UE.

Los desarrolladores de GrapheneOS consideran que operar a través de un proveedor así, dadas las actuales políticas de las autoridades francesas, crea el riesgo de la aparición de mecanismos encubiertos de acceso del Estado al cifrado y a los dispositivos, por lo que la colaboración se considera insegura.

Los desarrolladores hablan de la retirada completa de servidores de Francia y del rechazo a utilizar las plataformas de OVHcloud incluso en Canadá y Estados Unidos, si la infraestructura pertenece al grupo francés. Según su valoración, el país se está convirtiendo en un entorno incómodo para iniciativas basadas en una privacidad estricta y en el cifrado máximo.

El director de OVHcloud, Octave Klaba, en redes sociales dio a entender que con los servidores de GrapheneOS no ocurrió nada y que no hubo incidentes reales. Así, el conflicto se desplaza del plano de la fiabilidad técnica al de la confianza en el marco legal y en las futuras exigencias regulatorias.

Una de las inquietudes clave es el apoyo de Francia a la iniciativa de la UE conocida como «Chat Control». El proyecto contempla el escaneo obligatorio del contenido de los usuarios y la aparición de mecanismos de acceso de las autoridades a las comunicaciones bajo el pretexto de luchar contra la delincuencia. En octubre, Alemania se pronunció en contra de ese enfoque, advirtiendo sobre riesgos para los derechos fundamentales y para los principios del cifrado.

Presión adicional crea la disputa en torno a la soberanía de los datos. OVHcloud está involucrada en un proceso judicial en Canadá por información almacenada en servidores franceses. Si un tribunal obliga a la compañía a entregar esos datos eludiendo los acuerdos vigentes, esto podría sentar un precedente y obligar a revisar la práctica de protección transfronteriza de la información en todo el mercado.

Ante la incertidumbre también se pronuncian otros actores. El director del proveedor británico de nube Civo, Mark Boost, señala que la industria tendrá que replantearse cómo se garantiza realmente la soberanía de los datos, y no solo declararla en materiales de marketing. La empresa suiza Proton, que desarrolla servicios con privacidad reforzada, relaciona la línea francesa con una señal para el sector: trabajar en el país es posible solo si se está dispuesto a proporcionar acceso a los datos.

En este contexto, GrapheneOS opta por marcharse y traslada los servicios a otros proveedores. Para OVHcloud la situación se convierte en una prueba de hasta qué punto los principios declarados de protección de la información se corresponden con las expectativas de proyectos construidos en torno a la privacidad estricta y al código abierto.