Google ha reformulado su programa de Developer Verification para Android tras las críticas de la comunidad. La compañía introducirá cuentas simplificadas para pequeños desarrolladores que distribuyen aplicaciones en círculos reducidos y un “Advanced flow” para usuarios experimentados, que permitirá el sideloading de apps de desarrolladores no verificados con advertencias reforzadas. La instalación vía ADB seguirá estando disponible y habrá verificación gratuita para estudiantes y entusiastas que operen en un número limitado de dispositivos.
Cambios clave: accesibilidad para creadores y control de riesgos en el sideloading
Las cuentas simplificadas reducirán la fricción para autores que comparten software con familiares, amigos o equipos internos, evitando requisitos de identidad plenos. En paralelo, el “Advanced flow” mantendrá la opción de instalar aplicaciones de desarrolladores no verificados, pero solo tras una confirmación explícita del riesgo por parte del usuario y con avisos de seguridad más visibles. Esta arquitectura busca preservar la apertura del ecosistema sin renunciar a controles de abuso.
El plan original y la polémica: identidad obligatoria y críticas del ecosistema
La propuesta inicial, anunciada en agosto de 2025, exigía que desde 2026 toda app —incluso instaladas desde fuentes externas— procediera de un desarrollador con identidad verificada, bloqueando software de autores “anónimos” en dispositivos Android certificados (con Play Protect y servicios de Google). El objetivo declarado era frenar malware y fraude financiero, a menudo impulsados por ingeniería social y evasión de protecciones integradas. Sin embargo, desarrolladores y proyectos como F-Droid alertaron de cargas burocráticas, costes potenciales y un mayor poder de gatekeeping por parte de Google.
Calendario de despliegue: de acceso temprano a implantación global
Google ya invita a desarrolladores que distribuyen fuera de Google Play a verificar su identidad en un programa de acceso temprano. A partir del 25 de noviembre de 2025 se abrirá a autores del Play Store. El lanzamiento pleno está previsto para marzo de 2026, con verificación obligatoria desde septiembre de 2026 en Brasil, Indonesia, Singapur y Tailandia. El despliegue global está programado para 2027.
Análisis: seguridad reforzada sin cerrar la puerta al software alternativo
La verificación de identidad eleva el coste operativo para actores maliciosos: dificulta cuentas desechables y complica campañas masivas de sideloading. Esto es relevante frente a troyanos bancarios móviles —Anatsa/TeaBot, SharkBot, Xenomorph— que se camuflan como utilidades legítimas y se distribuyen mediante phishing, mensajería y sitios falsos. Si bien la verificación no elimina estas amenazas, facilita la atribución y desincentiva el abuso repetido.
Contexto y datos: Play Protect y tendencia del malware
Según Google, Play Protect analiza más de 125.000 millones de apps al día y en 2023 bloqueó alrededor de 2,28 millones de envíos que infringían políticas en Google Play, reforzando revisión humana y controles de firma (fuente: informes de seguridad de Google Play 2023). Firmas de inteligencia de amenazas como ThreatFabric han documentado campañas sostenidas de malware bancario para Android en 2023–2024 con picos de distribución fuera de tiendas oficiales, lo que subraya la importancia de endurecer el sideloading sin suprimirlo.
Impacto en F-Droid y el software libre
Un modelo “duro” de identidad puede tensionar la privacidad y la inclusión, afectando a estudiantes, ONG y mantenedores que publican fuera de Play. La ruta elegida por Google supone un compromiso con barreras: mantener el sideloading consciente —“Advanced flow”—, pero con fricción y avisos ampliados. Las tiendas alternativas señalan un riesgo de concentración del canal de distribución; diversificar fuentes sigue siendo clave para la resiliencia del ecosistema.
Recomendaciones prácticas para reducir riesgos
Usuarios: mantenga Play Protect activado, descargue APK solo de fuentes de confianza, verifique hashes SHA-256 y firmas, limite permisos y restrinja “Instalar apps desconocidas” a aplicaciones concretas (navegador/gestor de archivos). Actualice sistema y parches con regularidad. Use instalación por ADB solo si conoce el origen y la integridad del paquete.
Desarrolladores: prepárese para la verificación y adapte su modelo de distribución al “Advanced flow”. Fortalezca la cadena de firma (protección de claves, rotación, firma v3/v4), incorpore controles de integridad en la pipeline y documente claramente el proceso de instalación y riesgos. Pruebe el UX bajo advertencias del sistema y contemple builds reproducibles cuando sea viable.
La evolución de “Developer Verification” apunta a equilibrar seguridad y apertura. Conviene seguir de cerca los detalles del “Advanced flow”, probar escenarios de instalación y planificar con antelación. Adoptar buenas prácticas hoy reducirá exposición mañana y ayudará a preservar un Android más seguro, usable y diverso.
