Google el jueves anunciado un nuevo «flujo avanzado» para la descarga lateral de Android que requiere un período de espera obligatorio de 24 horas para instalar aplicaciones de desarrolladores no verificados, en un intento de equilibrar la apertura con la seguridad.

Los nuevos cambios se producen en el contexto de una mandato de verificación del desarrollador el gigante tecnológico anunció el año pasado que exige que todas las aplicaciones de Android sean registradas por desarrolladores verificados para poder instalarlas en dispositivos Android certificados. La medida, añadió, se hizo para detectar más rápidamente a los actores malintencionados y evitar que distribuyeran malware.

Esto también incluye posibles escenarios en los que los ciberdelincuentes engañan a los usuarios desprevenidos que descargan dichas aplicaciones en otorgándoles privilegios elevados que permiten desactivar Play Protect, la función antimalware integrada en todos los dispositivos Android certificados por Google.

adsense

Sin embargo, el requisitos de registro obligatorios han sido recibió críticas de más de 50 desarrolladores de aplicaciones y mercados, incluidos F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor Project y Vivaldi, quienes afirman que corren el riesgo de crear fricciones y barreras de entrada, y plantean problemas de privacidad y vigilancia ante la falta de claridad sobre qué información personal deben proporcionar los desarrolladores, cómo se almacenarán, protegerán y utilizarán estos datos, y si podrían estar sujetos a solicitudes gubernamentales o procesos legales.

Como una forma de resolver algunos de estos espinosos problemas, Google ha hecho hincapié en que el flujo avanzado recientemente desarrollado permite a los usuarios avanzados mantener la posibilidad de descargar aplicaciones de desarrolladores no verificados mediante un proceso único que requiere que sigan los pasos que se indican a continuación:

  • Activa el modo desarrollador en la configuración del sistema.
  • Confirme que están dando este paso por su propia voluntad y que no están siendo entrenados.
  • Reinicie el teléfono y vuelva a autenticarse para evitar que un estafador supervise las acciones que está realizando un usuario.
  • Espere un período de 24 horas y confirme que realmente están realizando este cambio con la autenticación biométrica o el PIN del dispositivo.
  • Instale aplicaciones de desarrolladores no verificados una vez que los usuarios comprendan los riesgos, ya sea de forma indefinida o durante un período de siete días.

«En ese período de 24 horas, creemos que a los atacantes les resulta mucho más difícil persistir en su ataque», dijo el presidente de Android Ecosystem, Sameer Samat citado diciendo a Ars Technica. «En ese momento, es probable que descubras que tu ser querido no está realmente preso o que tu cuenta bancaria no está siendo atacada».

Google también dijo que planea ofrecer «cuentas de distribución limitada» gratuitas que permitan a los desarrolladores aficionados y a los estudiantes compartir aplicaciones con hasta 20 dispositivos sin tener que «proporcionar una identificación emitida por el gobierno o pagar una cuota de registro».

Vale la pena señalar que el proceso mencionado anteriormente no se aplica a las instalaciones a través del Android Debug Bridge (ADB). Las cuentas de distribución limitadas para estudiantes y aficionados, así como las de flujo avanzado para los usuarios, estarán disponibles en agosto de 2026, antes de que los nuevos requisitos de verificación para desarrolladores entren en vigor el mes siguiente.

enlaces

«Sabemos que un enfoque de 'talla única' no funciona para nuestro diverso ecosistema», afirma Google. «Queremos asegurarnos de que la verificación de identidad no sea una barrera de entrada, por lo que ofrecemos diferentes vías para satisfacer tus necesidades específicas».

El desarrollo coincide con la aparición de un nuevo malware para Android llamado Perseo que se dirige activamente a los usuarios de Turquía e Italia con el objetivo de llevar a cabo la apropiación de dispositivos (DTO) y el fraude financiero.

Durante los cuatro meses, se han detectado al menos 17 familias de malware para Android en estado salvaje. Entre ellas se incluyen FVNCBot, Seeds Snatcher, Clay Rat , Wonderland, Cellik, Frogblight, NexusRoute , ZeroDayrat, Arsink (y su variante mejorada SURXRAT), DeviXor, Phantom , Masivo , PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT .

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.