Google anunció el jueves un nuevo «flujo avanzado» para la instalación lateral de Android que requiere un periodo de espera obligatorio de 24 horas para instalar aplicaciones de desarrolladores no verificados, con el fin de equilibrar la apertura con la seguridad.
Los nuevos cambios se producen en el contexto de un mandato de verificación para desarrolladores que el gigante tecnológico anunció el año pasado, que exige que todas las aplicaciones de Android estén registradas por desarrolladores verificados y estén instaladas en dispositivos Android certificados. La medida, añadió, se hizo para detectar más rápido a los actores malintencionados y evitar que distribuyeran malware.
Esto también incluye posibles escenarios en los que los ciberdelincuentes engañan a usuarios desprevenidos que instalan estas aplicaciones manualmente para que les concedan privilegios elevados que permiten desactivar Play Protect, la función antimalware integrada en todos los dispositivos Android certificados por Google.
Sin embargo, los requisitos obligatorios de registro han sido criticados por más de 50 desarrolladores de aplicaciones y mercados, incluyendo F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor Project, Vivaldi, que afirman que corren el riesgo de crear fricciones y barreras de entrada, y plantean preocupaciones sobre la privacidad y la vigilancia ante la falta de claridad sobre qué información personal deben aportar los desarrolladores, cómo se almacenarán, protegerán y utilizarán estos datos, y si podrían estar sujetos a solicitudes gubernamentales o procesos legales.
Como forma de calmar algunos de estos problemas espinosos, Google ha enfatizado que el flujo avanzado recién desarrollado permite a los usuarios avanzados mantener la capacidad de instalar aplicaciones de desarrolladores no verificados mediante un proceso único que les obliga a seguir los pasos siguientes:
- Activa el modo desarrollador en la configuración del sistema.
- Confirma que están dando este paso por voluntad propia y que no están siendo entrenados.
- Reinicia el teléfono y vuelve a autenticar para evitar que un estafador supervise las acciones que realiza un usuario.
- Espera un periodo de 24 horas y confirma que realmente están haciendo este cambio con autenticación biométrica o PIN del dispositivo.
- Instala aplicaciones de desarrolladores no verificados una vez que los usuarios comprendan los riesgos, ya sea de forma indefinida o durante un periodo de siete días.
«En ese periodo de 24 horas, creemos que se vuelve mucho más difícil para los atacantes persistir en su ataque», declaró al presidente de Android Ecosystem, Sameer Samat, a Ars Technica. «En ese tiempo, probablemente descubrirás que tu ser querido no está realmente en la cárcel o que tu cuenta bancaria no está realmente siendo atacada.»
Google también dijo que planea ofrecer «cuentas de distribución limitada» gratuitas que permitan a desarrolladores aficionados y estudiantes compartir aplicaciones con hasta 20 dispositivos sin tener que «proporcionar un documento de identidad emitido por el gobierno ni pagar una cuota de registro.»
Cabe destacar que el proceso mencionado no se aplica a las instalaciones a través del Android Debug Bridge (ADB). Cuentas de distribución limitada para estudiantes y aficionados, así como un flujo avanzado para usuarios, estarán disponibles en agosto de 2026, antes de que entren en vigor los nuevos requisitos de verificación para desarrolladores el mes siguiente.
«Sabemos que un enfoque de ‘talla única’ no funciona para nuestro diverso ecosistema», dijo Google. «Queremos asegurarnos de que la verificación de identidad no sea una barrera de entrada, así que ofrecemos diferentes caminos para adaptarnos a tus necesidades específicas.»
El desarrollo coincide con la aparición de un nuevo malware para Android llamado Perseus, que está atacando activamente a usuarios en Turquía e Italia con el objetivo de llevar a cabo la toma de control de dispositivos (DTO) y fraudes financieros.
Durante estos cuatro meses, se han detectado al menos 17 familias de malware Android en estado natural. Entre ellos se encuentran FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink (y su variante mejorada SURXRAT), deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT.
¿Te ha parecido interesante este artículo? Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Acerca del autor
