Google prepara un cambio de calado en Android: a partir de los próximos meses, la instalación manual de APK descargados de Internet quedará bloqueada si la aplicación no está ligada a un desarrollador verificado. La medida apunta directamente al llamado sideloading y busca elevar el listón de seguridad en el ecosistema móvil.
La compañía hará una excepción con Android Debug Bridge (ADB), la herramienta de desarrollo que permite cargar apps desde un ordenador por cable o de forma inalámbrica. Al mismo tiempo, Play Protect dejará de ser el mecanismo de comprobación para dar paso a Android Developer Verifier, un sistema de verificación que, según se ha avanzado, no podrá desactivarse.
Qué cambia exactamente
Instalar apps por fuera de Google Play seguirá siendo posible, pero solo si esas aplicaciones están vinculadas a un desarrollador verificado. En la práctica, cuando el usuario intente abrir un APK descargado de la web, el sistema comprobará la procedencia del desarrollador y, si no supera la verificación, la instalación quedará bloqueada.
Esta restricción pretende atajar el vector de riesgo asociado a los APK distribuidos por canales no oficiales. Google respalda el giro en que las apps externas presentan un riesgo muy superior de malware en comparación con las distribuidas a través de Play Store.
La excepción: ADB para desarrolladores
Queda una puerta abierta para perfiles técnicos: ADB (Android Debug Bridge). Esta utilidad, pensada para desarrollo y pruebas, permite conectar el móvil al ordenador (por cable o vía Wi‑Fi) y lanzar la instalación mediante comandos. Es un flujo más complejo que descargar e instalar con un toque, y requiere ciertos pasos previos.
Para usar ADB hay que activar las Opciones de desarrollador del dispositivo y, si se va a conectar por cable, habilitar la depuración USB. Este enfoque reduce la exposición al malware porque implica controles adicionales y un entorno más acotado que el de las descargas abiertas.
De Play Protect a Android Developer Verifier
Hasta ahora, Play Protect se ocupaba de gran parte de las comprobaciones de seguridad. Con el nuevo enfoque, la validación de procedencia y autoría pasará a Android Developer Verifier, un sistema específico orientado a certificar la identidad del desarrollador y su vínculo con la app. La compañía ha indicado que este verificador no podrá desactivarse, evitando que los controles se eludan desde los ajustes.
Calendario del despliegue
La implantación no será de un día para otro, sino que seguirá un plan por fases que ya tiene fechas marcadas y empezará con pruebas limitadas antes de extenderse a más regiones.
- Octubre de este año: inicio de las pruebas en un grupo reducido.
- Marzo de 2026: activación del sistema de verificación para instalaciones fuera de Play Store.
- Septiembre de 2026: comienzan los bloqueos en países catalogados como de alto riesgo.
- 2027: despliegue a escala global de la restricción.
Motivación y contexto: seguridad y cambios en el mercado
Google justifica el endurecimiento del sideloading para frenar la distribución de malware, un problema más frecuente en fuentes ajenas a la tienda oficial. La compañía sostiene que las aplicaciones externas pueden llegar a ser decenas de veces más peligrosas, y que exigir identidad verificada al desarrollador pone un filtro efectivo en el punto de entrada.
El movimiento se produce en paralelo a un escenario regulatorio y judicial en plena ebullición. Tras la disputa con Epic Games por Fortnite y el empuje normativo de la Ley de Servicios Digitales (DSA) en Europa, el ecosistema de Android se dirige hacia una apertura a tiendas de terceros con nuevas obligaciones. En ese tablero, el refuerzo de la verificación de APK añade otra capa de control sobre cómo llegan las apps al usuario.
Cómo afecta a usuarios y desarrolladores
Para el usuario medio, descargar un APK desde una web y tocar “Instalar” dejará de funcionar si el archivo no procede de un desarrollador verificado. Quien necesite cargar una app no verificada, solo podrá hacerlo a través de ADB, un método menos directo y más técnico.
Las tiendas de aplicaciones alternativas y los distribuidores fuera de Play Store tendrán que asegurarse de que sus publicaciones estén firmadas y vinculadas a desarrolladores que superen la verificación. Esto apunta a un ecosistema con menos anonimato y más trazabilidad de los autores.
Para los creadores de software, especialmente los independientes, el cambio implica identificarse formalmente para que sus APK puedan instalarse con normalidad. También conviene revisar flujos de firma y distribución, y prepararse para el calendario de adopción con tiempo para evitar bloqueos en mercados clave.
La plataforma se encamina a un modelo más cerrado en la instalación directa de APK, con una excepción acotada (ADB) y un énfasis claro en la comprobación de identidad. Quienes suelen instalar apps desde fuera de la tienda oficial notarán el cambio, mientras que el resto del público apenas percibirá modificaciones en su día a día.