De qué hablamos cuando hablamos de sideloading | F-Droid

 (f-droid.org)
1 puntos por GN⁺ 2025-10-29 | 1 comentarios | Compartir por WhatsApp
  • Se critica que la nueva política de registro de desarrolladores de Google limita la libertad del dispositivo y la capacidad de elegir software de los usuarios de Android
  • Google afirma que “el sideloading no va a desaparecer”, pero en la práctica cambia a una estructura en la que toda distribución de apps debe pasar por un proceso de aprobación de Google
  • Esta política prácticamente priva a los usuarios de la libertad de instalar apps por sí mismos o de usar repositorios de código abierto como F-Droid
  • Google presenta esto como un refuerzo de seguridad, pero la repetición de casos de apps maliciosas dentro de Play Store mantiene la polémica sobre su confiabilidad
  • Se subraya la necesidad de una respuesta social y de políticas públicas para proteger la apertura y la soberanía digital del ecosistema Android en todo el mundo

Refutación a la afirmación de Google de que “el sideloading no va a desaparecer”

  • Google indicó en un video de Android Developers Roundtable y en su blog que “el sideloading es parte central de Android y no va a desaparecer”, pero F-Droid sostiene que eso no es cierto
    • El nuevo decreto de verificación de desarrolladores (developer verification decree) pone fin, en la práctica, al derecho de las personas a instalar libremente el software que quieran
  • Se explica que el propio término “sideloading” fue creado artificialmente y que, en esencia, no es más que el simple acto de ‘instalar (installing)’
    • Se señala que la instalación directa sin pasar por marketplaces intermediarios como Google Play Store o Apple App Store fue distorsionada hasta percibirse de forma negativa
  • Según la definición de Wikipedia, sideloading es “transferir apps desde fuentes web no aprobadas por el proveedor”; si Google exige aprobar todas las fuentes, entonces eso ya no sería sideloading
    • Los desarrolladores deben pagar una cuota de registro a Google, presentar prueba de identidad e información sobre sus claves de firma, y esperar la aprobación de Google

Impacto en los derechos de usuarios, desarrolladores y países

  • Los usuarios compraron dispositivos Android confiando en la promesa de una ‘plataforma abierta’, pero futuras actualizaciones impondrán restricciones irreversibles
    • Se pasa a una estructura en la que Google decide qué software puede considerarse confiable
  • Los desarrolladores ya no podrán crear apps libremente y distribuirlas directamente, sino que deberán obtener aprobación previa de Google
    • La apertura de Android era un valor central y un punto de diferenciación frente al iPhone, pero ahora ese principio está siendo desechado
  • A nivel de país también existe el riesgo de que la soberanía digital de la ciudadanía quede subordinada a una empresa
    • Google ya tiene antecedentes de eliminar apps legales a pedido de gobiernos autoritarios, lo que también genera inquietud para la operación de software público
  • Esta política no se aplica solo a Google Play Store, sino a todos los dispositivos Android Certified, por lo que los usuarios de tiendas alternativas como F-Droid o Epic Games Store enfrentarán las mismas restricciones

La falsedad del supuesto “entorno más seguro” que afirma Google

  • Google justifica la política citando su propio análisis, según el cual “hay 50 veces más malware en fuentes de sideloading por internet que en Play Store
    • Sin embargo, F-Droid dice no haber visto ese análisis y lo critica como una cifra sin sustento
  • Se menciona el caso reciente de 224 apps maliciosas eliminadas de Play Store por una campaña de fraude publicitario, y se señala que Google debería enfocarse en mejorar su propio sistema de seguridad en lugar de culpar a comunidades externas
  • Según otro reporte, también se detectaron apps maliciosas descargadas más de 19 millones de veces desde Play Store, por lo que se argumenta que no resulta confiable depender solo del juicio de una sola empresa para identificar malware
    • Se plantea la preocupación de que los intereses comerciales de Google puedan estar por encima de la protección de los usuarios

Qué se puede hacer

  • Las críticas al control excesivo de políticas por parte de Google existen desde hace tiempo y recientemente se han acelerado
    • En 2024 debilitó las funciones de bloqueo de anuncios con la adopción de Manifest v3 en Chrome, y
    • en 2025 hizo privado el desarrollo de Android Open Source Project (AOSP) para construir en secreto esta infraestructura de verificación
  • El sistema de verificación de desarrolladores representa una amenaza existencial para plataformas de distribución de software libre como F-Droid y para competidores comerciales de Play Store
    • Aunque crece el rechazo de usuarios, desarrolladores, medios y organizaciones civiles, todavía hace falta concientizar a los responsables de formular políticas públicas
  • Los consumidores pueden actuar a través de keepandroidopen.org para hacer llegar su opinión a las instituciones representativas y defender un ecosistema Android abierto
  • Actualmente no se recomienda a los desarrolladores participar en el programa de registro de desarrolladores de Google
    • F-Droid declara que rechaza claramente este sistema coercitivo
  • Más de la mitad de la humanidad usa smartphones Android, y la propiedad del dispositivo pertenece al usuario, no a Google
    • Los usuarios deben tener el derecho de decidir por sí mismos en quién confiar y de dónde obtener su software

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-10-29
Comentarios en Hacker News

  • Soy el autor. Me sorprendió bastante el tono agresivo de muchos comentarios y las acusaciones de que actué de mala fe.
    No importa tanto discutir el origen del término sideload. Quienes usan esa palabra normalmente buscan que parezca algo hackersco y anormal.
    En Linux, Windows y macOS no se dice sideload, simplemente se dice install.
    Creo que tengo el derecho de instalar cualquier software en mi computadora, o en la computadora que llevo en el bolsillo. Es una convicción que voy a defender hasta el final.

    • Incluso dentro de esta comunidad hay gente a la que le gusta el control autoritario. Creen que Apple o Google Play nos protegen y que eso debe defenderse.
      Esa actitud aparece seguido en temas como lo cerrado que son los dispositivos móviles. Aun así, esa gente es solo una minoría ruidosa.
    • Creo que es mejor abandonar el proyecto por completo. Antes contribuí a un proyecto de privacidad, pero después de que me insultaran diciendo que estaba perjudicando a los “creadores” de YouTube, me di cuenta de algo. La gente disfruta que Google la maltrate. Después de dejarlo por mi salud mental, me quedó muchísimo más tiempo.
    • ¿No se podría incluso argumentar que F-Droid en realidad es más seguro que Google Play Store? Google presenta el sideloading como un problema de malware, pero en la práctica puede que Play Store haya distribuido más apps maliciosas. Incluso es posible que una tienda independiente pequeña esté mejor administrada.
    • El problema se está extendiendo más. Ahora no solo el software, también hardware como los equipos de ejercicio queda atado a modelos de suscripción. Antes ajustabas la resistencia con una perilla; ahora no puedes usarla sin una suscripción de 30 dólares al mes. Es peor que la obsolescencia programada del cártel de bombillas de los años 20. Deprime que el mercado siga sosteniendo esto, pero cuando las estructuras monopólicas se afianzan, aparecen estos patrones.
    • Yo también pienso lo mismo. Quería que supieras que no estás solo.

  • Hay que elevar la discusión. El debate sobre sideloading es secundario. Lo central es la propiedad del dispositivo y los límites de la transacción.
    En el momento en que compro un dispositivo, la transacción debería terminar, y desde ese punto yo debería tener el 100% del control. El fabricante o el creador del SO deberían tener 0%.

    • Lo primero que hay que hacer es una reforma de la DMCA. Ahora mismo, incluso proporcionar herramientas o información para que un usuario controle su propio dispositivo puede ser una violación de la ley federal.
      Vean este artículo relacionado de la EFF.
      Ese tipo de leyes permite que las empresas usen el poder del gobierno para intimidar a la gente. En cambio, si se eliminaran esas cláusulas, los consumidores podrían desarrollar sus propios lockpicks.
    • Pero ese ideal parece inviable en la práctica. Al final, vamos hacia un mundo donde rentamos dispositivos permitidos por las grandes tecnológicas. Solo los desarrolladores autorizados podrán ejecutar código, y todos los datos serán vigilados. Me da miedo pensar qué viene después de una centralización total.
    • Solo cuando software completo pueda correr sobre el hardware, el dispositivo será realmente mío. Si no, al final no es más que “mi dispositivo con el software de ellos instalado”.
    • Puede surgir la pregunta de “entonces, ¿cómo vas a hacer las actualizaciones?”. Pero el punto central es la autonomía de permitir actualizaciones solo cuando el usuario quiera.

  • El comportamiento de las plataformas es solo un síntoma, no el problema de fondo.

    1. Mi teléfono es mío y debería poder instalar cualquier app.
    2. Canales verificados como la tienda oficial son útiles para la seguridad.
      Si ambas cosas son ciertas, entonces al instalar fuera de la tienda oficial bastaría con mostrar una advertencia de “instala bajo tu propia responsabilidad”. La mayoría de los usuarios igual seguiría usando solo la tienda oficial.
      Pero Apple y Google no lo hacen porque cobran su tajada (vig) en las transacciones dentro de las apps. Si desapareciera el impuesto de plataforma, también desaparecería el problema del sideload.
    • Lo importante no es que sea “oficial”, sino que sea un canal confiable. F-Droid es uno de esos canales; Google Play no. De hecho, Google está intentando eliminar ese tipo de canales de confianza.
    • Android ya muestra una advertencia de “instala bajo tu propia responsabilidad”. Lo que Google quiere ahora es que solo los desarrolladores registrados puedan distribuir apps.
    • La advertencia ya existe, pero la gente igual hace clic y sigue. La realidad de la ingeniería de seguridad es que los usuarios no entienden las advertencias. La actitud de simplemente decir “ya advertí, no es mi culpa” no ayuda en nada a reparar los daños.
    • Esta función ya existía en Android y ahora va camino a desaparecer.
    • Yo tampoco confío en Google Play Store.

  • Es una locura que ni siquiera tengamos permisos de root. Las restricciones al sideload son solo un símbolo de esa distopía.

    • Yo sigo manteniendo root en un Poco F3 con LineageOS. Pero me preocupa que, si la atestación de hardware se vuelve estándar, también desaparezca esa libertad. Si bloquean root y el sideload, Android deja de tener valor.
    • Como resultado de este control, Apple y Google terminan decidiendo hasta qué tecnologías y servicios podrán crecer en el mercado.

  • Como usuario de iOS, me cansé de las políticas cerradas de Apple y compré un dispositivo Android para crear apps de PoC. Incluso ahora instalo apps en varios dispositivos por medio de F-Droid. Si eso se bloquea, mis dispositivos dejarán de servir.

    • Este año descubrí SideStore en iOS, y su función de renovación automática es excelente. Hice yo mismo dos apps para iOS y las uso todos los días sin problema. Gracias a la nueva política de Google, parece que no voy a volver a Android por un buen tiempo.

  • Muchos comentarios se obsesionan con el significado de la palabra más que con el punto central del texto.

    • Dan ganas de bromear con que a HN le encantaría si F-Droid simplemente cambiara coined por popularized en el artículo.
    • Esto pasa seguido en HN: se aferran a una sola palabra de un texto largo y no ven el bosque por mirar el árbol.

  • Si de verdad Google estuviera impulsando esta política por motivos de seguridad, mejor podría crear una cuenta de usuario aislada (sandbox) y permitir instalar allí apps no oficiales. Pero como los usuarios que querrían eso son poquísimos, a Google no le importa. La gente como nosotros simplemente puede importar teléfonos chinos por cuenta propia y usarlos.

    • Pero en países con restricciones a la importación como Brasil, no se pueden traer teléfonos no certificados.
    • En realidad, el objetivo de prohibir el sideload no es la seguridad, sino bloquear apps como NewPipe o Vanced.
    • Puede que exista alguna forma de rodearlo usando Termux para ejecutar ADB directamente e instalar la app de F-Droid. Pero Google seguramente bloqueará pronto intentos así.
    • De todos modos, si la base de usuarios es demasiado pequeña, los desarrolladores no tendrán motivo para crear apps.

  • Me da pena que nadie haya mencionado a Raymond Carver.
    Si ves su obra más conocida, dan ganas de pensar que la situación actual de los sistemas operativos móviles es así de sombría. También recomiendo la película Shortcuts.

    • Sí, se sale un poco del tema, pero Carver es un gran escritor.

  • La palabra sideload fue creada originalmente con la intención de que sonara como algo clandestino y peligroso.
    Antes, en servicios de alojamiento de archivos como Rapidshare o Megaupload, también existía una función llamada sideload, y significaba transferir archivos directamente al servidor.

  • En macOS, cuando ejecutas una app descargada de internet, solo muestra una advertencia de “¿Quieres abrir esta app?”. No bloquea la instalación en sí. En los teléfonos debería ser igual.

    • Pero en la práctica es más complicado. Por ejemplo, si le envío a otra persona un binario de golang que hice yo, macOS bloquea su ejecución diciendo que es una “app dañada”. Creo que está diseñado para frenar a usuarios no técnicos.
    • Esta actualización apunta a quitarle al usuario la capacidad misma de decidir si instala o no, y a hacer que solo se puedan instalar apps si el desarrollador se registra y paga. Al final es un empujón hacia un ecosistema cerrado.
    • macOS muestra la advertencia, pero el usuario tiene la opción de ignorarla y ejecutar. iOS no, y Google quiere seguir ese camino.
    • macOS muestra advertencias cada vez que ejecutas apps fuera del App Store, pero el usuario puede correrlas si las compila él mismo o si elimina la marca quarantine.
    • Si las instalas mediante un gestor de paquetes como brew, ni siquiera aparece esa advertencia.