- Google introduce un nuevo “flujo avanzado” para instalar APK de desarrolladores no verificados en Android.
- El proceso suma pasos como activar el modo desarrollador, reiniciar y esperar 24 horas antes de instalar.
- El cambio busca frenar estafas e instalaciones bajo coacción, sin eliminar el ‘sideloading’ por completo.
- Habrá cuentas de distribución limitada y excepciones técnicas, pensando en estudiantes y usuarios avanzados.
Durante años, la gran diferencia de Android frente a otros sistemas ha sido la posibilidad de instalar aplicaciones desde casi cualquier sitio con solo descargar un APK. Esa flexibilidad ha permitido probar apps experimentales, versiones modificadas o proyectos independientes al margen de las tiendas oficiales, algo muy valorado por usuarios avanzados y comunidades de desarrollo.
Esa libertad no desaparece, pero Google ha confirmado un cambio profundo en la forma de instalar apps de orígenes no verificados. A partir de este verano, entrar en ese terreno dejará de ser un par de toques rápidos y pasará a requerir un proceso más largo, pensado para frenar estafas y reducir instalaciones hechas bajo presión o sin demasiada reflexión previa.
Qué es el nuevo “flujo avanzado” para instalar APK en Android
Google ha bautizado este nuevo sistema como “Advanced Flow” o flujo avanzado. No se trata de un pequeño ajuste, sino de una cadena de pasos adicionales que se activará cuando el usuario intente instalar una aplicación procedente de un desarrollador que no haya verificado su identidad con la compañía. Es decir, no afecta por igual a todo lo que esté fuera de Google Play, sino específicamente a quienes no se sometan al nuevo programa de verificación.
La compañía lo enmarca en una estrategia de seguridad más amplia. Según datos citados por Google, en torno al 57% de los adultos sufrió algún tipo de estafa en el último año, con pérdidas globales estimadas en cientos de miles de millones de dólares. Una parte importante de esos fraudes pasa por convencer a las víctimas para que instalen software malicioso, a menudo haciéndose pasar por su banco, una administración pública o un soporte técnico.
Hasta ahora, los avisos de seguridad integrados en Android (mensajes de advertencia, ventanas emergentes, alertas de fuentes desconocidas) no estaban logrando frenar del todo esas tácticas. Google reconoce que las barreras actuales son demasiado fáciles de saltar, sobre todo cuando hay un estafador al otro lado del teléfono guiando paso a paso al usuario. De ahí nace este flujo avanzado.
El despliegue del nuevo proceso está previsto para agosto, coincidiendo con la entrada en vigor de los requisitos de verificación de identidad para desarrolladores. Ambos cambios forman parte del mismo giro: más responsabilidad para quien publica apps y más fricción para las instalaciones de orígenes que el sistema no pueda vincular a una persona real.
Los pasos del nuevo proceso para instalar APK no verificados
Installar un APK de un desarrollador no verificado dejará de ser tan inmediato. El nuevo flujo añade tiempo, comprobaciones y un periodo de espera obligatorio cuyo objetivo es romper la urgencia artificial que suelen generar los estafadores. La secuencia general, válida tanto para móviles como para otros dispositivos con Android (como televisores con Android TV o Chromecast con Google TV), es la siguiente:
En primer lugar, el usuario tendrá que activar el modo desarrollador en los ajustes del sistema. Esto implica entrar en la sección de información del dispositivo, localizar el número de compilación y pulsar varias veces seguidas hasta que Android confirme que las opciones para desarrolladores han quedado habilitadas. Es un menú que ya existía, pero que hasta ahora no era un requisito indispensable para instalar APK desde fuentes externas.
Después, el sistema mostrará un cuadro de diálogo específico para verificar que nadie está presionando al usuario para modificar la configuración de seguridad. Es una pregunta directa: se intenta cortar el patrón clásico de las estafas en las que alguien, por teléfono o mediante acceso remoto, va dictando qué tocar y qué desactivar.
El siguiente escalón del flujo avanzado obliga a reiniciar el dispositivo y volver a autenticarse. Ese reinicio forzado no es un capricho: corta cualquier llamada activa o sesión remota desde la que un tercero pudiera estar observando la pantalla o influyendo en las decisiones del usuario en tiempo real.
Tras el reinicio, comienza lo que Google denomina un “periodo de espera de protección” de 24 horas. Durante ese día el usuario no puede completar la instalación del APK no verificado. La idea es que esa pausa obligatoria rebaje la ansiedad, dé margen para consultar con alguien de confianza o, sencillamente, permita darse cuenta de que algo no encaja.
Una vez transcurridas esas 24 horas, el proceso exige una reautenticación mediante biometría o PIN. Es decir, habrá que confirmar la identidad con huella dactilar, reconocimiento facial o el código de desbloqueo del dispositivo. Solo entonces se mostrará la pantalla final de instalación, con avisos visibles de que la app procede de un origen no verificado.
En ese último paso, Android permitirá elegir entre habilitar la instalación de desarrolladores no verificados durante un periodo limitado (por ejemplo, siete días) o de forma indefinida. En cualquier caso, cada nueva app que se instale vía APK mostrará un aviso, y será necesario pulsar sobre la opción que indica algo similar a “Instalar de todas formas” para continuar.
A quién afecta realmente este cambio en Android
La forma en que este nuevo flujo afecta al día a día depende mucho de cómo se utilice el dispositivo. Para quienes se mueven casi en exclusiva dentro de Google Play o tiendas oficiales de desarrolladores verificados, el impacto será muy limitado o directamente inexistente. Esas instalaciones seguirán siendo relativamente directas, con las advertencias habituales de seguridad, pero sin periodo de espera de 24 horas.
Los cambios se notarán sobre todo en usuarios que instalan APK con frecuencia procedentes de webs, repositorios alternativos o canales informales, especialmente cuando el autor de la app no haya completado el proceso de verificación de identidad. En ese caso, cada nuevo intento de instalación inicial activará el flujo avanzado con todos sus pasos.
Esto no se aplica solo a móviles. Televisores con Android TV y dispositivos como Chromecast también se verán afectados cuando se intente instalar aplicaciones externas de desarrolladores no identificados. En estos equipos, activar el modo desarrollador, reiniciar y completar la espera de 24 horas puede resultar aún más engorroso que en un smartphone.
Google insiste en que no se trata de cerrar por completo la puerta al ‘sideloading’, sino de elevar el listón para que solo usuarios informados y con intención clara completan el proceso. El objetivo oficial es que la inmensa mayoría de personas continúe centrada en apps verificadas, mientras que el flujo avanzado actúa como filtro natural para quienes quieran ir más allá.
Este giro se interpreta también en clave de comparación con iOS. Aunque Apple se ha visto obligada en Europa a abrir algo más su ecosistema a tiendas alternativas, Google, en paralelo, mueve ficha en la dirección opuesta: mantiene la posibilidad de instalar lo que uno quiera, pero con más controles y más pasos intermedios.
Seguridad, estafas y el argumento de Google
La justificación principal de este cambio gira en torno a la ingeniería social y las estafas telefónicas. Desde la propia compañía reconocen que la mayoría de ataques actuales ya no buscan tanto vulnerabilidades técnicas del sistema como convencer a las personas para que ellas mismas desactiven protecciones o instalen software malicioso.
Las tácticas más habituales pasan por generar urgencia artificial (amenazas de bloqueos de cuenta, supuestos pagos pendientes, falsas multas) y mantener a la víctima al teléfono mientras se le guía por los menús del móvil. En ese contexto, los avisos en pantalla se vuelven casi irrelevantes: hay alguien dando instrucciones paso a paso y presionando para que se acepten todos los mensajes.
Con el flujo avanzado, Google intenta cortar ese guion en varios puntos: obliga a entrar a un menú poco intuitivo (modo desarrollador), fuerza un reinicio que corta la llamada y, sobre todo, introduce una espera de un día entero durante la cual la presión inmediata desaparece. La compañía defiende que este retraso es clave para reducir el número de instalaciones hechas bajo coacción.
Los datos que pone sobre la mesa son contundentes: informes recientes de organizaciones especializadas cifran en alrededor de 442.000 millones de dólares las pérdidas globales ligadas a estafas en un solo año. Una parte de ese daño se atribuye a aplicaciones falsas que aparentan ser legítimas, y que se distribuyen precisamente mediante APK o enlaces externos alejados de las tiendas oficiales.
Desde el punto de vista del usuario avanzado, la lectura es distinta. Para quien lleva años aprovechando la apertura de Android para instalar ROMs, herramientas de análisis o apps de código abierto, esperar obligatoriamente 24 horas por cada nuevo origen no verificado puede resultar excesivo. Google es consciente de esa crítica y ha incorporado algunas vías de escape para perfiles más técnicos.
Excepciones, cuentas de distribución limitada y ADB
Para no bloquear del todo a quienes están empezando en el desarrollo, Google ha anunciado las llamadas “cuentas de distribución limitada”. Son cuentas gratuitas pensadas para estudiantes, proyectos pequeños o desarrolladores aficionados, y permiten compartir aplicaciones con hasta 20 dispositivos sin necesidad de aportar un documento oficial de identidad ni pagar las tasas habituales de registro.
En la práctica, estas cuentas ofrecen una especie de vía intermedia para probar apps en un círculo reducido, como podría ser una clase universitaria, un proyecto interno de una empresa pequeña o un grupo de pruebas entre amigos. Aunque no eliminan las nuevas medidas de seguridad, sí suavizan parte del impacto para quienes simplemente quieren distribuir sus creaciones sin aspirar a llegar al gran público.
Otra de las piezas clave del nuevo esquema de instalación es el tratamiento que se da a ADB (Android Debug Bridge). Según han confirmado portavoces y filtraciones de especialistas, la instalación mediante ADB no se verá afectada por el periodo de espera de 24 horas. Es decir, seguirán siendo posibles las instalaciones directas desde un ordenador o mediante ADB inalámbrico sin pasar por todo el flujo avanzado.
Esta excepción tiene lógica dentro del enfoque general de Google: requiere conocimientos técnicos y un mínimo de familiaridad con herramientas de desarrollo. Justo lo contrario del perfil de usuario al que apuntan la mayoría de estafas masivas. Para el público general, el mensaje es claro: si hay que tocar ADB, probablemente ya no estamos ante un proceso casual.
Por último, conviene recordar que las aplicaciones de desarrolladores que sí completen el proceso de verificación de identidad no se enfrentan a estos obstáculos. Podrán seguir distribuyéndose desde sus páginas oficiales o desde tiendas de terceros compatibles sin que el usuario tenga que esperar un día entero ni activar menús avanzados, más allá de las advertencias habituales de Android y las comprobaciones de Play Protect.
Cambio de equilibrio entre apertura y control en Android
El nuevo proceso para instalar APK en Android es, sobre todo, una redefinición del equilibrio entre la apertura histórica del sistema y la búsqueda de más control. Android se presentó en su día como una plataforma abierta donde cualquiera podía crear y distribuir apps sin intermediarios; con el paso del tiempo, el volumen de usuarios, el auge del malware móvil y las exigencias regulatorias han empujado a Google a matizar esa filosofía.
La obligación de que los desarrolladores se identifiquen ante Google con un documento oficial, junto con este flujo avanzado para instalaciones de orígenes no verificados, son dos caras de la misma moneda. A ojos de parte de la comunidad, suponen un cierre progresivo del ecosistema; para la compañía, se trata de reducir riesgos en un sistema operativo que ya no es un nicho para entusiastas, sino la base digital de miles de millones de personas.
En Europa, estos movimientos se producen además en un contexto particular, con nuevas normativas de servicios digitales y competencia que presionan a los grandes actores tecnológicos para que asuman más responsabilidad sobre lo que ocurre en sus plataformas. En ese entorno, medidas que hace años habrían sido impensables empiezan a presentarse como concesiones necesarias para seguir permitiendo ciertas libertades.
Para el usuario medio de España y del resto del continente que se mantiene dentro de las tiendas oficiales, el cambio será casi invisible. Sin embargo, quienes llevan tiempo aprovechando el ‘sideloading’ como se venía entendiendo hasta ahora tendrán que adaptarse: más pasos, más esperas y más decisiones conscientes cada vez que quieran confiar en un desarrollador no verificado.
El resultado es un Android que sigue permitiendo instalar APK externos, pero en el que esa posibilidad deja de ser un gesto rápido y se convierte en algo mucho más deliberado. Para algunos será una molestia, para otros un mal menor a cambio de reducir el margen de maniobra de los estafadores; en todo caso, marca un antes y un después en la forma de entender la instalación de apps fuera de las tiendas oficiales en el ecosistema de Google.
