Google ha anunciado un cambio en la manera en que se distribuirán aplicaciones en el ecosistema Android. A partir de 2026, todos los desarrolladores que publiquen apps para dispositivos Android certificados deberán someterse a un proceso de verificación de identidad. La medida, denominada Developer Verification, pretende reducir la distribución de malware y fraudes, especialmente en el terreno del sideloading —la instalación de aplicaciones fuera de Google Play—, donde las apps infectadas se multiplican de manera exponencial.

El objetivo es claro: acabar con el anonimato que durante años ha permitido a los actores maliciosos esconderse bajo nombres falsos, suplantar marcas y volver a distribuir aplicaciones fraudulentas tras ser bloqueadas.

Según la propia compañía, el malware procedente de fuentes externas a Google Play es 50 veces más frecuente que en las apps verificadas de la tienda oficial.

Cómo funcionará la verificación de desarrolladores

Lo que propone Google es claro: será un control de identidad similar al que un viajero debe pasar en el aeropuerto. No se revisará el contenido de la maleta (la aplicación), sino la identidad del pasajero (el desarrollador).

  • Requisito universal en dispositivos certificados: a partir de 2026, todas las apps instaladas deberán proceder de un desarrollador con identidad verificada por Google.

  • Bloqueo de apps no conformes: si un usuario intenta instalar una aplicación de un editor no verificado, el sistema mostrará un aviso de seguridad y bloqueará la instalación.

  • Cronograma escalonado: la medida entrará en vigor primero en Brasil, Indonesia, Singapur y Tailandia en septiembre de 2026. El despliegue global llegará en 2027.

  • Distinción por tipo de desarrollador: los editores comerciales tendrán un proceso estándar de verificación, mientras que se prevé un canal diferenciado para estudiantes y hobbistas, con menos requisitos burocráticos.

  • Nueva consola de gestión: quienes distribuyan fuera de Play Store contarán con una Android Developer Console específica, donde podrán gestionar su verificación.

¿Qué dispositivos estarán afectados?

El requisito de verificación aplica solo a los dispositivos Android certificados, es decir, aquellos que han superado la Compatibility Test Suite (CTS) de Google y que incluyen oficialmente los servicios de Google Play, Play Protect y la propia tienda de aplicaciones.

Esto significa que los usuarios de marcas como Samsung, Xiaomi, Motorola, OnePlus, Oppo, Vivo o Google Pixel estarán bajo el nuevo marco.

En cambio, dispositivos no certificados, como los Huawei, las tabletas Fire de Amazon o ciertos TV boxes de dudosa procedencia, quedarán fuera de esta obligación. En ellos seguirá siendo posible instalar aplicaciones desde cualquier fuente sin restricción.

El ‘Sideloading’ talón de Aquiles de la seguridad móvil

El sideloading ha sido históricamente una de las banderas de la plataforma frente a iOS, ofreciendo a los usuarios libertad para instalar cualquier aplicación sin restricciones. Sin embargo, esa libertad se ha convertido también en el talón de Aquiles de la seguridad móvil.

Google insiste en que no se eliminará la posibilidad de distribuir apps fuera de Play Store. Los usuarios podrán seguir instalando desde cualquier fuente, siempre que el desarrollador esté verificado. De esta manera, se preserva la apertura, pero bajo una capa mínima de trazabilidad y responsabilidad.

Para la compañía, la clave está en dificultar la reincidencia: un ciberdelincuente podrá ver bloqueada su cuenta de desarrollador y tendrá muchas más dificultades para crear otra bajo otra identidad falsa.

De D-U-N-S a Developer Verification: un salto más allá

Google ya contaba con mecanismos de identificación en Play Store. En agosto de 2023 introdujo la obligación de que los editores proporcionaran un número D-U-N-S (Data Universal Numbering System), un identificador empresarial internacional utilizado en procesos comerciales y financieros.

La medida tuvo impacto: redujo de forma notable la presencia de aplicaciones maliciosas en la tienda oficial. Sin embargo, dejaba fuera al universo paralelo de apps distribuidas en tiendas de terceros o a través de descargas directas en formato APK, una práctica muy común en mercados emergentes y entre usuarios que buscan saltarse restricciones geográficas.

El nuevo sistema amplía esa obligación a todo el ecosistema Android certificado, incluyendo tanto Google Play como otros canales de distribución, con la meta de crear un estándar global de identidad verificable.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre