Carta abierta a Google sobre la obligatoriedad de registrar a los desarrolladores para distribuir apps

 (keepandroidopen.org)
2 puntos por GN⁺ 2026-02-25 | 1 comentarios | Compartir por WhatsApp
  • 38 organizaciones de la sociedad civil, entidades sin fines de lucro y empresas tecnológicas de todo el mundo expresaron su oposición a la política de Google que obliga al registro de desarrolladores para la distribución externa de apps de Android
  • Señalan que Android ya cuenta con diversas protecciones como seguridad a nivel del sistema operativo, firma de aplicaciones y Play Protect
  • Critican que un sistema de registro centralizado amenaza la innovación, la competencia, la privacidad y la libertad de los usuarios, y crea una estructura en la que Google puede controlar toda la distribución de apps
  • También advierten que esta política eleva las barreras de entrada para pequeños desarrolladores, proyectos de código abierto, desarrolladores en países sancionados y activistas de derechos humanos
  • Las organizaciones firmantes exigen a Google que retire la política y recupere la apertura y neutralidad, además de llevar a cabo una consulta transparente con la comunidad

Contexto de la oposición a la política

  • Google planea exigir en adelante un registro central obligatorio a todos los desarrolladores que quieran distribuir apps fuera de Play Store
    • El proceso de registro incluye presentación de identificación, aceptación de términos y pago de una tarifa
  • Las organizaciones firmantes señalan que esta medida amplía el poder de gatekeeping a ámbitos no relacionados con los servicios de Google
    • Advierten que Google pasaría a tener la facultad de desactivar apps en todo el mundo de forma arbitraria

Barreras de entrada y freno a la innovación

  • La obligación de registro afecta de manera desfavorable a desarrolladores individuales, equipos pequeños y proyectos de código abierto
    • Hay muchos casos en los que registrarse resulta difícil por falta de recursos, acceso limitado a infraestructura o residencia en países sancionados
  • También quedan expuestos a riesgos desarrolladores enfocados en la privacidad, activistas de derechos humanos y organizaciones de respuesta de emergencia
  • Esta carga administrativa puede derivar en menos diversidad de software y una mayor concentración en grandes empresas

Preocupaciones sobre datos personales y vigilancia

  • El sistema de registro de Google formaría una base de datos de información personal de todos los desarrolladores de Android
    • Se plantean dudas sobre cómo se almacenará y utilizará esa información y cómo responderá Google a solicitudes gubernamentales
  • Para quienes desarrollan apps centradas en la privacidad o políticamente sensibles, surge un riesgo innecesario de vigilancia

Riesgo de aplicación arbitraria y suspensión de cuentas

  • El sistema actual de revisión de apps de Google ya ha sido criticado por sus decisiones opacas y procesos limitados de apelación
    • Se señalan problemas como evaluaciones automatizadas, suspensiones sin motivos claros y posible intervención de factores políticos o competitivos
  • Una estructura en la que una sola empresa controla todas las facultades de distribución va en contra de un ecosistema competitivo saludable

Restricción de la competencia y cuestiones regulatorias

  • Mediante el registro, Google podría conocer todas las tendencias de desarrollo de apps y las estrategias de sus competidores
    • Esto podría generar asimetrías de información de mercado y aumentar el riesgo de bloquear o copiar productos rivales de forma anticipada
  • Autoridades regulatorias de la Unión Europea, Estados Unidos y otros lugares ya investigan el monopolio de plataformas y el favorecimiento de productos propios,
    y las organizaciones firmantes subrayan que Google debe mantener la apertura y la interoperabilidad

Suficiencia del sistema de seguridad existente

  • Android ya cuenta con funciones de seguridad como sandboxing, sistema de permisos, verificación de firmas y advertencias de sideloading
  • Durante 17 años, estas medidas han mantenido la protección de los usuarios,
    y sostienen que, si Google realmente está preocupado por la seguridad, debería enfocarse en reforzar los mecanismos existentes

Exigencias conjuntas

  • Retiro inmediato de la obligación de registro de desarrolladores para distribución de terceros
  • Consulta transparente con la sociedad civil, desarrolladores y organismos reguladores
  • Garantizar la neutralidad de la plataforma separando los intereses comerciales de Google de la operación de la plataforma
  • Restaurar la apertura de Android y proteger el software libre y la soberanía digital

Organizaciones firmantes

  • Participan 38 organizaciones, entre ellas EFF, FSF, FSFE, F-Droid, Nextcloud, Proton, Vivaldi y Tor Project
  • Sostienen que Google debe detener el programa de verificación de desarrolladores y
    trabajar conjuntamente para buscar un equilibrio entre seguridad y apertura

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-25
Comentarios en Hacker News

  • La parte más polémica de esta carta es la afirmación de que “Existing Measures Are Sufficient” (las medidas existentes son suficientes)
    Google explicó claramente el vector de ataque en una publicación de su blog oficial de noviembre de 2025
    Por ejemplo, en el sudeste asiático, estafadores llaman a las víctimas y les meten miedo diciendo que “su cuenta bancaria fue hackeada”, para luego convencerlas de instalar una “app de verificación” de seguridad. En realidad, esa app es malware: intercepta notificaciones, roba códigos de 2FA y vacía la cuenta
    Google sostiene que para bloquear este tipo de ataques hace falta verificación de identidad de los desarrolladores. Sin esa verificación, lo único que queda es un juego interminable de “pegarle al topo”, donde se siguen creando apps maliciosas sin fin
    A mí también me parece excesivo exigir el registro obligatorio, pero creo que hace falta una alternativa mejor que simplemente decir “así estamos bien”. Por ejemplo, se podría exigir registro solo para permisos sensibles como interceptar notificaciones o SMS, o pedir certificados costosos a los desarrolladores que no se registren, como una solución intermedia

    • No entiendo por qué la comunidad tendría que reaccionar distinto. El mundo ya es inseguro por naturaleza, y la seguridad total solo se puede conseguir al precio de quitar libertad
      La gente también debe tener libertad para tomar malas decisiones. Creerle a un estafador por teléfono e instalar una app no es un vector de ataque, es una decisión personal. Impedir por eso que los usuarios instalen apps en sus propios dispositivos no es muy distinto de que un banco diga “no puedes retirar dinero porque te lo vas a gastar en un bar”
    • Yo soy el autor de esta carta y quien coordinó a los firmantes. No estoy diciendo que “todo está bien”, sino que Android ya venía respondiendo a nuevos modelos de amenaza mediante refuerzos graduales de seguridad
      Por ejemplo, Restricted Settings de Android 13~14 bloquea estafas que inducen a instalar APK por teléfono, y Enhanced Confirmation Mode de Android 15 evita que apps maliciosas manipulen configuraciones del sistema
      Estas funciones ya están dando resultados, así que el intento repentino de Google de cerrar todo representa una ruptura con la dirección previa. El malware siempre ha existido, y también está dentro de la Play Store. No hay base suficiente para justificar una medida tan extrema
    • El registro de desarrolladores no resuelve el problema. Las identificaciones robadas se consiguen barato, y los criminales pueden subir docenas de apps nuevas al día
      El problema real es la falta de alfabetización tecnológica, la tendencia de la gente a confiar, la ausencia de capacidad investigativa y el hecho de que algunos países toleren redes de estafa
      Mi app bancaria no funciona si hay una llamada en curso o si el dispositivo está siendo controlado remotamente. Pero en dispositivos rooteados no hay forma. Al final, que cada país solo le eche la culpa a Google es una forma de evadir responsabilidades
      Estas restricciones se van a saltar en cuestión de días, y los únicos que van a quedar más incómodos son los usuarios normales
    • Si alguien puede convencer a una persona de ignorar advertencias de seguridad, también puede lograr que le dicte directamente el código 2FA o usar otras técnicas de phishing
    • No existe una solución perfecta para este problema. Si permites que los usuarios instalen apps no verificadas, existe el riesgo de apps maliciosas; si lo prohíbes, restringes la libertad del usuario
      También se podría imponer un procedimiento de “desbloqueo” complicado, pero eso al final equivale a impedir que la gente común instale apps no oficiales
      El problema de las estafas sí es serio, pero la solución propuesta parece peor que la enfermedad

  • Un juez le dijo a Google que “Apple no es anticompetitiva porque en su plataforma no tiene competidores” (por el caso de Epic)
    Google se tomó esas palabras al pie de la letra. De ahí habría salido esta política. Creo que es una de las peores decisiones judiciales recientes

    • Este tipo de problemas no deberían resolverlos los jueces, sino el Congreso. Las plataformas de las que todos dependen, como las telecomunicaciones, deben regularse por ley
      Me parece mucho mejor el enfoque de la UE al designar a Apple y Google como plataformas de acceso. El Congreso de EE. UU. no está logrando crear un marco legal para un enfoque moderno
    • Recuerdo que escribiste el mismo comentario hace unos días. Enlace al comentario anterior
    • ¿Podrías explicar con más detalle a qué fallo te refieres? Me da curiosidad cómo se llegó a esa conclusión

  • El problema del registro de desarrolladores es que le da a Google y a los gobiernos el poder de censurar apps
    Si un gobierno exige “prohíban las apps de VPN”, Google puede usar los requisitos de registro para bloquearlas

    • ¿No tienen ya ese poder?
    • Es todavía más grave que eso. Si solo se permite instalar por la vía oficial, Google puede rastrear quién usa qué app
      Por ejemplo, quienes instalen una app para rastrear al ICE podrían ser reportados al gobierno y terminar en una lista de terroristas

  • El sistema de registro solo añade costos de fricción a miles de desarrolladores legítimos, mientras que los actores maliciosos volverán una y otra vez con empresas fachada o identidades robadas
    Verificar identidad y disuadir delitos son dos problemas distintos

    • En realidad, esa fricción no existe por “seguridad”, sino que es diseñada a propósito. Google quiere sacar del camino a los desarrolladores pequeños
      Ya obliga a los desarrolladores individuales a mostrar su nombre real en la Play Store, les baja visibilidad a sus apps y muestra advertencias como “esta app tiene pocas instalaciones”
      Al final, es una estrategia para construir un ecosistema centrado en apps de grandes empresas. Así reducen costos de mantenimiento y aumentan ingresos
    • Claro, tampoco se puede decir que la fricción no sirva de nada. Crear miles de cuentas con identidades robadas es difícil, mientras que hacer variantes de apps maliciosas es mucho más fácil
      No sé si ese equilibrio vale la pena, pero tampoco diría que es totalmente inútil
    • Google ni siquiera logra filtrar bien las apps maliciosas dentro de la Play Store. Sigue llena de apps falsas y spam

  • Me gustaría decirle a Google: primero limpien el malware de la Play Store y después hablamos de sideloading

  • Prohibir la instalación de apps fuera de la Play Store sería un desastre para los usuarios avanzados
    Yo ya dejé de rootear, pero seguí resolviendo cosas como el bloqueo de anuncios con APK. Si bloquean esas apps, Android deja de tener sentido para mí

  • Esta lista de firmantes parece una lista de los grupos que Google quiere eliminar

    • Exactamente eso. A Google no le importa la sociedad civil; solo le importa aumentar su propio poder
      Ojalá esta medida haga que la gente empiece a buscar alternativas a Google

  • Si tanto Android como iOS fueran cerrados, yo elegiría iOS cada vez
    Uso Android por su apertura. Si eso desaparece, me quedo con la UX más pulida y el ecosistema de Apple

    • Llevo un año usando iOS a la fuerza y todavía no encuentro esa UX más pulida ni ese ecosistema tan fuerte

  • Si soy sincero, eso de “impacto desproporcionado en comunidades marginadas” me parece que aplica más a las personas mayores del tercer mundo que a los hackers
    Muchas veces ellas son las que caen en apps de estafa y pierden sus ahorros

  • “Don’t be evil” ahora pasó a significar “no seas malvado, pero solo después de registrar tu identificación oficial
    Google defendió a Android en juicios antimonopolio apelando a su apertura, pero ahora está cerrando esa puerta por decisión propia
    Lo presenta como una medida de seguridad, pero el problema que en realidad quiere resolver no son los “desarrolladores incontrolables”, sino los desarrolladores que no puede monetizar