Verificación de desarrolladores de Android: inicia el acceso anticipado

 (android-developers.googleblog.com)
3 puntos por GN⁺ 2025-11-14 | 1 comentarios | Compartir por WhatsApp
  • El programa de verificación para desarrolladores de Android entra formalmente en vigor, y comienza un programa de acceso anticipado dirigido a desarrolladores que distribuyen apps fuera de Play
  • Este programa agrega una capa extra de seguridad para prevenir fraudes y la distribución de malware, y exige una verificación basada en la identidad real del desarrollador para elevar el costo operativo de los atacantes
  • Se crea un tipo de cuenta para estudiantes y desarrolladores aficionados, con un proceso de verificación más flexible que permite distribuir apps a una cantidad limitada de dispositivos
  • También se está desarrollando un flujo de instalación para usuarios avanzados, que incluye una función para que el usuario reconozca el riesgo y elija instalar apps no verificadas de forma explícita
  • Google está mejorando el proceso de verificación a partir de los comentarios de la comunidad, con el objetivo de mantener el equilibrio entre seguridad y accesibilidad en el ecosistema Android

Objetivo del programa de verificación de desarrolladores de Android

  • Los nuevos requisitos de verificación para desarrolladores fueron diseñados como una capa adicional de defensa para proteger a los usuarios de Android
    • Google busca un enfoque de seguridad equilibrado que considere distintos tipos de usuarios
    • Desde el anuncio inicial, ha recopilado comentarios de estudiantes, desarrolladores aficionados y usuarios avanzados, entre otros
  • La prevención del fraude y de las estafas digitales ha sido durante mucho tiempo una tarea central de la seguridad en Android
    • Se integra con funciones ya existentes como la detección de estafas en Google Messages, Google Play Protect y las alertas en tiempo real de llamadas spam
  • Recientemente, las estafas en línea y las campañas de malware se han vuelto más agresivas
    • El impacto es especialmente grave en regiones donde la digitalización avanza con rapidez

Por qué se necesita la verificación y casos reales

  • Las protecciones técnicas por sí solas no bastan para bloquear todos los ataques de ingeniería social
    • Los atacantes usan tácticas de ingeniería social de alta presión para engañar a los usuarios y hacer que ignoren las advertencias de seguridad
  • En un caso observado en el sudeste asiático, los atacantes convencían a la víctima de que su cuenta bancaria había sido hackeada
    y la inducían a instalar una ‘app de verificación’, cuando en realidad instalaban malware que roba códigos de autenticación de dos factores
  • Sin un proceso de verificación, los atacantes pueden crear y distribuir de inmediato nuevas apps maliciosas
    • La verificación de identidad real del desarrollador eleva el costo de operar para actores maliciosos y dificulta la expansión de los ataques
    • Es un enfoque cuya eficacia ya fue comprobada en Google Play, y ahora se está ampliando a todo el ecosistema Android

Apoyo para estudiantes y desarrolladores aficionados

  • Algunos desarrolladores expresaron preocupación por la barrera de entrada al crear apps para distribución a grupos pequeños, como familiares o amigos
  • En respuesta, se introduce un tipo de cuenta exclusivo para estudiantes y desarrolladores aficionados
    • Esta cuenta permite distribuir apps a una cantidad limitada de dispositivos sin pasar por todo el proceso de verificación

Más control para usuarios avanzados

  • Se está desarrollando un nuevo flujo de instalación para usuarios experimentados dispuestos a asumir riesgos de seguridad
    • Mostrará mensajes de advertencia para que el usuario entienda claramente el riesgo al instalar apps no verificadas
    • Está diseñado para que no pueda eludirse incluso en situaciones de coerción o fraude
    • Actualmente se están recopilando comentarios iniciales sobre el diseño, y más adelante se darán a conocer más detalles

Inicio del programa de acceso anticipado

  • Comienzan las invitaciones de acceso anticipado a la verificación de desarrolladores en Android Developer Console para desarrolladores que distribuyen apps fuera de Play
    • Las invitaciones para Play Console se ofrecerán más adelante
  • Ya están disponibles un video de demostración del nuevo entorno de la consola y documentos de guía y preguntas frecuentes
  • Google seguirá incorporando comentarios de los desarrolladores para simplificar la experiencia de verificación y continuar impulsando la construcción de un ecosistema seguro

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-14
Opiniones en Hacker News

  • Quiero poder instalar apps desde tiendas alternativas como F-Droid y recibir actualizaciones automáticas sin la aprobación de Google.
    Permitir la instalación manual con adb debería estar bien, pero eso no es suficiente.
    Creo que la “protección del usuario” de Google en realidad busca controlar los ingresos publicitarios. Por ejemplo, en el caso de SimpleMobileTools, después de que vendieron la app, el nuevo dueño pudo forzar actualizaciones perjudiciales para los usuarios.
    En cambio, F-Droid bloqueó esas versiones y recomendó Fossify Apps, un fork de código abierto (comentario relacionado)

    • Al final, creo que la clave es el control. Si controlas la plataforma y el acceso, puedes dominar el mundo.
      Lo que nos toca es enseñar FOSS a la próxima generación. Los hábitos que se aprenden de joven duran toda la vida. Los desarrolladores deberían ofrecerse a dar charlas sobre estos temas en las escuelas.
    • Permitir actualizaciones automáticas y al mismo tiempo impedir cambios maliciosos de desarrollador es contradictorio.
      Tanto para Google como para F-Droid es difícil detectar si el desarrollador transfirió la cuenta y las claves.
    • Eso de que “mantener a los usuarios seguros es la prioridad”... yo no quiero que Big Brother me proteja.
    • Si las actualizaciones automáticas vinieran desactivadas por defecto, no habría problemas como el de SimpleMobileTools.
      El usuario debería decidirlo por sí mismo. Yo bloqueo por defecto el acceso a internet de todas las apps.
      Al final, Android en sí es un sistema operativo hostil al usuario hecho por una empresa del negocio de la vigilancia.
    • Lo gracioso es que, para instalar Google Drive en macOS, hay que descargar manualmente un archivo .pkg.
      Ni siquiera está en la Apple Store; entonces, ¿por qué en Android se prohíbe algo así? ¿No es un doble rasero?

  • Desde que Google anunció esta política, dio a entender que en algunos países se debía a presión gubernamental.
    Según la publicación oficial del blog, se aplicará en Brasil, Indonesia, Singapur y Tailandia.
    Como los gobiernos hacen responsable a Google por el problema de las apps fraudulentas, no puede existir una forma fácil para que usuarios no técnicos instalen “apps no verificadas”.
    Pero este enfoque es algo fundamentalmente inaceptable para mucha gente.

    • No me creo eso de la presión gubernamental. El problema real es la estructura que permite que las apps accedan a datos personales.
      Google creó este sistema complejo de control para mantener un modelo de negocio basado en invadir la privacidad.
      Al final, esto es otro paso para justificar la prohibición del sideloading con la lógica de “hervir la rana lentamente”.
    • Google quiere deshacerse de apps como YouTube ReVanced.
      Basta con ver el caso del bloqueo a yt-dlp.
    • Más que presión del gobierno, es una política impulsada por Google.
      Que gobiernos y empresas concentren poder saltándose los procesos legales es una conducta antidemocrática.
    • Compré el hardware, así que tengo el derecho natural de modificarlo y repararlo.
    • Bloquear las “apps no verificadas” se parece a la tragedia de los comunes.
      Para prevenir fraudes, también debe haber educación e información para el usuario.

  • La propia palabra “sideloading” es parte del problema.
    Ejecutar código de una forma compatible con el sistema es simplemente ejecución normal.
    Este tipo de palabras distorsiona la percepción de la gente.

    • Como no se puede eliminar la palabra, hay que redefinirla. Incluso ahora mismo estamos escribiendo en Hacker News desde un “navegador sideloaded”.
    • Yo solo instalo apps desde f-droid, no estoy “haciendo sideloading”.
    • Para mí, sideloading era mover físicamente un apk desde otro dispositivo.
    • Este término ya se usa desde 2006. Libro de CNET

  • Dicen que con la nueva política de Google habrá cuentas “solo para estudiantes y desarrolladores aficionados”, pero en el fondo eso significa poner un límite de escala.
    Si la lógica es que las apps pequeñas son peligrosas, entonces esto no tiene sentido.

    • La clave está en la siguiente sección sobre el “flujo avanzado para usuarios expertos”.
      Permitirá instalar apps no verificadas, pero asumiendo el riesgo.
    • Aun así, me pregunto por qué no basta con permitir que el usuario marque en el sistema operativo: “entiendo el riesgo”.
    • Si las apps con pocas instalaciones son peligrosas, facilitar la distribución a pequeña escala es contradictorio.

  • Instalé F-Droid a raíz del cambio de política de Google.
    La seguridad estaba mejor de lo que esperaba. Hay que configurar por separado para cada app el permiso de “permitir instalar otras apps”.
    Después de instalar NewPipe, todo siguió funcionando bien incluso al desactivar el sideloading a nivel del sistema.
    O sea, el riesgo de instalar apps indiscriminadamente está exagerado.
    En la Play Store también hay muchas apps maliciosas, así que la nueva política de Google al final solo es más control.

  • Google dice que creará un “flujo avanzado para usuarios expertos”,
    y estaría bien si fuera un proceso que solo hubiera que configurar una vez. Pero me preocupa que lo hagan fastidioso, como Apple en macOS.

    • La palabra “sideloading” tiene una connotación negativa, así que hace falta un término nuevo.
    • ¿Qué tal poner un periodo de espera que solo haya que configurar una vez?
    • Me pregunto si este flujo también permitirá binarios sin firmar.
    • La cuestión de fondo es si van a tratar a los usuarios expertos como adultos.

  • El método actual es lo peor para ambos lados.
    Los apk maliciosos todavía pueden circular y, cuando el alcance crece, sí se necesita verificación.
    Preferiría que Google exigiera verificación a los desarrolladores, pero permitiera tiendas de terceros como F-Droid.
    Así los usuarios no tendrían que bajar apk directamente desde sitios maliciosos.
    Pero este tipo de solución equilibrada ni se discute; solo hay reacciones emocionales.

    • En realidad hay dos cambios:
      1. verificación para estudiantes y desarrolladores aficionados
      2. flujo avanzado para usuarios expertos
        Aún no está claro si lo segundo será lo bastante sólido como para dar soporte a F-Droid.
    • Cuando hago apps en mi propio dispositivo, quiero la libertad de no necesitar conexión a internet.
    • ¿Por qué necesito una tienda para instalar una app en un teléfono que es mío?
    • F-Droid se niega a rastrear la cantidad de instalaciones porque eso invade la privacidad.
      Si Google va a verificar tiendas de apps, entonces eso también sería otra forma de gatekeeping.

  • Google dice que “proteger al usuario es la prioridad”, pero en la práctica deja sin resolver problemas de seguridad de la cuenta o control de notificaciones.
    Si una app maliciosa puede interceptar notificaciones, eso significa que el sandbox es débil.
    Al final, Google depende de un modelo de bloqueo posterior mediante control centralizado.
    El problema real es el fracaso del aislamiento y la lentitud en los parches.

    • Este tipo de declaraciones más bien dejan en evidencia las fallas de la arquitectura de seguridad.
      Bastaría con una verificación aparte solo para apps que necesiten permisos sensibles.
    • El lenguaje corporativo siempre es el mismo. Muerte, impuestos y palabrería corporativa.
    • Su prioridad real es monetizar.
    • En realidad, el objetivo es bloquear apps como YouTube ReVanced o uBlock Origin.
    • Claro, también es cierto que Google invierte muchísimo en seguridad. Pero hacen falta mejoras concretas.

  • La palabra “permitir” es el centro del problema.
    No tiene sentido que Google “permita” algo en un dispositivo que yo compré con mi dinero.
    Por eso me estoy preparando para pasarme a GrapheneOS. Cuando la polémica se calme, Google volverá a endurecer las restricciones.
    Ahora creo que desgooglearse es indispensable.

    • Yo también estoy reduciendo mi dependencia de los servicios de Google. Estoy moviendo mis datos de Drive y Photos.
      También quiero gestionar mi correo por mi cuenta. Google arruinó el filtro de spam y además subió los precios.
      Forzó funciones de IA para encarecer el servicio, pero yo no quiero eso.
      Voy a probar postmarketOS y GrapheneOS.
      La función de doblaje con IA de YouTube también me parece insoportable, así que estoy buscando alternativas.
    • UbuntuTouch también podría valer la pena. Incluso puede ejecutar apk de Android.

  • Google anunció que relajará el proceso de verificación obligatoria.
    Dice que está desarrollando un “flujo avanzado” para que usuarios expertos puedan asumir el riesgo e instalar apps no verificadas.

    • Pero el proceso de sideloading ya es complicado, así que me preocupa que lo endurezcan todavía más.
      Aun así, si no lo bloquean por completo, tengo un optimismo cauteloso.
    • Si la seguridad realmente hubiera sido la máxima prioridad, habrían creado este proceso desde el principio.
      Aun así, este cambio parece una señal positiva.
    • Eso sí, esto solo se refiere al lado del usuario;
      si un desarrollador quiere distribuir una app en una tienda de terceros o en un sitio web, todavía tendrá que pasar por el proceso de verificación.