Google ha anunciado esta semana una serie de cambios en sus políticas de Play que buscan, por un lado, reforzar la privacidad de las personas y, por el otro, dar mayor protección a las empresas frente a fraudes y transferencias no seguras de aplicaciones. Al mismo tiempo la compañía hizo públicos sus últimos números de moderación: en 2025 bloqueó o eliminó más de 8.3 mil millones de anuncios y suspendió casi 24.9 millones de cuentas, cifras que reflejan el esfuerzo de Google por contener abusos en su ecosistema publicitario y en la tienda de apps.
Entre las novedades más relevantes están cambios en cómo las apps accederán a la agenda de contactos y a la ubicación de los usuarios. En materia de contactos, Google impulsa un uso estandarizado y más restringido mediante un Contact Picker que actúa como puerta de acceso segura y buscable para que una app reciba únicamente los datos de los contactos que el usuario autoriza en ese momento. Esto reemplaza la práctica anterior, en la que muchas apps pedían READ_CONTACTS y con ello podían ver la lista completa y todos los campos asociados. La documentación oficial para desarrolladores sobre cómo tratar permisos y proveedores de contactos es un buen punto de partida para entender los cambios: Guía de permisos de Android y Contact Provider.
Con Android 17 —la versión que introduce estas herramientas— las aplicaciones podrán declarar exactamente qué campo necesitan de un contacto, por ejemplo un teléfono o una dirección de correo, en lugar de solicitar el acceso a todo el registro. Google pide que, siempre que sea aplicable, las apps usen el Contact Picker o el Android Sharesheet como el mecanismo principal para acceder a contactos; READ_CONTACTS quedaría reservado solamente para aquellas aplicaciones que realmente no pueden funcionar sin acceso continuo y completo. Si una app apunta a Android 17 o posterior, la recomendación práctica es retirar el permiso READ_CONTACTS del manifiesto cuando no sea imprescindible. Además, si la app precisa acceso permanente a la libreta de contactos, será necesario justificarlo mediante un formulario de declaración para desarrolladores en la Play Console.
En lo que respecta a la ubicación, Android 17 incorpora un botón simplificado para solicitar acceso puntual a la ubicación precisa. La idea es facilitar que el usuario dé permisos limitados y temporales para acciones concretas, evitando que las apps pidan más información de la necesaria. Junto a esto se activa un indicador persistente que avisa al usuario cada vez que una aplicación no sistema accede a su localización, una medida pensada para dar transparencia y control en tiempo real. Google ha publicado guías prácticas sobre buenas prácticas y permisos de localización que los desarrolladores deberían revisar: Permisos de ubicación en Android.
Para cumplir con estas actualizaciones, los desarrolladores deben revisar el uso que hacen de la ubicación en sus aplicaciones y pedir únicamente el nivel mínimo necesario. En el caso de acciones puntuales que requieran localización precisa, Google sugiere implementar el botón mediante la bandera onlyForLocationButton en el manifiesto cuando la app apunte a Android 17 o superior. Si una aplicación necesita ubicación precisa de forma persistente, habrá que completar la Play Developer Declaration para explicar por qué la función central de la app requiere ese acceso. Google ha anunciado que el formulario de declaración estará disponible antes de octubre de 2026 y que, además, se pondrán en marcha controles preventivos en la Play Console, con revisiones previas que arrancan a partir del 27 de octubre (según el calendario oficial comunicado).
Otro cambio importante atiende a la seguridad comercial: Google integrará una funcionalidad nativa en Play Console para transferir la titularidad de aplicaciones entre cuentas de forma segura. La compañía recomienda usar esta vía oficial a partir del 27 de mayo de 2026 para evitar transferencias informales —como compartir credenciales o comprar cuentas en mercados de terceros— que aumentan el riesgo de fraude y de pérdida de control del negocio. Si necesitas más detalles sobre cómo transferir una app entre cuentas de desarrollador, la ayuda oficial de Play explica el procedimiento: Transferir apps a otra cuenta de desarrollador.
Estas medidas de privacidad y control llegan en paralelo a la inversión de Google en sistemas automatizados para detectar abusos publicitarios. La compañía ha hecho hincapié en que está aprovechando las capacidades de Gemini, su modelo de IA, para mejorar la detección de anuncios maliciosos y evitar que lleguen a los usuarios. Según Google, más del 99% de los anuncios que violaban las políticas fueron interceptados por sus sistemas antes de mostrarse, y la detección basada en modelos de lenguaje y entendimiento de intenciones permite identificar contenido diseñado para eludir filtros tradicionales. Para contexto sobre las iniciativas de Google en IA y Gemini, puede consultarse la información oficial: Introducción a Gemini, y para datos sobre su labor de seguridad en publicidad, la página de seguridad de Google recoge informes y estadísticas relevantes: Seguridad en anuncios de Google.
Las cifras publicadas por Google ilustran la escala del problema y el esfuerzo de mitigación: además de los 8.3 mil millones de anuncios bloqueados o eliminados en 2025, la compañía reportó la retirada de 602 millones de anuncios relacionados con estafas y la suspensión de 4 millones de cuentas vinculadas a actividades fraudulentas en el mismo periodo. También informó de miles de millones de anuncios restringidos por contener o potenciar contenidos como material sexual explícito, promoción de armas, juegos de azar y malware. Estos números subrayan cómo los malos actores están aprovechando técnicas automatizadas, incluida la generación con IA, para crear contenido malicioso a escala, y por eso Google apuesta por modelos que detecten intención además de palabras clave.
¿Qué implica todo esto para usuarios y desarrolladores? Para las personas que instalan apps, el cambio promete un control más fino sobre qué datos se comparten y cuándo, con señales visibles como el indicador de localización y una interfaz transparente para elegir contactos. Para los creadores de aplicaciones, los cambios suponen trabajo: revisar permisos, actualizar manifiestos y, en determinados casos, preparar y presentar justificaciones ante Play Console si la app exige accesos continuos. También conviene adoptar el proceso nativo de transferencia de apps para proteger el negocio frente a ventas y traspasos no oficiales. En definitiva, es una transición hacia permisos más limitados y mecanismos de seguridad más integrados, pensada para equilibrar funcionalidad y protección en un ecosistema cada vez más automatizado y complejo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...