Al instalar apps de Android, se exigirá verificación del desarrollador en todos los casos, incluido el sideloading

 (9to5google.com)
8 puntos por GN⁺ 2025-08-26 | 4 comentarios | Compartir por WhatsApp
  • Google planea cambiar esto para que, a partir de 2026, solo las apps de desarrolladores verificados puedan instalarse en dispositivos Android certificados
  • Esta política se aplicará a todos los métodos de instalación, e incluye no solo la Play Store, sino también tiendas de apps de terceros y la instalación directa de archivos APK
  • Google explica que introduce esta medida para reforzar la prevención de apps falsas y maliciosas y bloquear a actores maliciosos reincidentes
  • Se prepararán procesos de verificación separados para desarrolladores no comerciales (estudiantes, desarrolladores por hobby) y desarrolladores comerciales
  • A partir de septiembre de 2026, Brasil, Indonesia, Singapur y Tailandia serán los primeros países donde se implemente, y en 2027 se ampliará al resto del mundo

Resumen de la nueva política de verificación de desarrolladores de apps Android de Google

  • Google planea que, a partir de 2026, para prevenir malware y fraude financiero, solo puedan instalarse en dispositivos Android certificados las apps creadas por desarrolladores verificados
  • Esta política se aplicará a dispositivos compatibles con Play Protect y a dispositivos con apps de Google preinstaladas, y abarcará todas las rutas de instalación: no solo la Play Store, sino también tiendas de apps de terceros y el sideloading directo de APK

Detalles de la política

  • En la Play Store de 2023 ya se introdujo un requisito similar de verificación para desarrolladores, pero en adelante se aplicará por igual a todas las rutas de instalación y distribución
  • Google explica que es parecido a una “verificación de identidad (ID check) en un aeropuerto”, y que solo verifica la identidad del desarrollador, sin importar el contenido o el origen de la app
  • El objetivo es impedir que quienes distribuyen apps maliciosas publiquen de inmediato nuevas apps dañinas tras la eliminación de una anterior, y reducir el daño causado por apps falsas convincentes
  • Según la investigación de Google, la tasa de malware en apps instaladas por sideloading a través de internet es más de 50 veces mayor que en la Play Store

Impacto para usuarios y desarrolladores

  • Se seguirá garantizando la libertad de distribución de apps, y los desarrolladores podrán ofrecer sus apps a los usuarios de la manera que prefieran
  • Se creará una Android Developer Console independiente para desarrolladores que distribuyen exclusivamente fuera de Google Play, y los estudiantes y desarrolladores por hobby tendrán un flujo de verificación distinto al de los desarrolladores comerciales
  • Es probable que los desarrolladores que distribuyen a través de Google Play ya cumplan con los requisitos correspondientes en Play Console (en el caso de organizaciones, se requiere número D-U-N-S)
  • A partir de octubre de 2024, algunos desarrolladores podrán iniciar el proceso de verificación, y está previsto abrirlo de forma general en marzo de 2026

Calendario de implementación y países aplicables

  • En septiembre de 2026, Brasil, Indonesia, Singapur y Tailandia serán los primeros países en aplicarlo
    La razón es que en estos países el daño causado por este tipo de apps fraudulentas ha sido especialmente alto
  • A partir de 2027, está prevista una implementación global completa
  • En los dispositivos Android certificados de determinadas regiones, solo se podrán instalar apps registradas por desarrolladores verificados

Reacción de instituciones clave y gobiernos

  • El Ministerio de Comunicación e Información de Indonesia lo evaluó como algo que “logra un equilibrio entre mantener la apertura de Android y proteger a los usuarios”
  • El Ministerio de Economía y Sociedad Digital de Tailandia dijo que es una “medida de seguridad positiva y proactiva”, y señaló que está alineada con la política nacional de seguridad digital
  • La federación bancaria de Brasil (FEBRABAN) lo describió como un “avance significativo para proteger a los usuarios y garantizar la rendición de cuentas”

Lecturas relacionadas

4 comentarios

 
bus710 2025-08-27

Yo uso una app llamada audio share descargando solo el APK desde F-Droid, así que me pregunto qué pasará con eso en el futuro. De hecho, es la única app que tengo por sideloading...
 
unsure4000 2025-08-26

Si de verdad el sideloading queda prácticamente bloqueado, para mí tendría menos ventajas que iOS. Creo que ambos ofrecen funciones casi muy parecidas y, en UX, iOS tiene una ligera ventaja, pero considero que el sideloading es una gran ventaja de Android. Mi sueño era usar un Google Pixel con GrapheneOS instalado, pero si además de que el código fuente de Pixel deje de ser público ahora también sale esto del bloqueo de facto del sideloading, entonces ya no tendría motivos para usar Android. Si sale así, probablemente vuelva a iOS en 2027.
 
tribela 2025-08-26

Me preocupa si incluso quienes desarrollan una app por su cuenta para uso personal también tendrán que obtener la verificación de desarrollador..
 
GN⁺ 2025-08-26
Comentarios en Hacker News

  • La decisión de Google de verificar la identidad de los desarrolladores que distribuyen apps en todo el ecosistema Android, incluyendo el sideloading, es algo completamente difícil de aceptar; es como si para ejecutar un programa en Windows hubiera que entregar tus datos personales a Microsoft. Una política así no va a terminar yendo en la dirección deseada

    • En adelante, incluso antes de que Google cambie su política, predigo que Microsoft terminará tomando el mismo camino en Windows; es un futuro donde se combinan el problema del malware, el control de la plataforma y el impacto de la regulación gubernamental
    • Nunca me metí demasiado en la programación para "teléfonos", pero estuve esperando a que el mercado se estabilizara, y en realidad está empeorando. Además, en muchas partes del mundo el teléfono es el único dispositivo de cómputo que tiene la gente
    • Siento que Google tiene agarrado con puño de hierro todo el ecosistema. Últimamente los fabricantes de smartphones están haciendo cada vez más difícil desbloquear o modificar los dispositivos, y Google junto con los desarrolladores de apps tienden a verificar si el equipo corre un sistema aprobado por Google usando tecnologías equivalentes al TPM de hardware. Las plataformas alternativas siguen décadas atrás en el ecosistema de apps, así que creo que Google podría simplemente imponer esta política
    • Microsoft Windows también va en esa dirección: la función Smart App Control ya empezó a aplicarse en algunas regiones, y sin un certificado para firmar código no se ejecutan los .exe Más sobre Smart App Control
    • Mucha gente puede oponerse a este tipo de políticas, pero en la práctica casi no hay opciones. Pasarse a iOS no trae libertad, y los Linux phones todavía están lejos de ser viables para uso real, así que uno termina preguntándose si la única salida es volver a dispositivos viejos tipo flip phone donde instalar apps ya de por sí es difícil

  • Que esto esté pasando cuando en la práctica solo existen dos OS de smartphone es un problema gravísimo. Como no pueden prohibir el cifrado en sí, los gobiernos van erosionando poco a poco la seguridad y la privacidad con cosas como esta verificación de identidad. En la página oficial de políticas de Google incluso dice “se requiere subir una identificación oficial” Guía de la política. Creo que este tipo de políticas podría eventualmente revertirse por el enojo de la gente, y recomiendo pasarse lo más posible a OS móviles alternativos

    • Creo que esta política debería generar indignación masiva, pero en la realidad habrá muy poca gente interesada y será difícil que se convierta en tema. Incluso las demandas actuales sobre sideloading solo fueron posibles porque estaban directamente ligadas a los intereses de grandes empresas como Epic
    • Que el mercado de smartphones tenga solo dos OS grandes tampoco es algo tan especial; el mercado de OS de escritorio también tuvo una estructura parecida. Al final es un tema de expectativas de los usuarios
    • Me pregunto cuál sería exactamente el problema de instalar un OS alternativo sin certificación Play Protect
    • No espero que la tendencia totalitaria actual termine pronto
    • Pensar que la indignación pública va a hacer que retiren la política es poco realista. Incluso si al final uno puede influir votando o de otras maneras, la mayoría de los candidatos también está condicionada por Google y similares, así que el límite estructural es clarísimo

  • En los últimos diez años mi descontento con Android e iOS ha ido creciendo. Las plataformas se volvieron más hostiles al usuario, y las tiendas de apps están llenas de aplicaciones malas repletas de invasión de privacidad, tracking, publicidad y mecanismos de adicción. Extraño la innovación de los primeros años de las apps móviles y hasta la época del Palm Pilot. Me pregunto si alguien realmente está resolviendo este problema; sin duda podríamos construir un entorno digital mejor

    • Creo que el cambio real empezaría si volviéramos al modelo de compra única en vez de suscripción a apps. Pero todos los actores son demasiado codiciosos, así que no parece fácil
    • Personalmente quedo muy satisfecho cuando uso la combinación de GrapheneOS con F-Droid. Siempre me sorprende usar el smartphone de otras personas. Si GrapheneOS sacara su propio dispositivo, lo compraría sí o sí y lo recomendaría activamente
    • La alemana Vollo vende dispositivos atractivos que pueden ejecutar de forma opcional Android personalizado y Ubuntu Touch, y en Países Bajos también hay opciones como Fairphone Vollo Fairphone
    • La “época nostálgica” del viejo Android e iOS todavía puede disfrutarse bastante hoy, y al mismo tiempo conviene aprovechar un rato esta nueva etapa de cambios con LLM y demás
    • La situación de las plataformas de smartphone es realmente grave, y ya se empieza a ver que algunos usuarios se están alejando poco a poco de los smartphones, aunque no creo que eso llegue a masificarse

  • Contrario al eslogan de “les damos a los desarrolladores la libertad de elegir entre sideloading o cualquier app store; esa es la definición de un sistema abierto”, en la práctica todo se está volviendo más cerrado. Y ver que organizaciones como “Developer’s Alliance” apoyan esta política también hace dudar de si realmente están del lado de los desarrolladores. En realidad, creo que muchos grupos que respaldan positivamente estas políticas suelen estar conectados con grandes empresas o con gobiernos

    • Como la dirección de Developer’s Alliance está en un coworking space de Washington DC, sospecho que hay alta probabilidad de que sea una organización de papel para hacer PR de la política, lo que en términos técnicos se llama astroturfing

  • El artículo casi no hablaba del proceso de aprobación de cuentas, pero da la impresión de que Google quedaría con una estructura donde puede conceder o retirar arbitrariamente la autorización para distribuir apps. Sería el inicio del gatekeeping en una plataforma abierta. Personalmente, creo que bastaría con un aviso al instalar apps sin firma o con activar una opción en la configuración. En Windows pasa algo parecido: a los ejecutables sin firma les muestra una advertencia y los firmados se ejecutan directamente

    • Me preocupa un poco que esta estructura termine siendo el primer paso hacia algo como prohibir apps NSFW al estilo de Steam

  • Además del tema de privacidad, me pregunto si este cambio de política no volverá casi imposible hacer builds locales de proyectos open source. Antes la idea era compilar localmente y firmar con la propia clave del desarrollador, pero la nueva política parece atar el nombre del paquete a la identidad, así que quizá ya no se pueda firmar con la clave de otra persona. Quisiera saber si estoy recordando mal o si el proceso cambió

    • El repositorio en sí es un directorio de archivos, así que también se puede cambiar el namespace, pero todo ese proceso es demasiado engorroso. Tener que preparar por tu cuenta una clave de firma de Android y además entregar tu identidad empeora muchísimo la experiencia de uso. Al final, si no eres una “persona aprobada”, se vuelve difícil ejecutar en dispositivos certificados por Google apps compiladas directamente por uno mismo

  • Si esta política se vuelve realidad, en el mercado móvil ya no quedaría ninguno de estos dos tipos de OS: a) uno donde se puedan instalar apps sin acuerdos con terceros, y b) uno donde se puedan usar apps de seguridad mainstream, sobre todo apps bancarias

    • En adelante es muy probable que incluso para escritorio solo se pueda acceder a la banca desde OS y navegadores certificados
    • Yo simplemente lo desactivaría y elegiría apps donde la banca funcione vía web. Muchas de mis apps son por sideloading, también tengo varias publicadas en Play Store, y es bastante común que los propios desarrolladores suban su información

  • El anuncio oficial puede consultarse en los siguientes enlaces Blog oficial de Google Detalles de la política Soporte de Google Play. Como en Play Store hay muchas apps maliciosas, no creo que los procedimientos actuales de verificación estén dando mucho resultado. Esta nueva política parece más bien una herramienta para que Google bloquee permanentemente apps como Revanced, es decir, para reforzar su poder. Me decepciona que lo vendan con el argumento de la “seguridad” mientras cosas realmente importantes, como la configuración de permisos de internet, permanecen ocultas por el tema del bloqueo de anuncios por parte de los usuarios. No entiendo la frase “solo verificamos quién es el desarrollador, no revisamos el contenido de la app”; al final, ¿no habría que mirar al menos algo del contenido para que realmente haya seguridad? Tampoco se menciona en el anuncio oficial ningún bypass como desactivar Play Protect, así que parece que no será posible. Por eso ahora me da por pensar que Linux y Windows son las únicas plataformas verdaderamente libres para desarrollar. Quiero desarrollar sin cuenta de Google

    • En realidad se pueden exfiltrar datos incluso sin permiso de internet. Basta con que el atacante envíe al navegador un intent que haga consultas a su propio sitio
    • No se sabrá hasta que la política entre en vigor si desactivar Play Protect permitirá esquivar la restricción. Si eso fuera posible, lo más probable es que Play Protect termine bloqueando todo salvo apps “permitidas/notarized”. En ese caso todos los desarrolladores existentes tendrían que pasar por el proceso de verificación. La intención del anuncio también parece apuntar a eso, aunque sigue siendo incierto cuántos usuarios podrán desactivar esa verificación
    • También despierta sospechas de que en realidad no se trata de seguridad, sino de políticas tipo KYC o sanciones
    • Si se exige verificación de identidad empresarial, sí podría haber cierto efecto para frenar apps falsas que imitan bancos. Registrar la clave pública por nombre de paquete también sirve para evitar la instalación de versiones modificadas con malware. APKMirror también verifica firmas, pero si de verdad estás en una situación donde solo puedes bajar apps desde rutas poco confiables, un sistema así puede ser algo necesario para comprobar si son originales. Puede funcionar, incluso sin analizar el contenido del paquete, de forma similar al sistema de seguridad web con certificados EV SSL
    • Me gustaría escuchar más explicación sobre cuál es exactamente esa configuración oculta de control de acceso a internet en Android

  • Si esta política se impone mediante Play Protect, se podría desactivar fácilmente con un comando como este

    adb shell settings put global package_verifier_user_consent -1

    Se puede desactivar Play Protect sin root. No quiero verme obligado a establecer una relación comercial con Google solo para distribuir apps open source. Si eso significa que solo los usuarios que desactiven globalmente Play Protect podrán instalar mis apps, pues ni modo

    • Imagino que Google no tardará en bloquear también este método con la excusa de “detener estafadores” o algo por el estilo
    • Me pregunto qué cosas rompería realmente este método

  • Uno se pregunta cómo llegamos a tolerar una situación así. En realidad fue por ir aceptando una cantidad enorme de pequeñas restricciones hasta terminar aquí. Antes, cuando alguien alrededor planteaba estas preocupaciones, la reacción solía ser burlarse y decir “estás exagerando, no pasa nada”. Y al final esta realidad sí llegó

    • Es un flujo de cambio permanente, como la expresión eternal september
    • Hay gente que habla como si esto no les afectara porque usan OS alternativos como GrapheneOS o Calyx, pero al final igual están río abajo de esta tendencia. El verdadero valor de Android para usuarios comunes y hackers siempre fue la estandarización de la interfaz
    • Nosotros nunca tuvimos ningún control real sobre la situación; la verdadera responsabilidad recae en Google y sus empleados, que cambiaron la libertad de los usuarios por ganancias y carrera profesional. Lo que vivimos ahora es uno de los tropiezos del capitalismo tardío