Las tiendas de apps alternativas podrían desaparecer pronto, advierte F-Droid

Google ha detallado un nuevo sistema de verificación obligatoria de desarrolladores para Android que, según F-Droid, puede afectar negativamente a la instalación manual de aplicaciones (sideloading) y a las tiendas de aplicaciones alternativas. La organización detrás del popular repositorio de software libre considera que la propuesta convierte a Google en el árbitro de todas las aplicaciones instalables en dispositivos Android certificados, incluso cuando no se descargan desde Google Play. Google, por su parte, asegura que la medida busca frenar el malware sin cerrar la puerta a la instalación fuera de la tienda.

El cambio no entra en vigor de forma inmediata: empezará en septiembre de 2026 en Brasil, Indonesia, Singapur y Tailandia, con una expansión global desde 2027. Pero el aviso de F-Droid pone el foco en un punto delicado: para verificar a un desarrollador, Google pedirá identidad legal, datos de contacto y, en algunos casos, un documento oficial, además de registrar las apps con sus identificadores y las claves de firma. En el modelo de F-Droid —donde se generan y firman archivos ejecutables (binarios) a partir de código abierto o se emplean «reproducible builds»— esto modifica el esquema actual de distribución y actualización de muchas aplicaciones fuera de Google Play.

Qué cambia con la verificación y por qué preocupa a F-Droid

El nuevo requisito establece que cualquier app que quiera instalarse en un dispositivo Android certificado deberá estar vinculada a un desarrollador verificado. Google justifica la medida por el abuso de actores maliciosos que reaparecen con nuevas cuentas tras cada retirada, y sostiene que verificar identidades añade «responsabilidad» sin restringir la procedencia de las apps.

Para F-Droid, el problema no es la verificación en sí, sino quién controla esa verificación. Si las claves de firma y los identificadores de las apps se declaran a Google como autoridad central, repositorios independientes (F-Droid, tiendas corporativas, proyectos comunitarios) no podrían legalmente gestionar esas identidades ni obligar a sus desarrolladores —muchos voluntarios— a inscribirse en el sistema de Google. En la práctica, esto complicaría o impediría que una tienda alternativa publique nuevas versiones y lo más grave: impediría la actualización de las aplicaciones ya instaladas.

Lo que dice Google y lo que puede pasar a nivel global

Google insiste en que el sideloading no desaparece: seguirás pudiendo instalar desde cualquier tienda o web, siempre que el autor esté verificado. También adelanta una «Android Developer Console» específica para quienes distribuyen fuera de Play, con un perfil más ligero para estudiantes y aficionados. El calendario marca la apertura de la verificación para todos los desarrolladores en marzo de 2026.

En la Unión Europea, la discusión entra en conflicto con lo establecido por la Ley de Mercados Digitales (DMA), que obliga a los «guardianes de acceso» a facilitar la competencia entre tiendas y métodos de distribución. F-Droid pide a los reguladores que examinen si esta verificación, tal y como está planteada, encaja con el espíritu de la DMA o si refuerza un punto de control sobre Android. Aunque Europa no está en la primera ola, cualquier despliegue desde 2027 deberá convivir con las obligaciones del DMA, por lo que podrían llegar matices o excepciones regionales.

Qué significa para ti si usas tiendas alternativas

Si instalas apps desde F-Droid, Aurora Store, la tienda de Amazon o directamente desde proyectos de código abierto, el factor decisivo será quién se encarga de la verificación y cómo se realiza. A corto plazo nada cambia; a medio plazo, los desarrolladores de tus apps favoritas deberán darse de alta en el sistema de Google o esas apps dejarán de ser instalables o actualizables en móviles Android certificados. En entornos corporativos puede ser un paso positivo (menos suplantaciones), pero en el ecosistema libre complica el proceso y crea un posible punto único de fallo.

Para los usuarios avanzados, conviene seguir estas recomendaciones:

• Prioriza fuentes confiables y revisa quién firma la app.
• Mantén Play Protect y el sistema actualizados; no sustituyen al criterio, pero ayudan.
• Vigila las comunicaciones de tus proyectos de código abierto favoritos: muchos anunciarán su estrategia (p. ej., migrar firmas, publicar en Play como espejo o unirse a la verificación).

Un debate abierto: seguridad versus apertura en Android

La verificación de desarrolladores puede reducir el fraude y los clones maliciosos, pero también centraliza más poder en Google sobre qué se puede instalar en dispositivos Android certificados. F-Droid lo ve como una amenaza existencial para su modelo; Google defiende que es un paso de seguridad compatible con un Android abierto. La implementación final —y la respuesta de los reguladores y la comunidad— marcará si este equilibrio se inclina hacia más control o hacia una apertura supervisada.

Por años la compañia ha tratado de mantener un entorno seguro para el usuario, desde la eliminación de apps que abusen de los permisos, hasta las nuevas políticas que se avecinan, que será lo más agresivo hasta el momento.

¿Crees que verificar identidades es un mal necesario o un riesgo para la diversidad de Android? Te leemos en los comentarios.