- Google implementará un programa de verificación de desarrolladores a partir de septiembre de 2026 para restringir la instalación de apps no certificadas
- Los usuarios avanzados podrán omitir la verificación para instalar apps, pero solo quedará completamente habilitado tras pasar por una configuración oculta y una espera de 24 horas
- Google explica que este retraso es una medida para evitar ataques de ingeniería social, diseñada para impedir que los usuarios instalen apps maliciosas por impulso
- Este cambio busca equilibrar una mayor seguridad del ecosistema Android con la libertad de elección del usuario y se ampliará a nivel mundial en 2027
Cambios en la política de sideloading de Android
- Google impulsará desde 2026 un cambio importante para evitar la propagación de malware en Android en general
- Desde septiembre, solo los desarrolladores verificados podrán distribuir apps mediante el programa de verificación de desarrolladores
- La verificación requerirá confirmación de identidad, envío de la clave de firma y una tarifa de 25 dólares
- Las apps de desarrolladores no verificados no podrán instalarse por defecto
- Aun así, podrán instalarse de forma excepcional mediante el “advanced flow”
Cómo funciona el Advanced Flow
- Esta función está escondida en lo profundo del menú de opciones para desarrolladores
- El usuario debe activar las opciones de desarrollador tocando 7 veces el número de compilación en ‘About Phone’
- Luego debe buscar la opción “Allow Unverified Packages”, activar el interruptor y completar el ingreso del PIN y el reinicio del dispositivo
- Después de una espera de 24 horas, deberá volver al menú de configuración y elegir entre permiso temporal (7 días) o permiso indefinido
- La demora de 24 horas es un diseño de seguridad para evitar instalaciones impulsivas
- Google explica que este período ayuda a bloquear estafas basadas en ingeniería social
- Por ejemplo, reduce situaciones en las que un atacante presiona al usuario diciendo que “debe instalar la app de inmediato”
Equilibrio entre seguridad y libertad de elección del usuario
- Google enfatiza que, considerando más de 300 millones de dispositivos activos, debe mantener al mismo tiempo la apertura y la seguridad de la plataforma
- Su postura es que “si la plataforma no es segura, pierden tanto los usuarios como los desarrolladores”
- El proceso de verificación no busca censurar el contenido de las apps, sino confirmar identidades
- Así, el usuario puede verificar que la app no proviene de distribuidores de malware ni de suplantadores de identidad
- Google define malware como “apps que dañan el dispositivo o los datos personales sin la intención del usuario”
- Google no considera como problema de verificación herramientas como apps de root para uso personal o bloqueadores de anuncios
Preocupaciones legales y de privacidad
- Algunos defensores de la privacidad temen que la base de datos de verificación pueda crear riesgos legales para desarrolladores independientes
- Google afirma que protegerá los datos de los usuarios frente a órdenes judiciales improcedentes
- También menciona que no planea conservar permanentemente la información de identidad de los desarrolladores
- También existen preocupaciones sobre la posibilidad de que desarrolladores de países sancionados (como Cuba o Irán) no puedan verificarse debido a la tarifa
- Google explica que el proceso de verificación puede variar según el país y que no busca excluir regiones específicas
Calendario de implementación gradual
- Se implementará primero desde septiembre de 2026 en Brasil, Singapur, Indonesia y Tailandia
- En estas regiones son relativamente más frecuentes las estafas de suplantación y phishing
- Después, en 2027, se ampliará al resto del mundo
- Google integró la función de verificación en Android 16.1 (lanzado en 2025) y
planea ofrecer la misma interfaz y las mismas pantallas de advertencia en todos los dispositivos compatibles
- Google subraya que instalar apps fuera de Play eleva 50 veces el riesgo de infección por malware
- La verificación de identidad de desarrolladores introducida en Play Store en 2023 sirvió como base para esta política
- En algunos países existe presión regulatoria para resolver problemas de seguridad
6 comentarios
Si lo van a restringir, me habría gustado que lo endurecieran más para que no se pudiera activar con un toggle dentro del teléfono y solo se pudiera habilitar con
adb.En lo personal, aun así siento que hasta este nivel sigue siendo aceptable.
> Todo este flujo se entrega a través de Google Play Services, no del sistema operativo Android, lo que significa que Google puede modificarlo, restringirlo o eliminarlo en cualquier momento sin una actualización del SO y sin el consentimiento de ningún usuario. El flujo avanzado aún no ha aparecido en ninguna beta, vista previa para desarrolladores ni versión canary de Android. A la fecha de esta actualización, existe solo como una publicación de blog y maquetas de interfaz. Se le está pidiendo a la comunidad que acepte el anuncio de un producto como una salvaguarda funcional cinco meses antes de que entre en vigor la obligación.
> - https://keepandroidopen.org
No quiero ese tipo de maniobras de apaciguamiento como decir que solo hay que esperar 24 horas. No me gusta que intenten inutilizar funciones del dispositivo tal como venía cuando lo compré.
Al final parece que no van a bloquear por completo los APK, qué alivio de verdad.
Otra vez sacando dinero así...
Ahora los patrones de ataque de phishing probablemente cambien a una modalidad de tender la trampa y esperar un poco más. Aun así, creo que sí es una política que hará las cosas mucho más seguras que ahora.