F-Droid, el repositorio de aplicaciones libres para Android

Esta guía explica cómo instalar y utilizar un almacén o repositorio alternativo de aplicaciones para Android llamado F-Droid. Al contrario que Google Play, respeta la privacidad de la usuaria, e introduce mecanismos que garantizan que el código de la app no ha sido adulterado, sino que proviene directamente de la compilación del código fuente publicado por sus desarrolladores.

En este caso no lo podemos llamar tienda, ya que todas las aplicaciones ofrece son libres y gratuitas. Como mucho se financian mediante donaciones voluntarias.

Problemas de Google Play #

En el ecosistema de Android, el sistema operativo de Google, la manera sobreentendida de obtener aplicaciones y actualizarlas es a través de su tienda de aplicaciones Google Play (incluso cuando las aplicaciones en sí puedan ser gratuítas).

Sin embargo, eso te obliga a usar tu dispositivo con una cuenta de Google, lo cual por sí mismo supone un gran problema de privacidad. Se vinculan todas tus descargas a una identidad única, que llevará agregada una gran cantidad de información personal.

• Google puede agregar datos sobre preferencias de aplicación, patrones de uso e incluso comportamiento dentro de la app, si los desarrolladores usan sus servicios de análisis y tracking.
• Google puede obtener así info de intereses, comportamiento, conexiones sociales, información de salud y financiera, etc.
• Consiguen crear perfiles extremadamente precisos e intrusivos.
• Como la cuenta se puede usar en múltiples dispositivos, se agrega además la info de todos los demás.

Google Play supone también un problema de opacidad.

• No distingue entre aplicaciones FLOSS (libres y de código abierto) y las que no lo son, ni te informa de posibles características indeseables que puedan contener.
• Además, sus políticas les permiten vetar aplicaciones, generalmente por ir en contra del modelo de negocio de Google.

Google Play necesita Google Play Services.

• Son una colección de APIs y servicios en segundo plano propietarios.
• Se incluyen por defecto en casi cualquier dispositivo Android.
• Son tremendamente invasivos y se comunican constantemente con la infra de Google.

Muchos desarrolladores se financian incluyendo código de Google Ads en sus aplicaciones, que a su vez muestra publi segmentada dentro de la app basándose en estos perfilados.

• Esto muchas veces lleva a aplicaciones prácticamente inusables por la gran cantidad de publicidad que llevan y/o por los altos precios de pagos y suscripciones, lo que se conoce como enshittification o decadencia de plataformas.

La ley de mercados digitales (DMA) de 2022 introduce la libre elección de tiendas de aplicaciones de software.

• El uso de tiendas de software o almacenes de aplicaciones alternativos, por sí solo, no garantiza la protección respecto a la recopilación de datos, porque el dispositivo sigue recopilando grandes cantidades de información.

Si no queremos renunciar a ciertas funcionalidades que ofrecen los Google Play Services (siendo las notificaciones el más significativo), siempre podemos instalar MicroG, que es una reimplementación de estos servicios lo menos lesiva posible. Pero generalmente implica instalar una ROM limpia, para lo cual es necesario tener conocimientos bastante avanzados.

En resumen, las tiendas de aplicaciones son hoy lo habitual, facilitan la búsqueda y son una puerta de entrada única a todas las aplicaciones. Facilitan las cosas al usuario medio, pero las convierte en jardines vallados.

Qué es F-Droid #

F-Droid es una alternativa para instalar aplicaciones en dispositivos Android. En lugar de definirse como una tienda, se trata de un catálogo o repositorio de aplicaciones. Una aplicación llamada también F-Droid facilita la navegación por el catálogo desde tu dispositivo, así como la instalación de aplicaciones y el seguimiento de sus actualizaciones.

El proyecto F-Droid se fundó en 2010. El programador británico Ciaran Gultnieks creó la primera versión del cliente a partir del código fuente de otra tienda de aplicaciones alternativa, Aptoide. F‑Droid es una plataforma abierta y transparente, con gran cantidad de documentación disponible. El proyecto se sostiene gracias a donaciones de los usuarios.

F-Droid no requiere que te cres una cuenta ni aportes ninguna información personal para acceder al catálogo o descargar las aplicaciones. Las aplicaciones que descargues o instales no se vinculan a tu identidad.

Podemos distinguir varias partes del proyecto:

• El catálogo de aplicaciones de F-Droid: es un repositorio de aplicaciones que solo incluye las que son libres y de código abierto (FOSS). El proceso de selección e inclusión garantiza que lo son. Todas las aplicaciones, además, están etiquetadas para informarte de características controvertidas.

• La aplicación F-Droid: permite navegar por los distintos repositorios desde un dispositivo Android, ver los detalles de las aplicaciones, instalarlas y mantenerlas actualizadas. Incluye por defecto el catálogo de aplicaciones de F-Droid. No utiliza los Servicios de Google Play.

• La web de F-Droid: permite navegar por el catálogo principal de F-Droid desde cualquier navegador web y ver los detalles de las aplicaciones. También permite descargar el archivo APK de cada aplicación para cualquier propósito, como inspeccionarla o instalarla en un dispositivo que no cuente con la aplicación de F-Droid.

El repositorio principal de F-Droid #

• El proyecto F-Droid compila las apps que ofrece en su repo oficial tomando el código fuente directamente de sus desarrolladores, con el objetivo de podamos verificar que la aplicación final, la que el usuario instala en su dispositivo, no contiene nada diferente ni adicional de lo que podamos ver en su código.

  • Esto implica una construcción reproducible o determinista de aplicaciones. Reproducible builds en F-Droid - Técnicas para generar reproducible builds - Artículo de Nico Alt
    • Requiere confiar en que el servidor de F-Droid donde se realizan las compilaciones no ha sido comprometido.
    • Ocasiona que las actualizaciones tarden en salir un poco más que si se tomaran los APKs directamente de sus desarrolladores.
    • Las comprobaciones de código son básicas y e implican procesos automatizados.
    • Así se minimiza la posible entrada de malware o código no deseado, aún así hay que ir siempre con cuidado.

• Las apps FOSS no solo son de código abierto, sino que suelen promocionar otras libertades relacionadas (aunque no siempre).

  • Que los backends a los que se conectan también sean de código abierto y/o que ofrezcan la posibilidad de autohosting.
  • Que los datos que generen sean en formatos abiertos y portables, de modo que nos los podamos llevar libremente a otra app o entorno y no perder información.

Las apps están debidamente etiquetadas con sus “anti-features” o características controvertidas.

• No se permiten apps que lleven funciones de seguimiento o publicidad, salvo las personalizadas (no se puede evitar por ejemplo que una app mande info a una api de un desarrollador particular de forma “artesanal”).

  • La detección de la publicidad se puede hacer gracias a que, como vimos antes, los nombres de los métodos de Java se mantienen en el byte-code de Dalvik, y los anuncios se insertan de forma programática usando código procedente de ciertas librerías cuyo nombre es identificable.

• Aún así, las comprobaciones que se hacen son automatizadas y básicas. Sigue siendo necesaria una mínima confianza en los desarrolladores.

• Algunas apps son muy difíciles de construir, y por eso no están en el repo oficial.

• Problemas de las apps FOSS

  • Suelen ser más “dolorosas” de usar, menos intuitivas, más sobrecargadas, con una interfaz más pobre. Esto dificulta su adopción, porque requieren más esfuerzo mental.
  • Su escaso uso también se debe a que no se percibe la importancia de la gobernanza comunitaria, la soberanía tecnológica, o el daño que nos ocasiona el extractivismo de datos, ya que son problemas muy abstractos y complejos.
  • No suele haber marketing ni inversiones millonarias, lo que hace el desarrollo lento y pausado.

Otros repositorios no oficiales #

Cualquiera puede hacer un repositorio compatible. Repomaker

• IzzyOnDroid. Binarios obtenidos directamente de los propios desarrolladores. Algunas apps dependen de los servicios de Google Play. Publica más rápido que F-Droid - Listado de apps - Info - Política de inclusión

• Guardian Project - Info - Listado de apps

• Otros - Listado de repos conocidos

El cliente F-Droid #

• F-Droid (oficial)
• Droid-ify. Mejor diseño, añade repositorios no oficiales por defecto.

Listado de apps por categorias #

Frontal alternativo de Google Play #

• Aurora Store

  • Una interfaz alternativa para Google Play que te permite acceder sin que tengas una cuenta de Google.
  • Permite spoofear datos como el modelo del móvil, el idioma, la localizacion, permitiendo tb descargar apps no permitidas en una región determinada.
  • Integra los análisis de Exodus Privacy para conocer los permisos y balizas de seguimiento que usan las aplicaciones antes de instalarlas.
  • Pemite filtrar apps por diferentes criterios (sin publicidad, sin pagos, que no dependan de GSF, por permisos, etc).
  • Pero cuidado, todo esto no impide que las apps que instalemos luego funcionen de forma convencional, con sus trackers, su publi, etc.
  • Además, aunque no usemos una cuenta de Google, sigue enviando info para poder funcionar, y podría hacer fingerprinting a partir de las apps que tenemos instaladas, por ejemplo.

• Más interfaces alternativas para redes sociales y servicios privativos.

Bloqueo de trackers y publicidad #

• DNS66

  • Establece un servicio VPN al que se desvían las rutas de todos los servidores DNS. A continuación, el servicio VPN intercepta los paquetes para los servidores DNS y reenvía todas las consultas DNS que no estén en la lista negra.

Análisis de aplicaciones #

• Exodus

  • Ayuda a conocer qué trackers, loggers y permisos están incrustados en las aplicaciones que tenemos instaladas.
  • La aplicación descarga los reportes que obtiene de la plataforma Exodus y los muestra. Estos informes han sido previamente ejecutados por la plataforma, mediante un análisis estático.

• TrackerControl

• Warden

Utilidades #

• Fossify

  • Son un fork de las Simple Mobile Tools de Tibor Kaputa.
  • Su autor las vendió a ZipoApps en diciembre de 2023. Esta empresa las cerró y pasó a comercializarlas en Google Play.
  • Salieron de F-Droid, se hizo un fork manteniendo su esencia original con el nombre de Fossify y volvieron al repo.

Navegadores #

• Fennec. Es Firefox sin la telemetría. Permite usar los plugins de Firefox (incluyendo uBlock Origin).
• Mull. Es Fennec pero con opciones de mejora de la seguridad activadas por defecto. También permite instalar extensiones.

Chat #

• Mattermost. Similar a Slack, pero con la opción de autohostearlo.
• Element. Cliente para Matrix.
• Conversations. Cliente para XMPP.
• Molly. Cliente para Signal con características extra de seguridad.

Sincronización de contactos y calendario #

• DAVx5. Cliente y sincronización de CalDAV/CardDAV. Te permite sincronizar tus contactos y calendarios sin Google.

Mapas #

• Organic Maps. Aplicación de mapas de OpenStreetMap ligera y navegador GPS que permite descargar los mapas para usarla sin conexión.
• StreetComplete. Busca información incompleta de los alrededores y ofrece al usuario la posibilidad de mejorarla mediante preguntas.
• GraphHopper Maps. Planificador de rutas.
• OSMAnd. Aplicación de mapas de OpenStreetMap y navegador GPS que permite descargar los mapas para usarla sin conexión. Es extremadamente completa en funcionalidades. Aunque es una aplicación de pago, en F-Droid se distribuye gratuítamente la versión completa.

Deporte y fitness #

• Pedometer. Usa el acelerómetro para contar los pasos, siempre activo.
• OpenTracks. Tracker deportivo. Exporta en formato GPX o KML.
• FitoTrack. Fitness tracker. Genera y exporta en formato GPX.

Fediverso #

• Tusky. Cliente para Mastodon.
• PixelDroid. Cliente para PixelFed.
• FunkWhale. Cliente para FunkWhale.
• BookWyrm. Cliente para BookWyrm.
• Eternity. Cliente para Lemmy.

Correo electrónico #

• Thunderbird. Construido sobre el clásico K-9 Mail.
• FairEmail. Cliente de correo electrónico.

Base de conocicimiento #

• SiYuan. Similar a Notion. WYSIWYG, genera markdown.
• Logseq. Similar a Obsidian. Genera markdown y otros formatos.

Música, audio y vídeo #

• VLC. El reproductor universal.
• NewPipe. Frontal para YouTube.
• AntennaPod. Gestor de podcasts.

Teclados #

• Simple Keyboard
• FlorisBoard

Juegos #

• Shattered Pixel Dungeon. Juego RPG de mazmorras (roguelike).
• Apple Flinger. Parecido a Angry Birds.
• Lichess. Ajedrez.

Otras #

• Termux. Subsistema Linux con emulación de terminal y gestión de paquetes.
• KeePassVault. Cliente para KeePass.
• Jitsi. Videollamadas.
• Aegis Authenticator. Gestor de tokens para 2FA.
• Padland. Gestor de documentos colaborativos Etherpad.
• PassAndroid. Visor de Passbook.
• Nextcloud. Cliente para Nextcloud.
• ownCloud. Cliente para ownCloud.