Las actualizaciones de seguridad en Android cambiarán para siempre

Google está cambiando cómo publica los parches de seguridad de Android. A partir de ahora, el sistema priorizará las vulnerabilidades de «alto riesgo» para resolverlas en el boletín mensual, mientras que el resto de fallos pasarán a actualizaciones trimestrales más grandes. El objetivo es claro: reducir la carga para los fabricantes y lograr que los parches lleguen a más móviles, con mayor consistencia sin sacrificar la protección ante amenazas reales.

Este giro llega tras un verano atípico. En julio de 2025, por ejemplo, el boletín mensual de Android no incluyó vulnerabilidades, y en septiembre se publicó un paquete muy voluminoso con decenas de correcciones. El nuevo enfoque denominado internamente «Risk‑Based Update System» (RBUS) funciona como un triaje: se corrige de inmediato lo que se está explotando activamente o forma parte de cadenas de ataque y se agrupa lo menos urgente para los parches trimestrales.

Qué cambia en los parches de seguridad de Android

Hasta ahora, Google publicaba un boletín mensual con todas las vulnerabilidades corregidas, de baja, moderada, alta o crítica. Con RBUS, los boletines mensuales solo incluirán fallos que Google clasifique como «de alto riesgo» en función del impacto real y del nivel de explotación. Todo lo demás se acumulará para un ciclo trimestral (marzo, junio, septiembre y diciembre) que será más contundente en volumen.

Para los fabricantes (OEM), esto supone menos parches que integrar y probar cada mes, lo que puede facilitar que marcas con catálogos muy amplios y capas de personalización pesadas cumplan plazos más predecibles. Y como los paquetes trimestrales concentran la mayoría de correcciones, Google anima a que, como mínimo, los dispositivos mantengan un ritmo trimestral de actualizaciones de seguridad.

Este cambio convive con la modularización de Android mediante Project Mainline y con las actualizaciones del sistema de Google Play, que permiten a Google desplegar ciertas correcciones directamente desde Google Play sin esperar a los OEM. En la práctica, el usuario verá dos flujos: parches mensuales cuando haya problemas prioritarios, y paquetes trimestrales que cubrirán la gran mayoría de vulnerabilidades.

Cómo te afecta si tienes un móvil Android

Si ya recibes actualizaciones mensuales de tu marca, no deberías notar grandes cambios: seguirán llegando cuando haya vulnerabilidades de alto riesgo que atender. La diferencia la verás en los trimestres, con parches de mayor número de correcciones. Para quienes solo tenían parches bimensuales o trimestrales, este modelo puede traducirse en más regularidad y en una respuesta más rápida a las amenazas críticas.

Otro aspecto a tener en cuenta es que haya un mes «en blanco» en el boletín no significa que Android esté desprotegido; simplemente que Google no considera necesario divulgar (ni obligar a integrar) correcciones que no sean prioritarias en ese momento. Además, otros actores como Samsung o Qualcomm pueden seguir publicando sus propios boletines y parches, incluso si el boletín de Android viene vacío.

En el ecosistema Pixel, el boletín específico del mes puede no incluir parches de seguridad y limitarse a mejoras funcionales, mientras que el grueso de las correcciones llega en el ciclo trimestral siguiente. Es una señal de ese reajuste del calendario que busca centrar el tiro en lo que más importa para la seguridad del usuario.

Las dudas razonables: transparencia, filtraciones y ROMs

No todo son ventajas. Varios expertos en seguridad han señalado posibles riesgos colaterales. Al dar más margen a los OEM para integrar grandes paquetes trimestrales, hay más tiempo para que detalles técnicos acaben filtrándose antes de que todos los dispositivos estén parcheados. Es un escenario hipotético, pero plausible, dada la cantidad de equipos que tienen acceso a los boletines privados.

Otro efecto colateral es para la comunidad de ROMs y proyectos derivados de AOSP, que históricamente dependían del código fuente que Google publicaba con cada ciclo mensual. Con el foco desplazado a los trimestrales, estos proyectos pueden encontrar más difícil mantener un ritmo mensual de parches con el código abierto disponible. Es un aspecto a tener en cuenta para quienes optan por alternativas a las versiones oficiales de los fabricantes.

Un cambio pensado para acelerar los parches, si los OEM cumplen

En términos prácticos, el modelo basado en riesgo tiene sentido: dedica los recursos a lo que sí se está explotando y reduce la fricción para que los fabricantes no se vean ahogados cada mes. La gran incógnita es si todas las marcas aprovecharán este margen para ser más ágiles o si seguirán postergando los parches trimestrales.

Para los usuarios, el consejo no cambia: mantén tu móvil actualizado, activa las actualizaciones automáticas siempre que sea posible y no descuides las actualizaciones de Google Play. ¿Qué te parece este giro de Google? ¿Crees que ayudará a que los parches lleguen antes a tu móvil o prefieres el esquema mensual clásico, con todo listado cada mes?