- Google introduce un nuevo flujo de instalación con espera obligatoria de 24 horas para APK de desarrolladores no verificados.
- El proceso exige activar modo desarrollador, confirmar que no hay coacción, reiniciar el dispositivo y reautenticarse.
- Las apps de desarrolladores verificados y las instalaciones desde Google Play u otras tiendas oficiales no sufren cambios.
- Se busca frenar estafas e ingeniería social, manteniendo una vía más compleja para usuarios avanzados y cuentas de distribución limitada.
Android siempre se ha distinguido por ofrecer una libertad casi total para instalar aplicaciones en forma de APK, incluso fuera de Google Play. Esa característica sigue ahí, pero Google ha decidido rodearla de muchas más barreras cuando el desarrollador no está verificado. La instalación externa no desaparece, aunque pasa a ser un proceso más lento, menos impulsivo y pensado para que el usuario se lo piense dos veces.
La novedad clave es la obligación de esperar 24 horas para instalar ciertos APK en Android si proceden de desarrolladores no verificados dentro del nuevo sistema de la compañía. Ese periodo de espera forma parte de un flujo reforzado de seguridad que añade pasos adicionales, reinicios y confirmaciones, con la vista puesta en frenar estafas basadas en ingeniería social que, según Google, ya no se resuelven solo con simples avisos en pantalla.
Qué cambia al instalar APK: de un par de toques a un circuito de seguridad
Hasta ahora, bastaba con descargar un archivo APK, activar la instalación desde orígenes desconocidos y confirmar un par de advertencias para tener la app funcionando en cuestión de segundos. Con los cambios anunciados, ese escenario solo se mantiene para dos casos: aplicaciones que llegan a través de Google Play u otras tiendas oficiales, y desarrolladores externos que se han sometido al nuevo programa de verificación de identidad de Google.
El problema aparece cuando la app procede de un desarrollador no verificado. Ahí entra en juego el recién estrenado “Advanced Flow” o flujo avanzado: un proceso largo y deliberadamente incómodo que convierte lo que antes era un gesto casi rutinario en toda una secuencia de pasos. La idea de Google es clara: que las instalaciones de APK no verificadas dejen de ser algo que se hace sin pensar.
Este nuevo flujo se aplicará a móviles, tablets y también a dispositivos con Android TV o Google TV, incluidos televisores y Chromecast con Google TV. Es decir, afecta tanto a quienes cargaban APK en su smartphone como a los que aprovechaban el televisor para instalar apps de terceros, por ejemplo reproductores alternativos o aplicaciones de streaming no disponibles en la tienda oficial.
La compañía enmarca el movimiento en una evolución de la propia plataforma: Android deja de ser, según su propio discurso, “solo para entusiastas” y se presenta como infraestructura digital para miles de millones de personas. Desde esa óptica, considera que las advertencias antiguas ya no bastan para frenar fraudes cada vez más sofisticados.
El nuevo «Advanced Flow»: así es el bloqueo de 24 horas
El corazón de esta nueva política es el flujo avanzado de instalación con espera de 24 horas. Google lo activa cuando el usuario intenta instalar un APK de un desarrollador que no ha verificado su identidad dentro del programa de desarrolladores de Android. En ese caso, el sistema ya no permite seguir el camino corto, sino que obliga a recorrer una ruta con varias paradas.
La secuencia completa, con pequeñas variaciones según el dispositivo (móvil, tablet o tele con Android TV), sigue un esquema muy similar. Estos son los pasos que hay que superar antes de poder instalar la aplicación no verificada:
- Activar el modo desarrollador. Hay que ir a los ajustes del sistema, entrar en “Información del teléfono” o un menú equivalente y pulsar varias veces (normalmente siete) sobre el número de compilación. Hasta que no se habiliten las opciones de desarrollador, no se podrá continuar con el proceso.
- Confirmar que no hay nadie presionando al usuario. Android mostrará un cuadro de diálogo preguntando explícitamente si alguien está guiando la operación, por teléfono o remoto, para desactivar las protecciones e instalar la app. La idea es cortar de raíz la coacción típica de muchas estafas.
- Reiniciar de forma obligatoria el dispositivo. El sistema fuerza un reinicio completo, tanto en móviles como en televisores con Android TV o Chromecast. Este paso corta llamadas activas, conexiones remotas y cualquier sesión de asistencia que un atacante pudiera estar utilizando para acompañar a la víctima.
- Bloqueo de 24 horas. Tras el reinicio empieza el llamado “protective waiting period”: un periodo de espera obligatorio de un día entero. Durante esas 24 horas no se puede completar la instalación de la app no verificada ni avanzar en el flujo.
- Reautenticación. Una vez superado el plazo, el usuario debe volver a los ajustes avanzados, identificarse con huella, reconocimiento facial o PIN, y confirmar que sigue queriendo instalar ese APK.
- Instalación con restricciones. Solo entonces se permite instalar la aplicación, con avisos bien visibles de que el desarrollador no está verificado. Además, Android ofrece dos opciones: permitir ese tipo de instalaciones de forma temporal durante siete días o habilitarlas de manera indefinida para no repetir el proceso constantemente.
Según explica Google, el objetivo de este diseño es romper la dinámica de urgencia en la que se apoyan muchos fraudes. Los estafadores suelen mantener a la víctima al teléfono, metiendo prisa con supuestas emergencias familiares, bloqueos de cuentas bancarias o problemas legales, y la guían paso a paso para desactivar la seguridad del dispositivo e instalar una app maliciosa en el momento. Con una espera forzosa de 24 horas, esa presión pierde eficacia: el atacante necesita mantener el engaño durante mucho más tiempo, algo que estadísticamente es mucho más difícil.
En paralelo, Google ofrece a estudiantes y desarrolladores aficionados cuentas de distribución limitada que permiten compartir apps no verificadas con hasta 20 dispositivos sin pasar por todo este muro de seguridad. Es una forma de no ahogar proyectos pequeños o experimentales que todavía no han dado el salto a un registro completo.
Qué desarrolladores se libran de la espera y qué pasa con Google Play
Es importante tener presente que no todos los APK externos estarán sujetos al bloqueo de 24 horas. El factor decisivo es si el creador de la app ha pasado por el programa de verificación de identidad de Google. Los desarrolladores que se registran, aportan documentación y vinculan sus claves de firma a una cuenta verificada podrán distribuir sus aplicaciones por fuera de Google Play sin que el usuario tenga que esperar un día entero.
En la práctica, esto significa que muchas tiendas alternativas o repositorios reconocidos que trabajen con desarrolladores verificados seguirán ofreciendo una experiencia relativamente ágil. Donde el proceso se complica es con apps de autores anónimos, proyectos que evitan registrarse o software que se comparte de manera informal por canales privados, algo habitual en determinados nichos.
Para quienes se mueven exclusivamente en Google Play o en catálogos oficiales (incluidas las tiendas preinstaladas por algunos fabricantes en Europa), el día a día apenas cambia. Las descargas desde la Play Store y otras tiendas verificadas no activan el flujo avanzado, y se mantienen las comprobaciones habituales de Google Play Protect en segundo plano.
Google deja claro que no quiere cerrar la puerta al sideloading, pero sí subir el listón de entrada para desarrolladores que no pasen por su sistema. De hecho, la compañía ha establecido una tasa de registro (25 dólares) y un proceso de identificación con documentación oficial para quienes quieran distribuir apps fuera de la tienda y seguir siendo considerados “de confianza” a ojos de Android.
En el otro extremo, repositorios y proyectos centrados en software libre que históricamente han evitado la supervisión directa de Google critican que esta verificación se convierta en la vía rápida y que todo lo que quede fuera tenga que pasar por un circuito de obstáculos que, a la larga, puede disuadir a buena parte de los usuarios menos técnicos.
Impacto en móviles, Android TV y la seguridad en Europa
La nueva obligación de esperar 24 horas para instalar APK en Android no se limita a smartphones. Google confirma que este endurecimiento del proceso también afecta a televisores con Android TV y Google TV, así como a dispositivos como Chromecast con Google TV, que son muy populares en España y el resto de Europa para acceder a plataformas de streaming y aplicaciones no oficiales.
En estos equipos, el procedimiento se inspira en lo que ocurre en el móvil: activar modo desarrollador, confirmar los avisos de seguridad, reiniciar el dispositivo y aguantar el periodo de espera. Solo después de completar el ciclo se podrán instalar apps de desarrolladores no verificados, algo que hasta ahora era relativamente habitual en el ecosistema de televisores conectados.
La medida llega en un contexto en el que la Unión Europea lleva tiempo presionando a los grandes actores tecnológicos para abrir sus plataformas, con normas como la Ley de Mercados Digitales (DMA) que obliga a facilitar tiendas alternativas y competencia en sistemas móviles. En paralelo, las autoridades europeas insisten en proteger mejor a los consumidores frente a fraudes, lo que sitúa a Google en una posición delicada: tiene que demostrar que permite la instalación de apps externas, pero sin que eso se convierta en un coladero de estafas.
Desde la compañía se subraya que los datos de estafas y pérdidas económicas justifican esta nueva capa de fricción. Citan cifras globales que apuntan a que más de la mitad de los adultos ha sufrido algún intento de fraude en el último año, con un volumen de pérdidas millonarias, y señalan que buena parte de estos ataques aprovechan aplicaciones que se disfrazan de apps oficiales de bancos, administraciones públicas o servicios de mensajería.
En Europa, donde los reguladores miran con lupa cualquier movimiento que pueda interpretarse como cierre de ecosistema, Google defiende este sistema como un equilibrio entre seguridad y apertura: el sideloading sigue existiendo, pero se reserva de facto para quienes realmente saben lo que están haciendo o para desarrolladores que aceptan pasar por la verificación.
Usuarios avanzados, ADB y las vías menos cómodas pero más libres
Con todo este refuerzo, una pregunta inevitable es qué pasa con los usuarios avanzados que llevan años instalando APK de forma manual, probando ROMs personalizadas o utilizando herramientas como Android Debug Bridge (ADB). Google reconoce la existencia de este perfil y ha dejado algunas puertas algo menos blindadas.
Por un lado, la compañía permite que la instalación mediante ADB se mantenga sin sufrir el bloqueo de 24 horas, siempre que el usuario haya activado previamente las opciones de desarrollador y la depuración USB o inalámbrica. Es decir, seguirán siendo posibles la transferencia e instalación directa de APK conectando el dispositivo a un ordenador o usando herramientas que se apoyan en ADB.
Esta excepción no es precisamente amigable para el usuario medio: exige conocimientos previos, un ordenador y cierta familiaridad con comandos o utilidades específicas. Es, de hecho, lo que busca Google: que el camino rápido quede restringido a quienes entienden los riesgos y no a quienes atienden una llamada de un desconocido que les insta a instalar una app “urgente”.
Además, el propio flujo avanzado permite, una vez superados todos los pasos y la espera de 24 horas, habilitar instalaciones de desarrolladores no verificados de forma indefinida. Eso significa que quienes realmente quieran convivir con este tipo de apps podrán hacerlo con menos interrupciones en el futuro, aunque siempre quedará ese primer muro difícil de ignorar.
Entre tanto, los gigantes del malware tienen ahora un quebradero de cabeza adicional: ya no les basta con un sencillo tutorial telefónico para que la víctima instale la app maliciosa en cuestión de minutos. Tendrían que mantener el engaño durante al menos un día completo, algo que, según Google, reduce de forma drástica las probabilidades de éxito y deja más margen a que familiares, bancos u otras entidades detecten el intento de fraude.
El panorama que se dibuja para los próximos meses es el de un Android que sigue permitiendo instalar APK externos, pero con una experiencia muy distinta respecto a la de los últimos años. Para quienes nunca salen de Google Play, casi nada se mueve; para quienes basaban buena parte de su uso en aplicaciones externas o desarrolladores anónimos, el sistema se vuelve más pesado, más burocrático y mucho menos impulsivo.
