F-Droid y el mandato de Google sobre el registro de desarrolladores

 (f-droid.org)
8 puntos por GN⁺ 2025-09-30 | 1 comentarios | Compartir por WhatsApp
  • F-Droid es un repositorio de aplicaciones que durante 15 años ha permitido instalar de forma segura apps libres y de código abierto para Android
  • A medida que Google exige de forma unilateral a todos los desarrolladores de Android el registro centralizado y la verificación de identidad, la supervivencia de tiendas alternativas como F-Droid queda en riesgo
  • Si esta política se implementa, el proyecto F-Droid y el ecosistema de apps de código abierto recibirán un golpe severo
  • La política de Google parece buscar no reforzar la seguridad, sino fortalecer su dominio del mercado, debilitando la libertad del usuario y la diversidad
  • F-Droid pide a los reguladores y a los usuarios proteger la libertad de operar tiendas de apps alternativas y los derechos de los desarrolladores

Resumen del mandato de Google sobre el registro de desarrolladores y F-Droid

  • Durante 15 años, F-Droid ha sido un repositorio que ofrece a los usuarios de Android aplicaciones libres y de código abierto, seguras y verificadas
  • A diferencia de las tiendas de apps comerciales, en especial Google Play Store, F-Droid prioriza la privacidad del usuario y la transparencia, y solo distribuye apps sin anti-features que perjudiquen al usuario, como publicidad o rastreadores
  • El equipo de F-Droid revisa el código fuente público de las apps, luego las compila y distribuye; en ese proceso, los paquetes se firman con las claves criptográficas de F-Droid o con la clave personal del desarrollador
  • A través de F-Droid, los usuarios pueden instalar apps confiables basadas en código fuente públicamente verificado
  • Ofrece soluciones centradas en la privacidad, como apps del clima que no envían datos personales a corredores de datos o agendas que no filtran información a redes publicitarias

Anuncio de la política de registro de desarrolladores de Google e impacto

El mes pasado, Google anunció de forma unilateral la obligación de registro centralizado para todos los desarrolladores de Android

  • Exige pago por el registro de desarrollador, entrega de documentos de identidad (como identificaciones oficiales) y registro de un identificador único para cada app que se vaya a distribuir (nombre de paquete)
  • El proyecto F-Droid no puede obligar a los desarrolladores a registrarse con Google, ni tampoco puede monopolizar los identificadores de las apps de código abierto
  • Si esta política entra realmente en vigor, F-Droid y la mayoría de las tiendas de apps alternativas similares quedarían, en la práctica, ante el riesgo de dejar de operar
  • Los usuarios incluso perderían la posibilidad de instalar o actualizar apps de código abierto confiables
  • Como F-Droid no rastrea a sus usuarios ni tiene sistema de registro de cuentas, ni siquiera conoce cuántos usuarios tiene

Problemas del enfoque de seguridad y centralización

Google justifica el registro centralizado y las restricciones a la instalación directa con el argumento de la seguridad, pero en realidad se trata de una afirmación engañosa

  • Incluso en Google Play Store se han encontrado y eliminado apps maliciosas de forma reiterada
  • F-Droid garantiza confianza en la seguridad mediante mayor transparencia, con código fuente abierto / proceso de compilación completamente público / compilaciones reproducibles
    Google ya puede detectar y neutralizar apps maliciosas en los dispositivos mediante el servicio Play Protect
    El riesgo real puede abordarse suficientemente reforzando la educación del usuario, la transparencia y las medidas de seguridad existentes
    Un sistema de registro centralizado debilita la diversidad del ecosistema y la capacidad de expansión del código abierto, y termina concentrando el control en unas pocas grandes corporaciones

Derechos del usuario y libertad del software

Quien es dueño de una computadora, incluido un smartphone, tiene el derecho de ejecutar cualquier software que desee

  • Exigir a los autores registro centralizado obligatorio y verificación de identidad para distribuir apps choca con la libertad de expresión y la libertad de creación
  • Al vincular los identificadores de apps con la verificación de identidad personal y una tarifa de registro, Google está elevando en la práctica las barreras de entrada al ecosistema alternativo
    Para garantizar una competencia sana y la libertad de elección de los usuarios, Google debe proponer una solución adecuada

Propuesta y petición de F-Droid

F-Droid insta a las autoridades regulatorias y organismos de política de competencia a examinar con atención si Google está reforzando un control monopólico bajo el pretexto de la seguridad

  • Se necesita protección normativa para que las tiendas de apps alternativas y los proyectos de código abierto puedan operar libremente
  • Es importante proteger a los desarrolladores que no están de acuerdo con sistemas de registro obligatorios y excluyentes

Los desarrolladores y usuarios pueden hacer llegar su voz a organismos reguladores, como legisladores o la Comisión Europea, o participar en firmas para defender la libertad digital

  • Con ello, pueden contribuir no solo a la continuidad de F-Droid, sino también a crear un entorno en el que el software siga siendo un bien público y se preserve la capacidad de elección de todos los usuarios

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-30
Opinión de Hacker News

  • F-Droid me da la impresión de que se diferencia de otras tiendas de apps porque en el proceso de distribución se enfoca en el beneficio del usuario y solo ofrece apps verificadas. Una vez no pude encontrar una app de Simple™ en F-Droid y así me enteré de forma natural de que SimpleMobileTools había sido adquirida por una empresa y que su código fuente se volvió cerrado, y también supe que existía un fork libre llamado Fossify (issue sobre la adquisición de SimpleMobileTools, GitHub de Fossify). Si la hubiera instalado desde Google Play, probablemente habría ignorado esos cambios y seguido recibiendo las actualizaciones del nuevo propietario. Cada tienda de apps tiene sus pros y sus contras, pero esto me hizo sentir con fuerza lo importante que es que existan distintos marketplaces

    • Este fin de semana tuve que enviar un archivo PNG por correo y busqué una app de compresión de imágenes en Play Store. Descargué cinco apps con millones de descargas y todas estaban llenas de recolección de datos y publicidad. Cuando quise pagar para quitar los anuncios, solo había trampas como “prueba gratis y luego suscripción de 5 dólares al mes” o compra vitalicia de 19 dólares. En realidad eran solo envolturas de bibliotecas ya existentes, y además las reseñas estaban claramente manipuladas. Volví a descargar apps de Play Store por primera vez en un año y fue tan malo que resolverlo directo en el navegador fue más rápido

    • El caos con SimpleMobileTools y la respuesta de F-Droid son un ejemplo perfecto de lo vacía que es la justificación de “seguridad” detrás de prohibir el sideloading y exigir registro de desarrolladores, y de cómo en realidad resulta dañina

    • Antes usaba las apps de Simple y luego dejaron de llegar noticias; hoy agradezco haberme enterado del motivo. Necesitamos diversidad real en el ecosistema

    • No sabía que Fossify era un fork de SimpleMobileTools. Me entero ahora, y como tenía apps de ambos mezcladas en el teléfono, decidí cambiarme a Fossify. Al final, que la app de calendario no estuviera funcionando bien era porque las actualizaciones se habían detenido

    • Coincido en que, si no fuera por F-Droid y por investigar por cuenta propia, habría sido difícil tomar una decisión así

  • Envié comentarios al equipo de la DMA de la Unión Europea sobre la política de verificación de desarrolladores de Google y recibí respuesta. La UE indicó que incluso los Gatekeepers como Google deben permitir instalar apps a través de tiendas de terceros o de la web y, al mismo tiempo, permite de forma inevitable medidas de seguridad que sean esenciales y proporcionales. Pero en la práctica la DMA más bien está reforzando la posición monopólica de Google y Apple

    • Soy el autor. También participé en talleres regulatorios de la UE y en el proceso de ejecución, y la lógica de las “medidas estrictamente necesarias y proporcionales” aparece una y otra vez. Desde la perspectiva de un desarrollador, esta cláusula se interpreta como que las tiendas de apps de terceros no deben neutralizar mecanismos de seguridad del dispositivo como el sandbox o la verificación de firmas, pero en la práctica los Gatekeepers la interpretan a su conveniencia para esquivar la regulación. Apple también vuelve a firmar y cifrar todo el software distribuido en tiendas de terceros mediante un sistema de notarization, que en la práctica es una “revisión”, y Google está introduciendo la misma política en todo el ecosistema de dispositivos Android. Estamos ante una situación en la que miles de millones de móviles en todo el mundo quedarían efectivamente bajo el gatekeeping de dos empresas estadounidenses. Aún no hay suficiente sentido de urgencia. Los usuarios de Android deberían instalar F-Droid y rechazar renunciar a sus derechos al software libre

    • Me parece mucho pedir esperar que el órgano ejecutivo de la UE tome conclusiones o medidas de cientos de millones con base en la denuncia de un solo ciudadano. Es un tema que requiere análisis legal y técnico. Además, una respuesta insuficiente o una reacción tibia no bastan para concluir que la DMA pretende o permite reforzar el duopolio Android-iOS

    • La respuesta fue tan mecánica y pasiva como esperaba. Si contactas a un eurodiputado (MEP), quizá podrías escuchar una postura más firme, pero el equipo de la DMA no va a tomar una decisión por un solo correo. Aun así, por el aviso de F-Droid espero que Google termine siendo criticada y sancionada igual que Apple. Dicho eso, también creo que ganar tiempo podría ser la verdadera intención de Google

    • No soy experto legal, pero la redacción de “medidas estrictamente necesarias” se está interpretando de forma excesivamente amplia. Los lobistas meten cláusulas fuera de toda lógica sobre acceso, autenticación reforzada y demás bajo el argumento de la seguridad, y las presentan como excepciones “razonables”, cuando en realidad se usan para controlar la distribución de apps. También es difícil sostener que algo usado sin problemas durante décadas sea de repente “esencial” ahora

    • Se trata de un intento de impedir que se instalen desde F-Droid apps de mensajería abiertas y seguras como Signal para evitar la vigilancia. Si la UE sigue así, hasta dan ganas de pensar que la decisión del Brexit del Reino Unido pudo haber sido mejor. Estados Unidos nos impone aranceles y aun así la UE solo termina sacando políticas favorables para el Big Tech estadounidense

  • F-Droid ha liderado de forma excelente el ecosistema de tiendas de apps alternativas durante más de 15 años, y creo que en este asunto hay que escuchar su postura. Si hay empleados de Google leyendo esto, les pediría que esta vez apoyen internamente el argumento de F-Droid. Bloquear incluso software anónimo, aunque sea bienintencionado, cruza una línea peligrosa para el ecosistema abierto. Hoy es Play Store; mañana podría cerrarse también la web, y me parece un asunto muy serio

    • Sinceramente, siento que dentro de Google hoy la mayoría solo está pendiente de los beneficios de la empresa o de su propia supervivencia. Su única preocupación sería sobrevivir a la siguiente ronda de despidos

    • Soy el autor. Google ya había considerado hace algunos años introducir un sistema de certificación parecido, pero retrocedió después de escuchar la opinión de F-Droid sobre el caos que eso provocaría. Esta vez no hubo ningún contacto. Si alguien quiere dialogar, puede escribirme cuando quiera (vean el correo de F-Droid o mi perfil de Signal)

    • Más que llamarlo un bloqueo al software anónimo, el problema es que por la forma en que Google lo implementa, F-Droid mismo queda golpeado técnicamente. Aunque fuera un daño no intencional, en la práctica su propia existencia queda amenazada

    • No estoy de acuerdo con la expresión “la mejor de las opciones imperfectas”. No creo que el sistema actual tenga un problema. Desde la época del G1 he instalado libremente cualquier APK y para el usuario eso es perfecto. En todo caso, lo que molesta a Google son las apps que interfieren con sus ingresos publicitarios, como ReVanced o PipePipe; para los usuarios no hay ningún problema. Hasta me gustaría sugerirles que mejor vendan Android OS por 30 dólares

  • Durante años también tuve herramientas que hice yo mismo, incluidas apps de Android que usaba personalmente, pero si esto sigue así planeo dejar por completo el desarrollo para Android. Recomiendo a otros desarrolladores tomar la misma postura. Este cambio solo va a cerrar totalmente la plataforma y es un punto sin retorno. Lo atractivo de Android es que tengo Linux en la mano, y lo que Google debería hacer es facilitar el acceso root. Al final, creo que la última plataforma libre que queda es Firefox, así que voy a concentrarme en hacer herramientas web que funcionen bien en Firefox, tanto móvil como de escritorio

    • Desarrollar para Android e iOS ya es demasiado difícil, y a veces lo basado en navegador es mejor que lo nativo, así que pienso empujar todo lo posible hacia la web de aquí en adelante

    • Dejé de desarrollar para Android precisamente por la forma en que Google interpreta la normativa de la UE. No me gustó que todas las direcciones de los desarrolladores tuvieran que hacerse públicas. No me sorprende nada la situación actual

    • Me gustaría escuchar una explicación de cuál es tu flujo de trabajo concreto. Yo al final terminé porteándolo a Emacs lisp

    • En vez de mirar solo a Firefox, recomendaría apuntar de una vez a otras plataformas como Linux o BSD

    • Llegué a la conclusión de que ni Android ni iOS ya valen la pena. Incluso me preparé para usar nativo multiplataforma (Futter y similares), pero la molestia de empaquetar, revisar y distribuir para cinco sistemas distintos es enorme. Las webapps son cada vez más la corriente principal y creo que lo nativo ya es un juego terminado

  • Siento que no solo Google está actuando mal por su cuenta, sino que el entorno regulatorio mundial también está contribuyendo a limitar la capacidad de elegir y la libertad del consumidor. Intenté instalarle Thunderbird Mail a mi hijo de 17 años y al final desistí por todo tipo de restricciones, como problemas de verificación de edad. Al final, gracias a F-Droid pudo empezar a desarrollar apps. Parece que para las autoridades la libertad se ve como evasión o como una forma de saltarse reglas. Yo uso deliberadamente Flathub, arch, debian y f-droid en lugar de las tiendas de Apple/Google/Microsoft, y solo compro dispositivos sin sistema operativo. La gente común y los desarrolladores de código abierto ni siquiera tienen oportunidad de participar en la creación de normas de la industria, y todo debe adaptarse a lo que piden los gobiernos. Me preocupa cuánto más se permitirá el FOSS en el futuro

    • En realidad son las grandes empresas como Google las que hacen lobby por estos estándares de la industria para que los desarrolladores solo puedan publicar sus apps en sus propias tiendas

    • Esto me recuerda un episodio gracioso de Calvin & Hobbes donde tirar correo basura te convertía en sospechoso de terrorismo. Ahora el ambiente hace que instalar mi propio software en mi propio dispositivo te haga parecer “hacker”

    • Desde la perspectiva de F-Droid, este caso es claramente una respuesta regulatoria. Está conectado tanto con la DMA como con el litigio de Epic. Parece que Google quiere mantener AOSP mientras refuerza el control sobre la distribución de apps. Pero como a futuro de todos modos tendrá que depender en parte del código abierto, no creo que le resulte fácil imponer un cierre total. Hoy el código abierto, especialmente en IA, está aún más activo y produce muchos resultados excelentes. Google, Apple y Microsoft quieren ecosistemas cerrados, pero tampoco quieren quedar atadas al ecosistema de un competidor. El entorno regulatorio claramente es una amenaza para el código abierto, pero quizá el futuro de la libertad termine quedando en Estados Unidos. Por otro lado, como desarrolladores y usuarios dependen demasiado de Android, siento que la presión de “solo puedes desarrollar si pagas” sería el peor incentivo posible

  • Es una lástima que en la discusión actual no se estén abordando lo suficiente los problemas que generan las nuevas reglas de distribución para apps que incluyen componentes GPLv3. Según GPLv3, también hay que proporcionar al usuario final todos los medios para compilar y ejecutar por cuenta propia, incluidas las claves, pero con los nuevos requisitos de Google eso es técnica y prácticamente inviable

    • Debido a este problema, al final tanto Google como Apple podrían enfrentar la misma controversia sobre compatibilidad con la licencia GPL. Personalmente sigo pensando que tanto la GPL como ambas plataformas pueden coexistir. En Play Store y App Store ya hay mucho software GPL como Signal, Element y Wordpress. La exigencia obligatoria de registro de desarrolladores podría volver a poner sobre la mesa el tema de la convivencia con la licencia. Blog relacionado

    • Los detalles legales importan, pero en la práctica se aplicará igual que la política de App Store de Apple, y la FSF considera que no es compatible texto relacionado de la FSF

    • Según mi interpretación, esta cláusula aplica a los proveedores que venden dispositivos integrados con software GPLv3, como teléfonos. En cambio, que un desarrollador distribuya una app GPLv3 no parece un gran problema, y da la impresión de que cumplir la licencia sería posible si se pasa por el registro de desarrollador de Google

  • Creo que ahora hay que ver los teléfonos desde otra perspectiva. Poco a poco desaparece la libertad de ejecutar apps personales, y quedan solo como herramientas para recolección de datos, publicidad y adicción. A la vez, tienen la contradicción de ser artículos indispensables en la vida diaria. Yo ahora mantengo el teléfono apagado y solo lo enciendo cuando lo necesito, por ejemplo para 2FA, y luego lo vuelvo a apagar

    • Coincido con esa visión. En escritorio, servidores y laptops todavía sigue vivo el cómputo de propósito general, pero solo los smartphones y tablets se están convirtiendo en dispositivos restringidos. La mayoría de los usuarios parece querer incluso más restricciones, y aunque defendamos la libertad y la posibilidad de elegir, nuestra voz se pierde por ser minoritaria. Yo uso mi smartphone solo para servicios donde la vigilancia constante ya viene por defecto, y las tareas importantes las hago únicamente en una computadora seria

    • Gracias a F-Droid todavía uso teléfono. Tengo las apps de Google bloqueadas de la red con Rethink VPN. Si este cambio llega a aprobarse, pienso sacar la SIM y ponerla en un teléfono normal, y dejar el smartphone solo para navegación offline y medios

    • Si tengo que poder recibir llamadas del jardín infantil o algo así, no sé qué haría. Estoy pensando si tendría que usar un feature phone de verdad, tipo 3310

  • Esta política de verdad es un desastre. Ya no van a quedar teléfonos completamente libres. Si ya no se pueden instalar APK ni usar torrents, siento que hasta sería mejor cambiarme a iPhone para que al menos me rastreen menos y tener seguridad

    • Recomiendo probar Ubuntu Touch. Tiene una comunidad activa y, si eres desarrollador, puede ser especialmente divertido. Escapar de un tiburón, el ecosistema corporativo, para caer en otro no es la solución. Publiqué una app en Ubuntu Touch Store y el proceso fue muy simple, desde llenar el formulario hasta recibir feedback de inmediato

    • Por otro lado, me pregunto si un teléfono Android de Google alguna vez fue realmente un sistema abierto. Siguen existiendo otros sistemas operativos realmente abiertos o linux phones, y creo que incluso podrían volverse más atractivos o más populares

    • Pero si haces eso, también tienes que aguantar la incomodidad del ecosistema de Apple: políticas que aprietan el ecosistema de apps, dificultad para sacar tus datos, y problemas de espacio de almacenamiento insuficiente en cada dispositivo, entre otros

    • No pienso volver a gastar dinero en Apple. También es el origen de todo este tipo de políticas, y cuando Apple empieza a quitar un derecho, Android no hace más que seguirla después

  • La era actual de la computación vive una realidad grave de dispositivos bloqueados. Los SoC de semiconductores, los drivers cerrados y las restricciones al usuario son lo normal. Irónicamente, después del auge del hacking en la época del “jailbreak” del iPhone, las empresas se dieron cuenta de que eso era rentable. La UE provocó cierto cambio al exigir permitir apps fuera de la app store, pero habría bastado con poner un simple “switch” para que el usuario decidiera si aceptar o no el riesgo en su dispositivo; en cambio, se rodeó con un sistema complejo de provisioning. Ahora Google/Android está siguiendo la misma lógica, y de hecho ya se está aplicando con la “bendición” de ciertos gobiernos como Brasil, Indonesia, Singapur y Tailandia. En esas regiones, todas las apps pasan a ser instalables solo si provienen de desarrolladores registrados

    • Como residente de Singapur, lo siento en carne propia. Me gustaba usar F-droid, pero al cambiar de dispositivo ya ni siquiera puedo acceder a carpetas de datos con cosas como shizuku, y estoy llegando al punto de tener que considerar root o una custom ROM

    • Incluso si solo se permite “distribución de apps por desarrolladores verificados”, creo que los estafadores perfectamente pueden pagar unas decenas de dólares y registrar una identidad prestada

    • Entiendo el contexto de que hay muchas estafas y de que el gobierno quiera impedirlas de alguna manera. Seguirá siendo posible instalar directamente usando un cable o por adb, y eso podría reducir la cantidad de víctimas. Ahora engañar a un desarrollador fraudulento para que se registre se vuelve bastante más molesto y difícil

  • Estuve esperando a ver la postura o el anuncio de fdroid, y como era de esperarse, el movimiento de Google es tan grave como imaginé la primera vez que oí hablar de esto. El desarrollo para Android empeora cada año, y me preocupa que esta tendencia también se extienda a la web

    • El sistema de verificación de edad web de la UE va a depender de funciones de seguridad del dispositivo en Android/iOS issue relacionado. Al final, para lograr un control interno y externo al nivel de China, habría que excluir de la web los dispositivos bajo control del usuario, así que también se puede inferir hacia dónde podrían ir las futuras políticas

    • Mientras Google intenta controlar por completo también la web, el problema es que muchos desarrolladores culpan a Firefox/Safari de frenar el avance de la web cuando bloquean nuevas Web API por considerarlas problemáticas. Si a eso se suma la proliferación de apps basadas en Electron, existe la posibilidad de que la web también termine yendo en una dirección cerrada