- Android introduce un flujo reforzado para instalar apps de desarrolladores no verificados con reinicio obligatorio y espera de 24 horas.
- El nuevo sistema «Advanced Flow» añade hasta seis pasos antes de poder completar la instalación de un APK externo.
- Google busca frenar estafas basadas en ingeniería social, aunque complica el sideloading para usuarios habituales en España y Europa.
- Desarrolladores verificados y usuarios avanzados con ADB tendrán menos trabas, mientras las tiendas alternativas afrontan más fricción.
Durante años, Android se ha caracterizado por permitir que cualquiera pudiera descargar e instalar archivos APK desde casi cualquier web sin demasiadas trabas. Esa flexibilidad no desaparece, pero Google ha decidido darle la vuelta al proceso con un nuevo requisito que va a convertir la instalación de ciertas apps en algo bastante más lento y menos impulsivo.
El gran cambio llega cuando la aplicación procede de un desarrollador que no haya verificado su identidad ante Google. En esos casos, Android activará un procedimiento especial que obliga a reiniciar el dispositivo y, lo más llamativo, a esperar 24 horas antes de poder completar la instalación. La compañía asegura que la finalidad es proteger al usuario, aunque el movimiento también endurece el histórico carácter abierto de la plataforma.
Un nuevo muro temporal de 24 horas para los APK de desarrolladores no verificados
La pieza central de este giro de tuerca es la figura del “desarrollador verificado” dentro del ecosistema Android. Google ha dejado claro que no todas las apps externas pasarán por el mismo aro: el flujo reforzado solo se aplicará a aquellas firmadas por creadores que no formen parte de su programa de verificación.
En la práctica, esto significa que, cuando intentes instalar un APK desde fuera de Google Play cuyo autor no esté identificado por Google, el sistema activará un «protective waiting period» de 24 horas. Ese margen de tiempo es un bloqueo efectivo: hasta que no transcurre el día completo, no podrás seguir adelante con la instalación, aunque ya tengas el archivo descargado.
Este mecanismo se extiende a todo el ecosistema Android: móviles, tablets, televisores con Android TV y dispositivos con Google TV tendrán que acatar el mismo patrón cuando se trate de apps de desarrolladores no verificados. La costumbre de instalar rápidamente una app de streaming alternativa, un cliente de IPTV o una herramienta de bloqueo de anuncios en la tele dejará de ser algo inmediato.
Desde la propia Google se subraya que el objetivo no es prohibir el sideloading, sino romper la inercia de instalar cosas a toda prisa sin pensar. A partir de la implantación de estas medidas, la experiencia pasa de ser casi instantánea a convertirse en un proceso meditado, con paradas obligatorias y más pasos de confirmación.
Así funciona el nuevo «Advanced Flow»: del modo desarrollador al bloqueo de 24 horas
El procedimiento reforzado tiene nombre propio: “Advanced Flow”. No se trata de un simple aviso adicional, sino de un recorrido con varios escalones que cambia por completo cómo se instalan apps de desarrolladores no verificados en Android.
Según la documentación publicada por Google, instalar un APK de este tipo implicará encadenar hasta seis pasos que eliminan la sensación de inmediatez que hasta ahora acompañaba al sideloading. Quien quiera seguir por esa vía tendrá que armarse de paciencia.
El recorrido general será algo parecido a esto:
- Activar manualmente el modo desarrollador desde los ajustes del sistema, pulsando repetidas veces sobre el número de compilación. No habrá atajos rápidos ni accesos simplificados.
- Responder a un aviso específico en el que Android preguntará de forma clara si alguien te está guiando por teléfono o de manera remota para desactivar protecciones del sistema.
- Reiniciar el dispositivo obligatoriamente, cortando cualquier llamada o sesión de control remoto que pudiera estar en marcha en ese momento.
- Esperar un periodo fijo de 24 horas durante el cual la instalación de apps de desarrolladores no verificados quedará bloqueada por completo.
- Reautenticarse con PIN, huella dactilar o reconocimiento facial una vez cumplido ese plazo de un día, confirmando de nuevo que es el propio usuario quien toma la decisión.
- Completar finalmente la instalación del APK, con avisos muy visibles y la opción de limitar este tipo de instalaciones a unos días concretos o habilitarlas de manera indefinida.
Google asegura que ha probado distintas combinaciones de pasos y tiempos antes de decantarse por esta fórmula. El resultado es un proceso claramente molesto si lo comparas con lo que había hasta ahora, pero que, según sus pruebas internas, desbarata buena parte de las estafas que dependen de que la víctima actúe en cuestión de minutos.
En dispositivos como televisores con Android TV o Chromecast con Google TV, el esquema será prácticamente idéntico: activar el modo desarrollador, responder al aviso, reiniciar el equipo y aguardar el día completo antes de poder instalar una app firmada por un desarrollador no verificado. Para muchos usuarios, ese cambio convertirá en una pequeña odisea lo que antes era un trámite de un par de clics.
El motivo de fondo: cortar la ingeniería social y las prisas del usuario
La explicación oficial de Google pivota alrededor de un concepto: la ingeniería social se ha convertido en la vía principal de muchos ataques. Ya no se trata tanto de encontrar una vulnerabilidad técnica complicada como de lograr que el propio usuario desactive las defensas del sistema siguiendo instrucciones de un supuesto soporte técnico, de un banco o de una empresa de mensajería.
En este tipo de engaños, el atacante va guiando al usuario por teléfono o con acceso remoto, generando una sensación de urgencia constante: “tienes que hacerlo ya, o perderás el dinero, tu cuenta o tu paquete”. Si el proceso para instalar un APK externo es rápido y se limita a ignorar un par de avisos, ese guion funciona preocupantemente bien.
Con el nuevo flujo, Google quiere que sea prácticamente imposible completar la operación en caliente. Obligar a reiniciar, cortar la llamada y esperar 24 horas rompe la dinámica de presión inmediata: el atacante ya no puede mantener el control durante todo el proceso y la víctima tiene un margen para dudar, consultar o informarse sobre lo que iba a instalar.
La compañía reconoce que esta fricción también afectará a usuarios legítimos que saben perfectamente lo que están instalando. Sin embargo, sostiene que el balance global es positivo, porque la gran mayoría de personas que usan Android en el mundo no son usuarios avanzados, sino perfiles que buscan seguridad sin complicaciones.
Pese a ello, el debate está servido. Muchas voces dentro de la comunidad técnica ven este movimiento como un paso más hacia un Android con menos margen para experimentar, especialmente si se compara con la experiencia de hace unos años, cuando descargar un APK y abrirlo era prácticamente todo lo que hacía falta para probar algo nuevo.
Lo que cambia para los usuarios en España y el resto de Europa
Si usas Android en España —o en cualquier país de la UE— y te limitas casi siempre a Google Play, la realidad es que estos cambios apenas se notarán en tu rutina. Las apps de la tienda oficial ya dependen de desarrolladores identificados, por lo que seguirán instalándose con el flujo estándar, sin bloqueo de 24 horas ni reinicios obligatorios.
El impacto real llegará para quienes descargan aplicaciones desde webs de terceros, repositorios alternativos o tiendas no oficiales. Plataformas como F-Droid o tiendas de fabricantes y proyectos independientes verán cómo la experiencia de instalación se vuelve más pesada cuando trabajen con desarrolladores que no hayan completado la verificación de identidad con Google.
El contexto europeo añade una capa extra de complejidad. La normativa comunitaria, con regulaciones como la Ley de Mercados Digitales (DMA), empuja a las grandes tecnológicas a abrir sus plataformas y facilitar el uso de tiendas alternativas. Al mismo tiempo, Google está reforzando el control sobre la instalación directa de APK de autores desconocidos, una combinación que genera no pocas tensiones.
Desde la compañía insisten en que el foco no está en cerrar el paso a esas tiendas de terceros, sino en restringir la instalación exprés de software creado por desarrolladores anónimos. Aun así, algunos proyectos de software libre y defensores del sideloading interpretan el movimiento como un filtro adicional que, en la práctica, dificulta vivir fuera del ecosistema oficial de Google.
Para el usuario medio en España, lo más probable es que no se encuentre con el «Advanced Flow» salvo que instale APK con cierta frecuencia. Pero cuando llegue el momento de probar una app de un desarrollador no verificado, se topará con el nuevo muro: activación del modo desarrollador, aviso, reinicio y un día entero de espera antes de poder darle al botón de instalar.
Desarrolladores verificados, cuentas limitadas y margen para los usuarios avanzados
Para evitar bloquear por completo el ecosistema de creación de apps, Google ha articulado distintas figuras y excepciones en torno a la verificación. La más importante es obvia: si el desarrollador verifica su identidad, las instalaciones de sus aplicaciones no pasan por el flujo reforzado.
En la práctica, esto significa que un creador que se registre adecuadamente ante Google —ya sea persona física o empresa— podrá distribuir sus APK sin necesidad de reinicio ni espera de 24 horas, incluso aunque los reparta por canales distintos a Google Play. El usuario verá advertencias de seguridad, pero el proceso seguirá siendo mucho más parecido al actual.
Para quienes empiezan o solo quieren compartir proyectos pequeños, la compañía ha anunciado la posibilidad de usar cuentas de distribución limitada. Estas permiten enviar apps no verificadas a un número reducido de dispositivos, lo bastante amplio para pruebas internas, clases o trabajos de fin de grado, pero sin los requisitos completos que se exigen a un desarrollador profesional.
Otro elemento clave es el papel de los usuarios avanzados. Google ha confirmado que la instalación mediante ADB (Android Debug Bridge) queda fuera del «Advanced Flow». Es decir, si conectas el dispositivo a un ordenador, activas la depuración y envías el APK por esa vía, el sistema no forzará el reinicio ni los 24 horas de espera.
En la práctica, esto convierte a ADB en una especie de vía de escape para quienes conocen bien el sistema. No es un método pensado para todo el mundo, ya que exige manejar herramientas específicas y aceptar un nivel de riesgo mayor, pero sirve de referencia para separar al usuario general de aquel que está dispuesto a asumir más responsabilidad sobre lo que instala.
Google también ha matizado que el «Advanced Flow» no se repetirá íntegramente cada vez. Una vez que se ha completado en un dispositivo para ese tipo de instalación, el usuario no deberá pasar de nuevo por todos los pasos, aunque seguirán apareciendo avisos y controles adicionales cuando trate de instalar apps de desarrolladores no verificados.
Con todo este entramado de esperas, verificaciones y excepciones, Android en España y Europa se encamina hacia un modelo en el que la libertad de instalar APK convive con barreras mucho más visibles. La opción de cargar apps externas sigue ahí, pero ahora acompañada de un aviso claro: si el creador de la app no está verificado, tocará armarse de paciencia, reiniciar el dispositivo y dejar pasar 24 horas antes de poder probarla.
