Google ha anunciado un cambio profundo en la forma en que se instalan aplicaciones en Android: a partir de los próximos meses, los editores deberán verificar su identidad para que sus apps puedan ejecutarse en dispositivos con certificación de Google, también cuando se descarguen fuera de la tienda oficial.
La medida apunta a reducir fraudes y malware sin cerrar la puerta a las instalaciones externas. En otras palabras, el sideloading seguirá siendo posible, pero con una capa de trazabilidad que identifique a quien está detrás de cada app y complique el anonimato de actores maliciosos.
Cronograma y paÃses en el primer despliegue
Google ha definido un plan por etapas con fechas clave: en octubre de 2025 se abrirá un acceso anticipado con invitaciones; en marzo de 2026 la verificación estará disponible para todos los desarrolladores, y en septiembre de 2026 será obligatoria en los primeros mercados: Brasil, Indonesia, Singapur y Tailandia.
Tras esa fase, el despliegue se extenderá a más paÃses hasta completarse en 2027. Si un usuario intenta instalar una app de un editor no verificado en un dispositivo certificado, el sistema mostrará un aviso de seguridad y bloqueará la instalación hasta que el desarrollador regularice su situación.
Qué cambia para el sideloading y las tiendas alternativas
El sideloading —instalar APK desde la web o tiendas de terceros— no desaparece, pero queda sujeto a un requisito universal: toda app deberá proceder de un desarrollador verificado cuando se instale en un dispositivo Android con certificación de Google.
Google equipara el cambio a un control de identidad en un aeropuerto: se comprueba quién eres, no lo que llevas en la maleta. El contenido y el origen de las apps seguirán siendo examinados por Google Play Protect, mientras que la identidad irá por una nueva consola diseñada para quienes distribuyen fuera de Play Store.
Con esta capa adicional, la compañÃa busca dificultar la reincidencia de ciberdelincuentes que antes podÃan reaparecer bajo otras identidades, reduciendo la suplantación de marcas y el reenvÃo de apps bloqueadas.
Requisitos de verificación para desarrolladores
Para superar la verificación, Google solicitará datos básicos y, en el caso de organizaciones, información adicional. El objetivo es que exista un responsable identificable detrás de cada aplicación.
- Datos personales: nombre legal, dirección, correo electrónico y número de teléfono.
- Organizaciones: número D‑U‑N‑S, verificación del sitio web y, si procede, documentación oficial.
- Propiedad de la app: nombre del paquete y claves de firma para acreditar titularidad.
Habrá un canal más ligero para estudiantes y desarrolladores por afición, con menos burocracia y sin la tasa de registro de 25 dólares. En todos los casos, la identidad se valida en una consola especÃfica para distribución externa y en la Play Developer Console para quienes publican en la tienda.
Dispositivos afectados y los que quedan fuera
La obligación rige para los equipos que han pasado la Compatibility Test Suite y cuentan con servicios de Google, es decir, dispositivos Android certificados con acceso a Google Play y Play Protect. Marcas como Samsung, Xiaomi, Motorola, OnePlus, Oppo, Vivo o los Pixel entran en ese marco.
En cambio, terminales no certificados —como muchos modelos de Huawei, las tabletas Fire de Amazon o ciertos TV Box— no están sujetos a este requisito y podrán seguir instalando aplicaciones desde cualquier fuente sin el nuevo control de identidad.
El contexto: campañas de malware y limpieza en Google Play
El refuerzo llega tras diversos episodios que han puesto a prueba la seguridad del ecosistema. Según un análisis de Zscaler ThreatLabs, se retiraron 77 apps maliciosas de Google Play con más de 19 millones de descargas, donde predominaban adware (casi dos tercios), variantes de Joker y troyanos bancarios como Anatsa/TeaBot.
Joker es capaz de suscribir a servicios premium sin consentimiento y leer o enviar SMS, mientras que Anatsa explota permisos de accesibilidad para superponerse a apps financieras y robar credenciales; Harly y otras familias esconden código dañino para evadir controles.
Estas campañas emplearon técnicas como APK modificados, cifrado dinámico y detección de emuladores. Google retiró las apps reportadas con rapidez, pero recomiendan a los usuarios revisar manualmente sus dispositivos porque las instalaciones previas pueden seguir activas.
- Mantener activado Google Play Protect.
- Comprobar procedencia y valoraciones antes de instalar.
- Conceder solo permisos imprescindibles.
- Evitar fuentes externas a Google Play cuando sea posible.
- Contactar con el banco y cambiar credenciales ante indicios de fraude.
Google intenta elevar el listón de seguridad del ecosistema Android sin renunciar a su apertura histórica: las instalaciones externas seguirán permitidas, pero bajo identidad verificada, avisos y bloqueos cuando no se cumplan los requisitos. Con un calendario que arranca en 2026 y se extiende mundialmente en 2027, usuarios y desarrolladores disponen de margen para adaptarse a los nuevos procesos y herramientas.
