Google ha presentado una nueva ruta para quienes quieran instalar aplicaciones fuera de la Play Store en dispositivos Android: un “flujo avanzado” que introduce una espera obligatoria de 24 horas antes de permitir la instalación de software procedente de desarrolladores no verificados. La medida llega en el contexto de la normativa de verificación de desarrolladores que la compañía anunció el año pasado y que, en la práctica, pide que los desarrolladores se inscriban y confirmen su identidad para que sus apps puedan instalarse en dispositivos certificados por Google.
La explicación oficial de Google es sencilla: reducir el espacio de maniobra de actores maliciosos que, según la empresa, aprovechan la instalación lateral (sideloading) para distribuir malware o para inducir a víctimas a conceder permisos que desactiven protecciones como Play Protect. En su comunicado técnico Google detalla el nuevo flujo y también ha publicado documentación sobre el programa de verificación para desarrolladores (entrada oficial en el blog de Android y la página de verificación en el portal de desarrolladores: developer.android.com/developer-verification).
El proceso pensado para usuarios avanzados exige varios pasos antes de que la instalación lateral quede habilitada de forma permanente o temporal. En líneas generales, el usuario debe activar las opciones de desarrollador en el sistema, confirmar que actúa por propia decisión (no bajo coacción), reiniciar el teléfono y volver a autenticarse para evitar que un atacante que tenga acceso al dispositivo complete el trámite en su nombre. Tras ese reinicio se exige que transcurran 24 horas y que el usuario valide de nuevo su intención mediante autenticación biométrica o PIN. Solo entonces es posible autorizar instalaciones desde desarrolladores no verificados, ya sea de forma indefinida o durante un periodo limitado (Google ha previsto opciones para conceder ese permiso por siete días, por ejemplo). Google ha precisado además que este flujo no afecta las instalaciones realizadas mediante Android Debug Bridge (ADB).
Desde la compañía se argumenta que esa ventana de espera de un día convierte en mucho más difícil que un estafador mantenga una campaña activa: el tiempo da margen para que la persona detecte la estafa, consulte a familiares o reciba una notificación de su banco antes de que el ataque culmine. La idea, según el presidente del Ecosistema Android, Sameer Samat, es que el retraso sirva como una «camisa de fuerza» temporal contra maniobras de ingeniería social; un resumen de sus declaraciones puede encontrarse en la cobertura de la noticia en Ars Technica.
Además del flujo para usuarios, Google ha anunciado cuentas de «distribución limitada» sin coste para estudiantes y desarrolladores aficionados que permitirán compartir apps con un máximo de 20 dispositivos sin necesidad de presentar un documento de identidad oficial ni pagar una tasa. Estas opciones, según el cronograma publicado por Google, estarán disponibles en agosto de 2026, justo antes de que la verificación obligatoria entre en vigor el mes siguiente.
No obstante, no todo el ecosistema ha acogido la iniciativa con satisfacción. Más de cincuenta desarrolladores y tiendas de apps, entre ellos proyectos y empresas como F‑Droid, Brave, la Electronic Frontier Foundation, Proton, The Tor Project y Vivaldi, han firmado una carta abierta en la que expresan su preocupación por el posible aumento de fricciones para los creadores y por los riesgos para la privacidad y vigilancia que plantea la recopilación de datos de identidad sin garantías claras sobre su uso y custodia. El texto, que circuló públicamente, reclama mayor transparencia sobre qué datos se piden, cómo se almacenan y bajo qué condiciones podrían verse comprometidos por solicitudes gubernamentales (carta abierta Keep Android Open).
El debate refleja una tensión clásica: cómo equilibrar la apertura que ha caracterizado a Android —la posibilidad de instalar apps desde fuera de la tienda oficial— con la necesidad de mitigar el abuso por parte de delincuentes digitales. Google sostiene que reforzar la identificación de desarrolladores ayudará a detectar y remover malos actores más deprisa; los críticos responden que la verificación puede ser una barrera para iniciativas pequeñas, proyectos de código abierto y para la experimentación técnica que históricamente han formado parte del ecosistema.
La preocupación por la seguridad no es teórica. En los últimos meses han aparecido amenazas móviles activas que buscan secuestrar dispositivos o robar credenciales financieras: investigadores y empresas de ciberseguridad han detectado nuevas familias de malware específicas para Android, incluyendo una campaña bautizada como Perseus que habría afectado a usuarios en países como Turquía e Italia, con objetivos de control total del dispositivo y fraude económico. Para entender mejor el contexto, conviene repasar los informes de seguridad pública y las páginas de protección de Google, como la documentación de Play Protect, que explican cómo funcionan las defensas incorporadas en Android (qué es Play Protect) y los informes de seguridad de la plataforma (Android Security).
¿Qué implicaciones prácticas tiene todo esto para usuarios y desarrolladores? Para quien instala aplicaciones, la recomendación sigue siendo la misma que en años anteriores: comprobar la procedencia del APK, desconfiar de enlaces y mensajes que presionen para instalar algo por urgencia, mantener las copias de seguridad y dejar activado Play Protect. Para desarrolladores pequeños, las cuentas de distribución limitada prometen un alivio temporal, pero la incertidumbre sobre la tramitación de la verificación y la protección de los datos personales exige que Google aporte detalles operativos y garantías técnicas convincentes.
Al final, la propuesta de Google intenta trazar una vía intermedia: preservar la posibilidad de sideloading para usuarios que saben lo que hacen, pero añadir fricción cuando esa libertad puede ser explotada por atacantes. Queda por ver si ese equilibrio funcionará en la práctica y si las medidas complementarias —controles sobre la verificación de identidad, opciones claras para proyectos comunitarios y mecanismos robustos de protección de datos— acabarán de convencer a la comunidad. Mientras tanto, la conversación entre plataformas, desarrolladores, organizaciones de privacidad y autoridades seguirá siendo clave para definir cómo será el Android abierto de la próxima década.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...