Google ha anunciado un nuevo “flujo avanzado” de sideloading en Android que introduce un periodo de espera obligatorio de 24 horas antes de poder instalar aplicaciones procedentes de desarrolladores no verificados. La compañía presenta esta medida como un intento de mantener la apertura histórica de Android, reforzando al mismo tiempo la protección frente al creciente ecosistema de malware Android y las estafas basadas en ingeniería social.
Nuevo flujo avanzado de instalación: cómo funcionará el sideloading con 24 horas de espera
El sideloading —la instalación manual de archivos APK fuera de Google Play o de otras tiendas— seguirá siendo posible, pero se activará un nuevo flujo avanzado de seguridad. Cuando el usuario intente instalar una aplicación de un desarrollador no verificado, Android requerirá una configuración única inicial y, a continuación, impondrá una ventana de espera de 24 horas antes de permitir la instalación efectiva.
Desde el punto de vista de la ciberseguridad, esta solución apunta directamente a uno de los recursos más efectivos de la ingeniería social: la sensación de urgencia. Estafas frecuentes como “su cuenta bancaria está bloqueada” o “un familiar necesita ayuda inmediata” suelen culminar en instrucciones para instalar un APK malicioso. Al forzar una pausa de 24 horas, se reduce drásticamente la probabilidad de que el usuario actúe de forma impulsiva y aumenta el margen para verificar la veracidad del mensaje o consultar con la entidad supuestamente implicada.
Verificación de identidad de desarrolladores y excepción para ADB
Este cambio se suma al requisito, ya anunciado, de que en el futuro solo se podrán instalar aplicaciones de desarrolladores verificados en dispositivos Android certificados. La verificación de identidad, que se apoyará en el vínculo entre la cuenta de desarrollador y la identidad real, pretende mejorar la trazabilidad de los actores maliciosos y dificultar que desaparezcan tras una oleada de ataques.
Un aspecto clave para la comunidad técnica es que la nueva medida no se aplicará a instalaciones mediante Android Debug Bridge (ADB). Esto significa que desarrolladores, probadores y equipos de seguridad podrán seguir utilizando el canal de depuración estándar sin retrasos adicionales, manteniendo su flujo de trabajo de pruebas y análisis de seguridad sin cambios significativos.
Críticas a Google: impacto en la privacidad y en las tiendas alternativas de aplicaciones
Las nuevas políticas han generado una respuesta crítica por parte de más de 50 desarrolladores y operadores de tiendas alternativas, entre ellos F-Droid, Brave, Electronic Frontier Foundation, Proton, The Tor Project y Vivaldi. El núcleo de sus objeciones se centra en el posible aumento de barreras de entrada al ecosistema Android y en los riesgos para la privacidad de los desarrolladores.
Persisten interrogantes sobre qué datos personales concretos deberán aportar los desarrolladores para ser verificados, cómo se almacenarán y protegerán esos datos y en qué condiciones podrían ser solicitados por autoridades o utilizados en procesos judiciales. Estas preocupaciones son especialmente sensibles para proyectos centrados en la anonimidad, la libertad de expresión o la elusión de la censura, que dependen de modelos de distribución descentralizados y, a menudo, de identidades seudónimas.
Cuentas de distribución limitada: el compromiso de Google para estudiantes y entusiastas
Como respuesta parcial a estas críticas, Google ha anunciado la creación de “cuentas de distribución limitada” (limited distribution accounts). Estas cuentas serán gratuitas, no exigirán aportar un documento de identidad y permitirán compartir aplicaciones con hasta 20 dispositivos. Su objetivo es facilitar la experimentación, el aprendizaje y las pruebas a estudiantes, aficionados y proyectos incipientes, sin imponer de entrada los requisitos completos de verificación ni la tasa de registro.
Según el calendario comunicado, tanto el nuevo flujo avanzado de sideloading como las cuentas de distribución limitada estarán disponibles a partir de agosto de 2026. Las exigencias plenas de verificación de desarrolladores se activarán un mes más tarde, dando a la comunidad un margen mínimo para adaptarse a los nuevos controles.
Auge del malware Android: Perseus y las nuevas familias de troyanos móviles
Estas decisiones de política de seguridad se producen en un contexto de crecimiento sostenido del malware para Android. Investigadores de seguridad han documentado un nuevo familia de malware Android denominada Perseus, dirigida principalmente a usuarios de Turquía e Italia. Perseus está diseñado para lograr un “device takeover” (DTO), o toma total de control del dispositivo, con foco en el fraude financiero: secuestro de sesiones bancarias, robo de credenciales y manipulación de transacciones.
En los últimos meses se han identificado al menos 17 familias adicionales de malware Android, entre ellas FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink y su variante SURXRAT, deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT. Muchas de estas amenazas combinan capacidades de robo de datos bancarios, interceptación de SMS de un solo uso, control remoto del dispositivo y evasión de Google Play Protect.
Los análisis de múltiples laboratorios de seguridad coinciden en que el sideloading sigue siendo uno de los vectores de infección predominantes en Android. Los atacantes distribuyen APK maliciosos mediante campañas de phishing, sitios falsos de bancos y mensajes en plataformas de mensajería que instan al usuario a instalar de forma urgente supuestas “apps de seguridad” o “actualizaciones críticas” de su entidad financiera.
Ante este escenario, las nuevas restricciones de Google pretenden elevar el coste operativo de estas campañas y reducir su tasa de éxito, sin llegar a cerrar completamente la posibilidad de instalar software externo a las tiendas oficiales. El equilibrio entre apertura del ecosistema y gestión del riesgo se convierte así en un aspecto central de la estrategia de seguridad de Android.
Para los usuarios, resulta recomendable limitar el sideloading a casos estrictamente necesarios, instalar solo desde fuentes confiables, mantener activado Google Play Protect y desconfiar sistemáticamente de cualquier petición “urgente” de instalar un APK. Desarrolladores y responsables de tiendas alternativas deberían analizar con antelación los nuevos requisitos de verificación y probar sus flujos de distribución mediante las cuentas de distribución limitada, con el fin de seguir ofreciendo aplicaciones seguras y accesibles sin comprometer la privacidad ni la seguridad del ecosistema.
