- Google introduce el flujo avanzado para instalar APK de desarrolladores no verificados en Android.
- El proceso obliga a activar el modo desarrollador, reiniciar el dispositivo y esperar 24 horas.
- Solo las apps de creadores no identificados pasan por este sistema; las verificadas apenas notan cambios.
- Se crean cuentas de distribución limitada y se mantiene ADB como vía rápida para usuarios avanzados.
Android ha sido durante años el refugio perfecto para quien quería instalar aplicaciones desde fuera de la tienda oficial sin demasiadas complicaciones. Bastaba con descargar un archivo APK, tocar en instalar y listo. Esa posibilidad no desaparece, pero el modo en que se va a hacer a partir de ahora cambia de forma notable y obliga a tomarse el proceso con mucha más calma.
Google ha detallado un nuevo sistema de instalación para apps de desarrolladores no verificados que añade pasos, esperas e incluso comprobaciones contra estafas telefónicas. El objetivo declarado es reforzar la seguridad de miles de millones de usuarios, aunque a cambio la experiencia se vuelve bastante menos inmediata para quienes estaban acostumbrados a instalar APK casi de memoria.
Qué es el nuevo «flujo avanzado» para instalar APK
La compañía ha bautizado este sistema como «Advanced Flow» o flujo avanzado, y será la ruta obligatoria cuando intentemos instalar una app procedente de un desarrollador que no haya verificado su identidad con Google. No se trata, por tanto, de bloquear cualquier instalación externa, sino de poner un filtro adicional a quienes no pasen por el nuevo programa de verificación.
Este flujo avanzado llegará a partir de agosto, coincidiendo con la entrada en vigor de los nuevos requisitos para creadores de aplicaciones. Google lo define como un proceso que se realiza una sola vez por usuario y dispositivo, aunque en la práctica concentra varias capas de fricción pensadas para que la decisión de instalar una APK sin verificar sea muy consciente.
En el día a día, quien se limite a usar la Play Store o tiendas de apps con desarrolladores identificados apenas notará cambios. La experiencia se mantiene prácticamente igual para aplicaciones verificadas, tanto en móviles y tablets como en dispositivos con Android TV o Chromecast con Google TV, donde el nuevo sistema también entra en juego.
El impacto real, por tanto, recae sobre usuarios avanzados, entusiastas y quienes confían en repositorios externos, además de los desarrolladores independientes que publican apps fuera de los canales oficiales sin pasar por la identificación con documento.
Los cinco pasos del nuevo proceso para instalar APK no verificadas
Hasta ahora, descargar un archivo APK y pulsar en instalar era casi todo lo que hacía falta, más allá de permitir orígenes desconocidos. Con el flujo avanzado, la historia cambia: el nuevo sistema añade una secuencia de pasos diseñada para frenar estafas y presiones externas que buscan que el usuario actúe sin pensar.
La ruta completa para instalar una app de un desarrollador no verificado queda estructurada en cinco pasos clave que Google ha ido detallando en su blog de desarrolladores y en la documentación de Android:
- Activar el modo desarrollador. El primer requisito es entrar en los ajustes del sistema y habilitar manualmente las opciones para desarrolladores, normalmente tocando varias veces sobre el número de compilación. Este paso ya existía para funciones avanzadas, pero ahora se convierte en condición para iniciar el flujo avanzado y evita activaciones por error o de un solo toque.
- Confirmar que no hay coacción. A continuación, el sistema muestra un cuadro de diálogo en el que se pregunta si alguien está guiando la operación por teléfono o mediante acceso remoto. La idea es romper el patrón típico de muchas estafas, donde una persona mantiene a la víctima al otro lado de la línea y le va indicando qué opciones pulsar.
- Reiniciar el dispositivo y volver a autenticarse. Superado el aviso, el teléfono, la tablet o incluso el televisor con Android TV exige un reinicio completo. Tras encenderse de nuevo, el usuario debe autenticarse otra vez con su método habitual. El objetivo es cortar llamadas en curso, sesiones remotas u otras conexiones que puedan estar aprovechándose de la situación.
- Esperar 24 horas. Aquí llega el cambio más llamativo: se activa un periodo de espera obligatorio de un día completo antes de continuar. Google sostiene que este «muro» de 24 horas sirve para desactivar la urgencia artificial que los estafadores generan y dar margen para pedir ayuda, informarse o simplemente replantearse la instalación.
- Verificación biométrica e instalación final. Transcurrido el día, el sistema pide de nuevo identificación biométrica o PIN y muestra un aviso claro de que la app procede de un desarrollador no verificado. En ese punto se puede completar la instalación, eligiendo entre habilitar este tipo de instalaciones durante siete días o dejarlo activado de forma indefinida.
En todo momento, Android insiste con mensajes visibles de alerta sobre el origen no verificado de la app. Aunque el usuario puede pulsar en «Instalar de todas formas», la cadena de pasos y esperas convierte lo que antes era un gesto casi reflejo en una decisión mucho más meditada.
Este mecanismo se aplicará tanto en teléfonos y tablets como en dispositivos de salón. En Android TV y Chromecast con Google TV, por ejemplo, será necesario ir a los ajustes, activar el modo desarrollador, aceptar advertencias, reiniciar el aparato, esperar las 24 horas y finalmente introducir el PIN del dispositivo antes de instalar un APK desde un repositorio externo.
En la práctica, quienes estaban acostumbrados a probar aplicaciones de terceros con frecuencia van a encontrarse con un proceso largo, algo tedioso y pensado precisamente para desincentivar usos más impulsivos. Para muchos usuarios ocasionales, ese simple cambio basta para abandonar la idea de instalar software fuera de los canales verificados.
Por qué Google endurece la instalación de APK externas
Google lleva tiempo defendiendo que el principal problema de seguridad ya no son solo las vulnerabilidades técnicas, sino la capacidad de los atacantes para presionar o engañar a la gente. La ingeniería social, es decir, provocar que el propio usuario desactive protecciones, se ha convertido en el camino preferido para colar malware en móviles y televisores conectados.
Para justificar este giro, la compañía se apoya en datos recientes: un informe de la Global Anti-Scam Alliance de 2025 apuntaba a que el 57% de los adultos encuestados sufrió algún tipo de estafa en el año anterior, con pérdidas estimadas de 442.000 millones de dólares a nivel global. Una parte relevante de estos fraudes pasa por instalar aplicaciones que se hacen pasar por apps de bancos, servicios públicos o herramientas de soporte técnico.
Desde la propia Google reconocen que las advertencias tradicionales en pantalla no estaban siendo suficientes para detener estos ataques, en especial cuando la víctima tenía al estafador al teléfono marcando el ritmo de sus decisiones. De ahí que el nuevo flujo avanzado se haya diseñado con la idea de interrumpir la presión continua: reinicio obligatorio, espera de 24 horas y autenticación posterior.
La compañía insiste en que el objetivo no es «cerrar» Android a la manera clásica de iOS, sino encontrar un punto intermedio entre apertura y control. En su discurso oficial recalcan que el sideloading sigue permitido y que los usuarios avanzados pueden seguir instalando APK de terceros, pero asumiento pasos extra y tiempos de espera.
Aunque el enfoque de seguridad tiene lógica, una parte de la comunidad de desarrolladores y usuarios entusiastas ve estos cambios como un intento de empujar a casi todo el mundo hacia aplicaciones verificadas. No se prohíbe nada de forma explícita, pero se colocan tantas barreras que, en la práctica, solo los perfiles más técnicos estarán dispuestos a atravesarlas.
Verificados frente a no verificados: quién pasa por el nuevo flujo
Uno de los matices más importantes es que no todas las apps externas se verán afectadas por igual. La clave está en si el desarrollador ha pasado o no por el programa de verificación de identidad de Google, que exige aportar documentación oficial para asociar cada cuenta de creador a una persona o entidad real.
Si un desarrollador está verificado dentro del nuevo sistema, sus aplicaciones podrán seguir instalándose desde su propia web o desde tiendas alternativas con un proceso muy similar al actual. Es decir, el flujo avanzado, con el reinicio y el día de espera, se reserva para aquellos creadores que operen sin identificarse ante Google.
La compañía reconoce abiertamente que quiere que la gran mayoría de usuarios se quede en el ecosistema de apps verificadas, ya sea a través de Play Store u otras tiendas que cumplan los mismos requisitos. Para el resto, la instalación seguirá siendo posible, pero deliberadamente menos cómoda.
Este planteamiento ha generado fricciones con repositorios alternativos y proyectos de software libre, que temen que el nuevo modelo acabe desplazándolos hacia un segundo plano. Plataformas como F-Droid ya manifestaron en su momento su oposición a la exigencia de identificación, acusando a Google de utilizar la lucha contra el malware como excusa para estrechar el control.
A cambio, Google subraya que estos cambios se introducen tras escuchar las críticas y que el flujo avanzado pretende ser una «capa de responsabilidad y fricción«, no un veto frontal a las apps que no pasan por su programa de verificación.
Cuentas de distribución limitada: la vía para estudiantes y aficionados
Para evitar cortar de raíz el aprendizaje y la experimentación, la compañía ha anunciado la creación de cuentas de distribución limitada gratuitas. Están pensadas para estudiantes, desarrolladores aficionados o pequeños grupos de trabajo que quieren compartir sus aplicaciones sin dar el salto a un programa profesional completo.
Con este tipo de cuenta, será posible distribuir apps a un máximo de 20 dispositivos sin necesidad de aportar un documento de identidad oficial ni pagar las tasas habituales de registro como desarrollador. Es una especie de circuito cerrado pensado para pruebas internas, proyectos académicos o comunidades reducidas.
La idea es que quienes no pretenden lanzar una aplicación a gran escala tengan una alternativa legal y relativamente sencilla sin tener que recurrir a repositorios abiertos o al envío indiscriminado de APK. Eso sí, el límite de dispositivos y el carácter restringido de este modelo dejan claro que estamos ante una solución pensada para casos muy concretos.
Estas cuentas de distribución limitada llegarán también a partir de agosto, en paralelo a la activación del nuevo flujo avanzado. Será entonces cuando se vea cuántos desarrolladores optan por esta vía y cuántos deciden identificarse por completo para evitar cualquier fricción con sus usuarios.
En cualquier caso, el mensaje de fondo es claro: quien quiera llegar a un público amplio lo tendrá mucho más fácil si se registra y verifica. El resto seguirá teniendo opciones, pero con más trabas y dirigidas a colectivos pequeños.
ADB, Android TV y el impacto en los usuarios avanzados
Para los llamados power users, el nuevo escenario tiene matices importantes. Uno de los más relevantes es que la instalación de apps mediante ADB (Android Debug Bridge) se mantiene fuera de este flujo avanzado. Es decir, quienes usen la consola ADB desde un ordenador o herramientas basadas en ella podrán seguir instalando APK sin pasar por el bloqueo de 24 horas.
Esta excepción no es casual: usar ADB implica conectar el dispositivo vía USB o configurar la depuración inalámbrica, aceptar claves de confianza y manejar comandos, algo que ya deja fuera a buena parte de los usuarios menos experimentados. Justo el grupo que Google quiere proteger con el nuevo sistema.
Donde sí se nota el cambio es en el uso cotidiano que hacen muchos usuarios de Android TV y Chromecast con Google TV para instalar aplicaciones de streaming no oficiales o herramientas avanzadas. En televisores con Android TV, activar el modo desarrollador, reiniciar el equipo y esperar un día antes de introducir el PIN para instalar un APK externo supone un obstáculo considerable.
Además del flujo avanzado, Google está endureciendo también el papel de Play Protect en Android y Android TV. El servicio de seguridad analiza continuamente las apps instaladas y puede llegar a bloquear o incluso eliminar algunas aplicaciones de terceros, especialmente aquellas que modifican el sistema o interfieren con la publicidad.
Quien confíe en ciertas apps externas tendrá que revisar los ajustes de Play Store y Play Protect en su televisor o móvil, desactivando opciones como «Analizar las apps con Play Protect» o «Mejorar la detección de apps dañinas» si no quiere que el sistema actúe por su cuenta. Evidentemente, esto supone asumir un riesgo adicional que no todo el mundo estará dispuesto a correr.
En paralelo, Google insiste en que, si el uso se limita a aplicaciones de Play Store o desarrolladores verificados, la experiencia seguirá siendo prácticamente la misma que hasta ahora. Para la mayoría de personas que ni siquiera saben lo que es un APK, los cambios pasarán desapercibidos.
La consecuencia práctica de todas estas medidas es que Android sigue permitiendo instalar lo que uno quiera, pero obliga a pensárselo dos veces. Quien esté dispuesto a lidiar con reinicios, esperas y advertencias podrá seguir haciéndolo; quien no, probablemente se quedará dentro del ecosistema verificado por pura comodidad.
Con este giro, Google intenta cuadrar un círculo complicado: reducir el enorme volumen de estafas y abusos que se apoyan en apps maliciosas, mantener cierta imagen de plataforma abierta y, al mismo tiempo, empujar al grueso de usuarios hacia un entorno más controlado. El resultado es un Android donde la libertad formal continúa, pero el camino para ejercerla se hace bastante más empinado.
