- Google introduce un periodo obligatorio de 24 horas de espera para instalar apps de desarrolladores no verificados.
- El nuevo flujo «Advanced Flow» añade pasos extra como modo desarrollador, reinicio y reautenticación.
- Las apps verificadas y las tiendas oficiales apenas notarán cambios; el impacto recae en APK y repositorios alternativos.
- Usuarios avanzados conservan atajos como ADB y cuentas de distribución limitada para sortear parte de las trabas.
Android ha sido durante años sinónimo de libertad para instalar aplicaciones desde casi cualquier sitio, algo que lo diferenciaba claramente de iOS. Esa posibilidad sigue existiendo, pero Google ha anunciado un cambio profundo en la forma de hacerlo que introduce un elemento clave: 24 horas de espera antes de poder completar la instalación de determinadas apps.
La compañía no elimina el sideloading, pero sí lo rodea de más fricción y más pasos cuando la app procede de un desarrollador no verificado. El objetivo declarado es dificultar las estafas que se apoyan en la ingeniería social, aunque para muchos usuarios avanzados el nuevo sistema se va a traducir en un proceso bastante más incómodo para instalar un simple APK.
Qué cambia exactamente: del APK inmediato al muro de 24 horas
Hasta ahora, para la mayoría de usuarios era suficiente con descargar un archivo APK y ejecutarlo para tener una app externa funcionando en su móvil o en su tele con Android TV. Con los cambios que Google está desplegando, esa facilidad desaparece cuando el desarrollador no ha verificado su identidad dentro del nuevo programa de Android.
La pieza central del sistema es un «protective waiting period» de 24 horas. En la práctica, esto significa que, aunque sigas pudiendo instalar apps fuera de Google Play o de otras tiendas oficiales, ya no podrás hacerlo de forma impulsiva ni guiado en tiempo real por otra persona. Tendrás que iniciar el proceso, reiniciar el dispositivo, esperar un día entero y solo entonces decidir si continúas.
Google enmarca este cambio en un contexto preocupante: estima que más de la mitad de los adultos han sufrido algún intento de estafa en el último año, muchas veces a través de aplicaciones falsas que suplantan a bancos, administraciones públicas o servicios de mensajería. Buena parte de esos fraudes se apoyan en llamadas o accesos remotos en los que el atacante va dictando cada paso a la víctima.
Desde la compañía insisten en que la instalación de apps de terceros no desaparece. Lo que cambia es que, si el creador no está verificado, el sistema deja de ser un par de toques y pasa a ser un recorrido largo, diseñado para obligar al usuario a parar, pensárselo y tener margen para comprobar si lo que está instalando tiene sentido.
El nuevo «Advanced Flow»: seis pasos para instalar una app no verificada
El cambio no se limita a añadir un aviso extra, sino que configura un flujo completo que Google ha bautizado como «Advanced Flow». Este proceso se aplicará cuando quieras instalar una app desarrollada por alguien que aún no forma parte del sistema de verificación de Android, ya sea desde una web, un repositorio alternativo como F-Droid o una tienda de terceros (puedes buscar apps para Android e iOS).
Para poder instalar ese tipo de aplicaciones, el usuario tendrá que superar una secuencia de seis pasos encadenados que rompen la idea de instalación rápida:
- Activar manualmente el modo desarrollador en los ajustes del sistema, pulsando varias veces sobre el número de compilación. Ya no bastará con marcar una casilla de «orígenes desconocidos»; habrá que entrar en una sección más avanzada y deliberada.
- Responder a un aviso sobre posibles coacciones. Android preguntará de forma explícita si alguien te está guiando por teléfono o de forma remota para desactivar las protecciones de seguridad del sistema.
- Reiniciar el dispositivo obligatoriamente. Este paso corta cualquier llamada activa o sesión de acceso remoto, algo clave si un estafador estaba controlando o supervisando lo que haces.
- Aceptar un bloqueo de 24 horas antes de poder seguir. Durante ese día no podrás completar la instalación de la app, aunque ya hayas descargado el archivo.
- Reautenticarte con PIN, huella o reconocimiento facial una vez superado el periodo de espera, para confirmar que sigues siendo tú quien toma la decisión.
- Instalar por fin la app, con advertencias visibles sobre que el desarrollador no está verificado y con dos opciones: permitir este tipo de instalaciones solo durante siete días o habilitarlas de forma indefinida.
Según Google, este flujo se ha diseñado tras probar distintos escenarios con usuarios avanzados para encontrar un equilibrio entre seguridad y molestias. El punto elegido —ese día completo de espera— busca frenar en seco las estafas que se basan en la urgencia: si el atacante necesita que la víctima instale algo «ahora mismo», el sistema simplemente no se lo permitirá.
Un matiz importante es que el Advanced Flow no se repetirá constantemente. La compañía aclara que el proceso completo de activación, reinicio y espera de 24 horas se aplicará como un flujo inicial por dispositivo y tipo de instalación; después seguirán existiendo avisos y controles, pero no habrá que rehacer todo el recorrido desde cero cada vez.
Este mismo enfoque se trasladará a otros dispositivos con Android, como televisores con Android TV o Chromecast con Google TV. En ellos también habrá que activar el modo desarrollador, confirmar que nadie nos está guiando, reiniciar y esperar antes de instalar apps procedentes de desarrolladores no verificados, algo que afectará a quienes acostumbraban a cargar clientes de IPTV, apps de streaming alternativas o bloqueadores de anuncios en sus teles.
Por qué Google quiere que esperes 24 horas: seguridad e ingeniería social
El discurso oficial de Google se centra en un problema que va más allá de los fallos técnicos: la ingeniería social y la presión psicológica. Muchas estafas actuales no se apoyan en vulnerabilidades del sistema, sino en convencer al usuario para que, por su propia mano, desactive protecciones e instale software malicioso.
Las tácticas habituales incluyen llamadas que simulan ser del banco, de un servicio técnico o de un organismo público, en las que se crea una sensación de emergencia. Bajo esa presión, la víctima tiende a aceptar permisos, ignorar advertencias y seguir las instrucciones sin detenerse a leer los mensajes en pantalla.
Con el sistema anterior, en el que descargar e instalar un APK era cuestión de segundos, bastaba con que el estafador guiara a la víctima paso a paso para que esta saltara cada aviso casi sin pensarlo. El nuevo flujo busca romper justamente ese patrón: forzar un reinicio, introducir una pausa de 24 horas y obligar a una reautenticación posterior.
Sameer Samat, responsable del ecosistema Android, ha llegado a afirmar que ese día de espera deja fuera de juego miles de intentos de fraude. Su argumento es que, en ese intervalo, la persona tiene tiempo para comprobar si el supuesto problema con su cuenta bancaria es real, hablar con un familiar o buscar información sobre la aplicación que le han pedido instalar.
Google admite que esta fricción afectará también a usuarios que instalan apps legítimas, especialmente a quienes recurren con frecuencia a APK de código abierto o proyectos de desarrolladores independientes. Sin embargo, considera que el balance global compensa si se consigue reducir de forma significativa el número de víctimas de estafas guiadas en tiempo real.
Apps verificadas, cuentas limitadas y el papel de Play Protect
Para no asfixiar por completo el ecosistema, Google acompaña este nuevo muro temporal con varias figuras pensadas para diferenciar entre desarrolladores identificados y creadores anónimos. La primera pieza es el programa de verificación, que exige a los desarrolladores registrarse con su documentación —como un DNI u otra identificación oficial— y asociar sus claves de firma a una cuenta concreta.
Cuando una app procede de un desarrollador verificado, el sistema no aplicará el Advanced Flow completo. En esos casos, la instalación seguirá un camino mucho más parecido al actual: se mantendrán las advertencias estándar sobre orígenes desconocidos y las comprobaciones de seguridad, pero sin el bloqueo obligatorio de 24 horas ni el reinicio forzado.
Además, Google introduce las llamadas «cuentas de distribución limitada», pensadas para estudiantes, aficionados o proyectos pequeños. Con este tipo de cuentas, un desarrollador podrá compartir sus apps con hasta 20 dispositivos sin necesidad de pasar por todo el proceso de verificación formal ni pagar la tarifa de registro de 25 dólares que se exige para publicar en Google Play.
En paralelo, Google Play Protect refuerza su papel como capa adicional de seguridad. Este sistema analiza de manera continua las aplicaciones instaladas y puede bloquear o incluso desinstalar aquellas que considere potencialmente dañinas, algo que se notará especialmente en dispositivos como televisores, donde ciertas apps de terceros modifican elementos del sistema o bloquean publicidad.
Para quienes confían en apps externas que puedan chocar con estas políticas, será cada vez más importante revisar los ajustes de Play Protect desde la Play Store del dispositivo y decidir hasta qué punto permiten que el sistema actúe de forma automática sobre el software que instalan fuera de los canales oficiales, así como consultar estrategias clave para proteger tus dispositivos.
Qué supone para los usuarios en España y en Europa
En el día a día de muchos usuarios en España y el resto de Europa, el impacto directo será limitado si solo utilizan Google Play y otras tiendas oficiales. Las aplicaciones de bancos, comercios, redes sociales o mensajería que se descargan desde canales verificados seguirán instalándose como hasta ahora, sin que aparezca el muro de 24 horas.
El cambio se notará sobre todo entre quienes acostumbran a instalar APK manualmente o confían en repositorios alternativos como F-Droid, así como en quienes usan tiendas de terceros vinculadas a marcas o proyectos concretos. Si los desarrolladores de esas apps no se integran en el sistema de verificación de Google, sus usuarios tendrán que lidiar con el nuevo flujo avanzado.
Este giro llega, además, en un momento delicado en Europa, donde la normativa digital —incluida la Ley de Mercados Digitales (DMA)— empuja a las grandes plataformas a facilitar la competencia y dar más opciones de elección al usuario. Mientras Apple se ha visto obligada a abrir parcialmente iOS al sideloading en la Unión Europea, Google endurece las condiciones de esa misma práctica en Android con el argumento de la seguridad.
Proyectos como F-Droid o algunas tiendas alternativas han criticado estas medidas, acusando a Google de usar el malware como pretexto para cerrar progresivamente Android y reducir el peso de los canales que no controla directamente. Desde Mountain View, sin embargo, se insiste en que la clave no es dónde se aloja la app, sino si su desarrollador está identificado y asume responsabilidades.
En cualquier caso, para el usuario medio que solo instala aplicaciones desde Google Play, el cambio puede pasar casi desapercibido. El problema aparecerá cuando, por ejemplo, alguien te pida instalar una herramienta externa para «resolver un problema urgente» con tu cuenta: ahí es donde el sistema desplegará sus nuevas barreras, incluida la espera de 24 horas.
Una puerta trasera para usuarios avanzados: ADB y configuración avanzada
Una de las grandes preocupaciones tras el anuncio era qué iba a pasar con los llamados power users, quienes utilizan Android de forma más técnica, probando ROMs, instalando aplicaciones de código abierto o herramientas experimentales fuera de las tiendas oficiales. Para ellos, Google ha dejado abiertas algunas vías.
La más clara es que la instalación de apps mediante ADB (Android Debug Bridge) no se verá afectada por el periodo de espera de 24 horas. Es decir, si conectas el móvil o la tablet a un ordenador —o usas ADB inalámbrico— y envías un APK con los comandos habituales, el sistema no aplicará el Advanced Flow completo.
Esto convierte a ADB en una especie de vía de escape oficial para usuarios avanzados. No es un recurso pensado para todo el mundo, porque requiere activar la depuración USB y manejar cierto nivel de comandos o herramientas, pero justamente ese es el perfil que Google considera que entiende mejor los riesgos asociados al sideloading.
Por otro lado, quienes quieran seguir instalando APK desde el propio dispositivo podrán hacerlo a través de una configuración avanzada oculta en las opciones de desarrollador. Tras tocar varias veces sobre el número de compilación para activar ese modo, será posible encontrar ajustes como «Permitir paquetes no verificados», seleccionar si esta excepción es temporal (siete días) o indefinida, y confirmar explícitamente que se asumen los riesgos, además de consultar trucos y consejos imprescindibles.
Este enfoque intenta trazar una línea clara entre el usuario medio, al que se quiere proteger de instalaciones precipitadas guiadas por terceros, y el usuario técnico que, en teoría, sabe lo que está haciendo y está dispuesto a dedicar más tiempo y esfuerzo a configurar el dispositivo para conservar esa libertad.
De fondo, la sensación general es que Android sigue siendo un sistema más abierto que iOS, pero cada nueva política introduce una barrera visible más. La posibilidad de instalar apps desde casi cualquier origen se mantiene, aunque ya no será el gesto rápido e inocente de descargar un APK y pulsar «Instalar» en cuestión de segundos.
El panorama que se dibuja para los próximos meses combina mayor protección frente a estafas que explotan la urgencia con una experiencia mucho más lenta y deliberada para quien quiera instalar apps de desarrolladores no verificados. Entre el modo desarrollador, la reautenticación, el reinicio y el periodo obligatorio de 24 horas, instalar una app externa pasará a ser un acto mucho más consciente, algo que para algunos resultará una incomodidad notable y para otros una capa de seguridad que, aunque moleste, puede evitar más de un disgusto.
