Google ha anunciado que, a partir de 2026, en dispositivos Android certificados —los que incluyen servicios de Google y protección Play Protect— solo se podrán instalar aplicaciones publicadas por desarrolladores verificados. La medida alcanza tanto a Google Play como a fuentes de terceros y a la instalación por sideloading. El proyecto F‑Droid, principal repositorio FOSS para Android, advierte que el cambio podría tensionar la distribución abierta de software y la viabilidad de las tiendas alternativas.
Qué cambia: calendario, alcance y requisitos técnicos de la verificación de desarrolladores Android
Google iniciará en octubre un piloto de una Android Developer Console simplificada para quienes distribuyen fuera de Play. Tras un proceso de verificación KYC (conocimiento del cliente), los editores deberán registrar el nombre del paquete y los claves de firma de sus APK.
El despliegue comenzará en septiembre de 2026 en Brasil, Indonesia, Singapur y Tailandia —mercados con alta incidencia de aplicaciones fraudulentas, según Google—, y en 2027 se extenderá a nivel mundial. Los desarrolladores que ya operan en Google Play «probablemente cumplan» al haber pasado la verificación en Play Console (incluyendo D‑U‑N‑S para organizaciones). La distribución por tiendas de terceros seguirá permitida, pero para instalar en dispositivos certificados será obligatoria la verificación del editor.
Argumentos de Google: reducir malware y fraude en Android
La justificación es elevar el coste operativo de la delincuencia móvil y frenar las aplicaciones señuelo que suplantan software legítimo. Google sostiene que las medidas reforzadas de 2023 correlacionaron con una disminución de fraudes y cargas maliciosas. La verificación formal dificulta el «renacimiento» rápido de emisores bloqueados y mejora la trazabilidad de la cadena de distribución.
No obstante, incluso los mercados oficiales son vulnerables. Históricamente, en Google Play se detectaron campañas vinculadas a Joker, Sharkbot y Xenomorph, lo que evidencia que la validación del editor mitiga, pero no elimina, el riesgo para el usuario.
F‑Droid alerta: impacto en tiendas alternativas, privacidad y costes
F‑Droid, con 15 años operando como repositorio FOSS que compila desde código fuente y evita el rastreo, considera que la nueva exigencia puede debilitar a las tiendas alternativas. El proyecto no forzará a autores independientes a verificarse con Google ni «interceptará» nombres de paquetes para registrarlos en su nombre, ya que eso equivaldría a apropiarse del control de distribución.
La iniciativa también plantea dudas sobre recolección de datos personales y posibles tasas de registro (Google sondea precios en USD en el piloto). Para muchos desarrolladores de software libre que distribuyen gratuitamente, estos requisitos pueden convertirse en una barrera de entrada.
Análisis experto: equilibrio entre seguridad y apertura del ecosistema Android
Desde el punto de vista de ciberseguridad, la verificación KYC y el registro de llaves de firma suben la barrera para actores maliciosos y complican las rotaciones de identidad tras una expulsión. A la vez, Play Protect actuaría como un nuevo «punto de control» previo al sideloading en dispositivos certificados.
El beneficio potencial es claro para el usuario masivo; sin embargo, existen riesgos de concentración de control sobre la distribución de APK, de desincentivar a desarrolladores independientes por costes y fricción, y de dependencia de una identidad centralizada. Además, la amenaza no desaparece: los atacantes pueden aprovechar firmas robadas, cadenas de suministro comprometidas y cuentas verificadas secuestradas.
Recomendaciones para desarrolladores y usuarios ante la verificación obligatoria
Desarrolladores: preparar identidad legal y gobernanza de signing keys; auditar quién registrará el nombre del paquete; documentar compilaciones reproducibles; estimar costes y procesos del KYC; evaluar excepciones y políticas para proyectos FOSS.
Usuarios: extremar la cautela con el sideloading, validar fuente, firma y permisos; mantener Play Protect activo; aplicar parches del sistema; y preferir repositorios con historial de auditoría.
La verificación de desarrolladores Android marca un giro hacia una seguridad más gestionada. Su éxito dependerá de reglas transparentes, costes razonables y excepciones claras para el software libre. Conviene seguir la evolución de la política, fortalecer la cadena de confianza y adoptar prácticas de desarrollo e instalación seguras para preservar el balance entre protección del usuario y apertura del ecosistema.
