Google ha presentado un nuevo procedimiento para Android pensado para usuarios avanzados que quieren seguir instalando aplicaciones fuera de las tiendas oficiales: se llama Advanced Flow y pretende ofrecer una vía más segura para el sideloading de APKs firmados por desarrolladores sin verificación. La compañía lo describe como un mecanismo que introduce fricción deliberada en el proceso de instalación para reducir el riesgo de que personas confiadas caigan en estafas o terminen instalando software malicioso por presión.
La llegada de este flujo está programada para agosto de 2026 y forma parte del paquete de cambios alrededor de la nueva exigencia de verificación de identidad para desarrolladores, una medida que obligará a quienes publiquen aplicaciones —independientemente del canal de distribución— a demostrar su identidad ante Google para que sus APKs puedan instalarse en dispositivos certificados. Google ha publicado una entrada explicativa sobre el tema en su blog de desarrolladores; allí se detalla tanto la lógica como los pasos del nuevo sistema (entrada oficial de Google), y los desarrolladores tienen a su disposición una página con instrucciones para completar la verificación (página de verificación de Android).
La razón declarada detrás de Advanced Flow es evitar un tipo muy concreto de fraude: estafas en las que atacantes acompañan a la víctima en tiempo real, la apremian y la guían para desactivar protecciones del sistema o para ignorar advertencias de seguridad. Para combatir ese vector, el procedimiento obliga a quien quiere habilitar la instalación desde desarrolladores no verificados a pasar por una serie de pasos que no son inmediatos. El usuario debe activar el modo de desarrollador, confirmar mediante avisos que no está siendo coachado por un tercero, reiniciar el teléfono y autenticarse de nuevo, y esperar al menos un día antes de confirmar que la modificación es intencional. Solo entonces podrá instalar aplicaciones de desarrolladores no verificados, y el sistema mostrará un aviso persistente indicando esa condición; la habilitación puede limitarse a una semana o mantenerse indefinidamente según la elección del usuario.
Este diseño persigue lo que los expertos en seguridad llaman “fricción protectora”: introducir pequeños obstáculos razonados en operaciones sensibles para romper el ritmo impuesto por los atacantes que intentan crear urgencia. Según Google, ese retardo y la necesidad de reautenticación dificultan que un estafador mantenga el control del proceso y obligue a la víctima a aceptar instalaciones inseguras en caliente.
Detrás de la decisión hay también datos preocupantes. Las estafas y fraudes digitales generan pérdidas gigantescas: un informe citado por Google estima pérdidas globales en el orden de cientos de miles de millones de dólares el año pasado (informe sobre el estado global de las estafas). Ese contexto explica por qué plataformas y fabricantes buscan ahora equilibrar la apertura de Android con medidas concretas que reduzcan el daño a usuarios reales.
Para muchos usuarios técnicos y equipos de desarrollo, la posibilidad de instalar APKs directamente es una ventaja importante: permite pruebas internas, distribución fuera de tiendas, y uso de herramientas o aplicaciones que no están en Google Play. La novedad de Advanced Flow no elimina esa libertad, pero la regula por medio de una verificación humana y pasos adicionales. En términos prácticos, Google plantea que la verificación de desarrolladores será la norma y que Advanced Flow servirá como excepción controlada para quienes necesiten saltarse temporalmente el requisito sin comprometer la seguridad del dispositivo.
Es importante subrayar que esta iniciativa llega después de un período de debate público. Google ya había anunciado antes su intención de exigir verificación de identidad a los editores de apps, pero el calendario original se ajustó tras críticas de la comunidad de desarrolladores y defensores de la privacidad. La compañía recalca ahora que el sistema sigue adelante y que la ventana para que los desarrolladores completen la verificación está abierta; en su web oficial se encuentran los pasos y requerimientos técnicos para quienes deben registrarse (información para desarrolladores).
Desde el punto de vista de seguridad, Advanced Flow tiene ventajas claras: reduce el riesgo de que ataques sociales conviertan a la víctima en cómplice involuntaria de su propio compromiso. No obstante, también plantea preguntas sobre la experiencia para usuarios avanzados y sobre cómo se distinguirá una excepción legítima de prácticas peligrosas. La advertencia visual que mostrará Android cuando una aplicación provenga de un desarrollador no verificado será una herramienta útil, pero dependerá de que los usuarios entiendan su significado y actúen en consecuencia.
Otro aspecto a considerar es el impacto sobre la distribución alternativa de apps y la competencia en el ecosistema. Requerir verificación de identidad puede complicar la vida a proyectos pequeños o a desarrolladores independientes que, por razones legítimas, distribuyan fuera de Play; por eso Google insiste en que Advanced Flow estará disponible para quienes necesiten un acceso “extra” y que el objetivo no es cerrar opciones sino reducir fraudes. El equilibrio entre apertura y protección seguirá siendo un punto de fricción en las conversaciones entre fabricantes, reguladores y la comunidad técnica.
Si eres desarrollador, lo prudente es informarte cuanto antes y completar la verificación para evitar bloqueos a partir de agosto. Si eres usuario que suele instalar APKs por necesidad, toma nota de que el nuevo flujo te pedirá varios pasos y un periodo de espera deliberado: eso no es un fallo, sino un mecanismo pensado para darte tiempo para pensar y, si procede, pedir ayuda antes de ejecutar una acción irreversible en tu dispositivo.
En definitiva, Advanced Flow es la apuesta de Google por mantener la capacidad de sideloading en Android sin renunciar a controles diseñados para frustrar las estafas más sofisticadas que se aprovechan de la prisa y la manipulación emocional. Habrá que ver en la práctica cómo se adoptan estas medidas, si realmente reducen los fraudes y cómo reaccionan tanto la comunidad de desarrolladores como los usuarios avanzados cuando el flujo empiece a activarse en miles de millones de dispositivos.
Para profundizar, puedes leer la explicación técnica de Google sobre la verificación y el nuevo flujo en su blog de desarrolladores (entrada oficial) y revisar las instrucciones para completar la verificación en la documentación de Android (página para desarrolladores). También es útil consultar análisis independientes y reportes sobre el impacto económico de las estafas digitales, como el estudio citado por Google (informe Global State of Scams 2025).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...