Google está preparando un cambio profundo para reforzar la seguridad del ecosistema Android: la identidad de los desarrolladores será verificada incluso cuando distribuyan aplicaciones fuera de Play Store. La medida apunta a cortar el anonimato que facilita las estafas y a elevar el listón de protección en un momento en el que las apps maliciosas perfeccionan sus técnicas para evadir los controles.
Este giro no elimina el ‘sideloading’, pero sí lo somete a una capa mínima de trazabilidad. A partir de septiembre de 2026, el requisito empezará en Brasil, Indonesia, Singapur y Tailandia, con expansión mundial prevista para 2027. Google compara el proceso con enseñar una identificación en el aeropuerto: se verifica quién eres, no el contenido de la maleta; la revisión del software sigue otros cauces.
Verificación obligatoria y ‘sideloading’ más seguro
La compañía exigirá que todo editor que distribuya en dispositivos Android certificados tenga su identidad validada por Google, también si publica en su propia web o en tiendas alternativas. Para ello, se habilitará una consola específica de Android con la que los responsables de las apps podrán gestionar su verificación oficial fuera de Play Store.
El proceso pedirá a los desarrolladores nombre y apellidos, dirección, correo y teléfono; en el caso de empresas u organizaciones, se añadirá información extra como una página web corporativa. Estos datos no serán públicos: funcionarán como mecanismo interno de control y auditoría para elevar la responsabilidad de quien publica.
Habrá un canal diferenciado para perfiles no comerciales: estudiantes y creadores por afición tendrán un esquema menos rígido y no afrontarán la cuota de registro de 25 dólares, con el objetivo de mantener accesible el entorno de pruebas y aprendizaje sin penalizar la innovación.
En la práctica, cuando intentes instalar una app en un dispositivo certificado, el sistema comprobará si su editor está verificado. Si no lo está, verás un aviso y la instalación se bloqueará por seguridad. Google recuerda que, según sus datos, el malware procedente de fuentes externas a Play es decenas de veces más frecuente que en la tienda oficial, de ahí el refuerzo del ‘sideloading’ responsable.
Cuándo se aplicará y a quién afecta
El despliegue comenzará en septiembre de 2026 en Brasil, Indonesia, Singapur y Tailandia, con una adopción global a lo largo de 2027. La selección prioriza mercados con alta incidencia de estafas móviles para poner a prueba el modelo antes del salto mundial.
La obligación se aplica a los dispositivos Android certificados, es decir, los que pasan la Compatibility Test Suite (CTS) e integran oficialmente los Servicios de Google Play y Play Protect. Marcas como Samsung, Xiaomi, Motorola, OnePlus, Oppo, Vivo o Pixel entran en este marco. Quedan fuera los equipos no certificados (por ejemplo, algunos Huawei o tabletas Fire), donde seguirá siendo posible instalar desde cualquier fuente sin esta restricción.
Importante: no desaparece la posibilidad de distribuir apps fuera de la tienda oficial; se mantiene la apertura, pero bajo una verificación de identidad que dificulta la reincidencia de actores maliciosos y pone nombre y apellidos a quien publica.
Esta línea continúa la senda iniciada en Play Store con requisitos previos —como la inclusión de identificadores empresariales— y la complementa extendiendo la exigencia de identidad verificable a todo el ecosistema certificado, tanto en la tienda como en canales alternativos.
Amenazas en Google Play y cómo protegerte
La investigación de ThreatLabz (Zscaler) destapó recientemente 77 aplicaciones en Google Play que actuaban como ‘droppers’ para distribuir malware. Varias se presentaban como lectores de documentos, visores de PDF o escáneres QR y llegaron a sumar más de 19 millones de instalaciones antes de ser retiradas. Entre ellas destacó “Document Reader – File Manager”.
El troyano bancario Anatsa (TeaBot) amplió su foco y ahora apunta a más de 830 entidades financieras y plataformas de criptomonedas, sumando países donde no había operado, como Alemania o Corea del Sur. En Norteamérica, una app fraudulenta alcanzó las 50.000 descargas, demostrando la capacidad de propagación cuando logra pasar los filtros.
Una vez dentro, este malware abusa de los permisos de accesibilidad, intercepta pulsaciones, superpone pantallas de phishing sobre apps legítimas y puede llegar a tomar control del dispositivo, con riesgo de robo de credenciales y transferencias no autorizadas.
Para evadir la detección, los atacantes utilizan cifrado de cadenas (por ejemplo, DES), manipulan archivos APK, comprueban si el entorno es un emulador y cargan componentes maliciosos de forma dinámica desde servidores de comando y control, a veces mediante archivos temporales para borrar huellas.
Además, los analistas hallaron una alta presencia de Joker (en torno a una cuarta parte de las apps analizadas) y variantes como Harly, mientras que otras familias como Facestealer o Coper mostraron un descenso. Aunque Google retira las aplicaciones señaladas, si ya están instaladas el riesgo persiste y conviene actuar con rapidez.
Recomendaciones prácticas: mantén Google Play Protect activado, revisa permisos y reseñas con ojo crítico, elimina cualquier app que se comporte de forma extraña y cambia las credenciales bancarias si sospechas de infección. Ante movimientos no reconocidos, contacta con tu entidad para blindar tus cuentas.
Con la verificación de identidad para editores y la vigilancia continua frente a campañas como Anatsa o Joker, Google busca elevar el nivel de seguridad en Google Play y en el ‘sideloading’ sin renunciar a la apertura de Android, sumando trazabilidad, barreras a la reincidencia y pautas claras para que los usuarios reduzcan su exposición al fraude.