Google acaba de presentar un nuevo proceso de seguridad para el sideload de aplicaciones en Android que añade un retraso obligatorio de 24 horas y múltiples verificaciones antes de permitir la instalación de software desde fuentes no verificadas. Una medida que afecta a todos los usuarios que descargan aplicaciones fuera de Google Play y que busca frenar fraudes y distribución de malware.
El cambio también quiere garantizar que los desarrolladores estén verificados para distribuir Apps en dispositivos con Android. Aquellas aplicaciones que no cumplan con este requisito quedarán bloqueadas por defecto, a menos que el usuario active manualmente un procedimiento avanzado diseñado para casos específicos.
El nuevo sideload y control de Apps
El sistema, llamado «advanced flow», exige activar las opciones de desarrollador, confirmar que el usuario no está siendo presionado, reiniciar el dispositivo y completar una autenticación adicional. Tras estos pasos, se impone una espera de 24 horas antes de poder habilitar la instalación de paquetes no verificados.
Este retraso no es técnico, sino deliberado. Según explicó Google, apunta a reducir ataques de ingeniería social que dependen de la urgencia, como llamadas en las que un atacante guía a la víctima para instalar una aplicación maliciosa de inmediato.
Una vez finalizado el proceso, el usuario puede permitir el sideload de forma temporal, por ejemplo, durante siete días o indefinidamente. En ambos casos, el sistema seguirá mostrando advertencias al instalar aplicaciones externas, aunque será posible omitirlas.
Verificación obligatoria
Como les mencionábamos, la nueva política indica que los desarrolladores deberán someterse a un proceso de verificación de identidad, que incluye el envío de documentación, claves de firma y el pago de una tarifa. El objetivo es asegurar que las aplicaciones provienen de fuentes identificables y reducir la suplantación de identidad.
Google indicó que esta verificación no implica revisar el contenido de las aplicaciones, sino confirmar la identidad del desarrollador. Si una App causa daño al dispositivo o a los datos del usuario sin su consentimiento, puede ser considerada malware dentro de este marco.
El despliegue comenzará en septiembre de 2026 en países como Brasil, Singapur, Indonesia y Tailandia, regiones donde la compañía detectó mayores niveles de fraude digital. La expansión al resto del mundo está prevista posteriormente.
