Verificación de desarrolladores de Android: comienza la expansión para todos los desarrolladores

 (android-developers.googleblog.com)
4 puntos por GN⁺ 29 일 전 | 1 comentarios | Compartir por WhatsApp
  • Google amplía el programa de verificación de desarrolladores de Android a todos los desarrolladores para reforzar al mismo tiempo la apertura y la seguridad de la plataforma
  • Como la tasa de malware en apps instaladas por sideload es 90 veces mayor que en Google Play, se incorpora un proceso adicional de verificación para bloquear a actores maliciosos anónimos
  • La verificación puede realizarse en Play Console o Android Developer Console y debe completarse antes de los cambios del lado del usuario previstos para finales de este año
  • A partir de septiembre de 2026 se aplicará primero en Brasil, Indonesia, Singapur y Tailandia, con expansión al resto del mundo en 2027
  • Esta medida es un paso clave de refuerzo de seguridad en el ecosistema Android para frenar la propagación de malware y fortalecer la confianza de los usuarios

Resumen del programa de verificación de desarrolladores de Android

  • Para reforzar al mismo tiempo la apertura y la seguridad de la plataforma Android, Google amplía el sistema de verificación de desarrolladores de Android (Developer Verification) a todos los desarrolladores
  • Según el análisis de Google, la tasa de malware en apps instaladas por sideload es 90 veces mayor que en Google Play, por lo que se introduce el proceso de verificación como una capa adicional de seguridad para bloquear a actores maliciosos anónimos
  • Tras colaborar durante varios meses con la comunidad, se mejoró el diseño y se ajustó para mantener un equilibrio entre apertura y seguridad teniendo en cuenta las distintas formas de uso de Android

Inicio del proceso de verificación

  • Todos los desarrolladores pueden iniciar la verificación a través de Android Developer Console o Play Console
    • Si distribuyen apps fuera de Google Play, pueden crear una cuenta en Android Developer Console
    • Si usan Google Play, pueden comprobar el estado de verificación en su cuenta de Play Console y, si ya están verificados, no necesitan hacer nada más
  • Como los cambios del lado del usuario comenzarán a finales de este año, la verificación y el registro de apps deben completarse antes de esa fecha

Cambios en la experiencia de descarga para el usuario

  • La herramienta de verificación se implementa de inmediato, pero la experiencia de descarga para el usuario cambiará después de septiembre de 2026
  • Las funciones de protección para usuarios se aplicarán primero en Brasil, Indonesia, Singapur y Tailandia, y se expandirán a nivel mundial en 2027
  • La mayoría de los usuarios podrá seguir instalando apps como hasta ahora, y solo la instalación de apps no registradas requerirá ADB o el flujo de instalación avanzado (advanced flow)
  • Con esto se mantiene la flexibilidad para usuarios avanzados mientras se refuerza la protección de los usuarios comunes

Mejoras y cambios basados en comentarios de desarrolladores

  • Se optimiza el proceso de verificación simplificando la experiencia para desarrolladores e integrándolo con los flujos de trabajo existentes

  • Desarrolladores de Android Studio

    • En los próximos 2 meses, será posible comprobar directamente en Android Studio el estado de registro al generar un App Bundle o APK firmado

  • Desarrolladores de Play Console

    • Si ya completaron la verificación en Play Console, las apps de Play se registrarán automáticamente
    • Si el registro automático no es posible, deberán seguir el proceso de registro manual de apps, y los detalles se comunicarán mediante la consola y por correo electrónico
    • También será posible registrar en Play Console las apps distribuidas fuera de Play

  • Estudiantes y desarrolladores aficionados

    • Se ofrecerá una cuenta de distribución limitada (limited distribution account) que podrá usarse gratis sin identificación gubernamental
    • Permitirá compartir apps con hasta 20 dispositivos y podrá iniciarse solo con una cuenta de correo electrónico
    • A partir de junio de 2026 se enviarán invitaciones de acceso anticipado

  • Usuarios avanzados (power users)

    • Se mantiene la opción de instalar apps no registradas mediante ADB o el nuevo advanced flow
    • Con ello se busca combinar seguridad y libertad de instalación

Próximas fechas

  • Google está introduciendo el sistema de forma gradual en colaboración con desarrolladores, usuarios y socios
  • Abril de 2026: el servicio del sistema Android Developer Verifier aparecerá en la configuración del sistema de Google
  • Junio de 2026: comienza el acceso anticipado a la cuenta de distribución limitada para estudiantes y desarrolladores aficionados
  • Agosto de 2026: lanzamiento mundial de la cuenta de distribución limitada y de advanced flow
  • 30 de septiembre de 2026: en Brasil, Indonesia, Singapur y Tailandia, solo los desarrolladores verificados podrán permitir la instalación y actualización de apps; las apps no registradas solo podrán instalarse mediante ADB o advanced flow
  • Después de 2027: los requisitos de verificación se expandirán a todo el mundo

Conclusión

  • Google busca mantener un "ecosistema Android abierto pero seguro"
  • Los desarrolladores pueden iniciar de inmediato el proceso de verificación a través de las developer guides
  • Esta medida es un paso central en el refuerzo de la seguridad de Android para frenar la propagación de malware y fortalecer la confianza de los usuarios

Lecturas relacionadas

1 comentarios

 
GN⁺ 29 일 전
Comentarios en Hacker News

  • El proceso de verificación para desarrolladores de Android fue una experiencia completamente rota
    Intenté crear una cuenta de desarrollador para empresa; verifiqué el perfil de pagos empresarial con el número DUNS, confirmé mi identidad con pasaporte y estado de cuenta bancario, y aun así luego me volvieron a pedir verificar la identidad con documentos de la empresa
    Incluso validé el correo varias veces, pero seguía apareciendo el mensaje de “se requiere verificación adicional”
    Cada paso tardaba varios días y, si fallaba, había que empezar de cero, así que fue un proceso demasiado lento y doloroso
    Me volvió a recordar por qué no uso Android. Da la impresión de que nadie se hace cargo de todo el proceso

    • Cuando publiqué una app para Android hace 10 años, fue parecido. En la comunidad de desarrolladores siempre advertían: “no subas apps con tu cuenta real de Google”. La razón era que toda la cuenta podía ser suspendida por un bot por motivos ambiguos
      Google parece tener una actitud de desprecio hacia los desarrolladores. Sobre todo ahora, cuando la mayoría de los jóvenes usa iPhone, es una estrategia pésima
    • La experiencia con Google Play es realmente terrible
      Hace poco tuve que volver a enviar una app rechazada por haber sido clasificada por error como app de apuestas, y también me exigieron subir una nueva versión de una app que llevaba años sin problemas, sin explicación alguna
      El equipo de soporte y el proceso de apelación fueron completamente inútiles. Siempre se siente como si no hubiera intervención humana en absoluto
    • Como desarrollador de Apple, tuve casi la misma experiencia
      Me cobraron antes de terminar la verificación, y como la IA no pudo hacer coincidir mi cara con mi identificación, también me negaron el reembolso
      Estos sistemas de verificación basados en IA son un verdadero infierno
    • No entiendo por qué piden pasaporte si es una cuenta empresarial
      Me pregunto si hubo alguna razón para pagar con una tarjeta personal
    • Cada etapa parece lógica por separado, pero en conjunto hay demasiados actores involucrados. Parece que por eso el sistema terminó siendo un desastre

  • Google afirmó que encontró 90 veces más malware en apps instaladas por sideloading, pero en la práctica he visto teléfonos de personas mayores llenos de apps publicitarias descargadas desde Google Play

    • Totalmente de acuerdo. Google está cambiando la definición de “malware” a su conveniencia
      Clasifica como normales apps repletas de publicidad y rastreo, y se enfoca solo en proteger el valor para los accionistas
      Es completamente distinto del concepto de malware definido por Wikipedia, IBM, Cisco, Kaspersky, etc.
    • Las dos cosas pueden ser ciertas al mismo tiempo. Las apps instaladas por sideloading pueden ser más riesgosas, pero también es posible que la mayoría de las apps basura instaladas de verdad venga de Google Play
    • Lo peor es que los anuncios que empujan a esas apps suelen ser anuncios dentro de la app de YouTube
    • No existe ninguna fuente ni validación del análisis que dice “90 veces más”. Un anuncio de “nosotros lo investigamos, créannos” no es confiable
    • Yo también hice mi análisis y concluí que Google es 90 veces más tramposo que otras empresas (claro, sin pruebas)

  • ¿Qué porcentaje de los usuarios de Android querrá realmente estas políticas?
    Uso Android desde 2010, pero cada vez me gusta menos que avance en una dirección más cerrada
    Ahora incluso estoy planeando cambiarme a un teléfono Linux de verdad

    • Yo también me pasé a Android por la libertad de hacer sideloading
    • Pero siendo realistas, los usuarios avanzados son prácticamente el 0% de los usuarios de Android
    • Si Apple anunciara que permitirá instalar APK, incluso habría gente diciendo que “Apple debe controlarlo”
      Hubo mucha gente así durante el juicio de Epic vs Apple y en las discusiones sobre la Digital Markets Act
    • Entiendo el problema de las apps maliciosas en Play Store, pero eso es aparte del problema de la verificación de desarrolladores
    • Google está endureciendo esta verificación para impedir que bots de IA publiquen apps spam
      Si vinculas la identidad con la app, es más fácil actuar legalmente

  • En cuanto vi la frase “Android es una plataforma abierta para todos”, intuí de inmediato que lo que venía después iba a perjudicar al usuario
    El software que verifica apps instaladas por sideloading es una idea antiusuario

    • Me siento intranquilo cada vez que tengo que instalar una app fuera de F-Droid
      Con las apps de Play Store no puedes saber qué hacen en segundo plano
    • La expresión “apps instaladas por sideloading” en sí misma es un término estigmatizante para las apps que Google y Apple quieren controlar
      Al final parece que habrá que buscar una distribución distinta de Android
    • Es como cuando RH te dice “tenemos que platicar un momento”; ya intuyes que algo malo va a pasar
    • El siguiente paso probablemente será entregar una muestra biométrica

  • Da la impresión de que hubo una conversación interna tipo: “¿Qué hacemos si 40M de personas usan YouTube Premium crackeado?”

    • Exacto. Los países donde se aplicará esta política probablemente sean regiones con mucho YouTube Premium crackeado
      La clonación de APK y la piratería de apps ya están ampliamente extendidas
    • Yo también pago YouTube Premium, pero uso una app alternativa. La app oficial suele detener la reproducción en segundo plano
      Da la sensación de que la tecnología más bien ha retrocedido
    • NewPipe no es una app crackeada. Es una alternativa de código abierto
    • Google ya podía clasificar este tipo de apps como malware
      Este sistema de verificación solo es un mecanismo para detectar apps polimórficas

  • Se siente muy extraño tener que entregar una identificación oficial a una empresa
    Especialmente en Europa, donde te enseñan “no le envíes tu ID gubernamental a nadie”, pero ahora te lo exigen como si fuera normal para usar un servicio
    También es dudoso por qué piden identidad personal si es una cuenta de empresa
    Cuando se rompe la relación entre el desarrollador y la empresa o surge un problema legal, la responsabilidad puede volverse difusa
    En el caso de freelancers o desarrollo por encargo, tampoco queda claro quién debería ser el sujeto de la verificación

  • Si Google va a encargarse de verificar a los desarrolladores, uno se pregunta si entonces también debería asumir responsabilidad
    Si un usuario cae en una app fraudulenta, ¿podría demandar a Google?

    • Ya es momento de considerar aplicar leyes antimonopolio a Google
    • Pero la realidad siempre es que “la responsabilidad solo fluye hacia abajo”

  • Según el artículo de 9to5Google
    desde abril Android Developer Verifier se instalará como app del sistema y verificará con los servidores de Google si las apps instaladas por sideloading fueron autenticadas con la identificación del desarrollador

    • En cuanto vi eso pensé de inmediato que tenía que cambiarme a GrapheneOS
      Aunque da pena que la mayoría de la gente no pueda hacerlo
      Me pregunto cómo funcionará esta app del sistema dentro del sandbox de Google Play de GrapheneOS
    • Antes había una sátira sobre “también se necesita licencia para usar el depurador”, y ahora da la impresión de que eso se convirtió en un manual real

  • Por las políticas cerradas de Google, hace poco me cambié a /e/OS
    Al principio fue incómodo, pero ahora siento que uso software hecho para el usuario y no para los anuncios, así que estoy satisfecho
    Fue como aire fresco para mí, que en Android me estaba convirtiendo poco a poco en una rana en agua hirviendo

  • Uso más de cinco apps Android de código abierto fuera de Play Store, y con una política así eso se va a volver problemático
    Me pregunto si comprar un teléfono Motorola con GrapheneOS preinstalado permitiría evitar estas restricciones

    • El plan actual es que Motorola no preinstale directamente GrapheneOS, sino que admita la instalación manual en algunos modelos flagship
    • GrapheneOS todavía permite instalar APK