Cómo instalar aplicaciones al margen de Google Play (y qué riegos que conlleva)

Además de revisar las apps que hay en la tienda, Android incluye una medida de seguridad para las aplicaciones que están instaladas en el teléfono, se trata de Google Play Protect, una herramienta que detecta software malicioso utilizando los algoritmos de aprendizaje automático de Google. Analiza el dispositivo automáticamente y de forma casi continua para los 2.000 millones de usuarios de Android.

Android también informa de que las zonas de pruebas de aplicaciones aíslan y protegen cada aplicación para evitar que las otras accedan a la información privada del usuario, y también protege el acceso a los componentes internos del sistema operativo para prevenir fallos en la seguridad. Gracias al uso de Linux, las aplicaciones no pueden interactuar entre sí y si una quiere leer los datos de otra o, por ejemplo, usar el teléfono, no puede porque no tiene los privilegios necesarios para hacerlo.

Pese a estas medidas de seguridad, en ocasiones se detecta aplicaciones con malware en la Google Play Store. El caso más reciente se ha conocido el pasado mes de marzo, cuando Google eliminó de Play más de 200 aplicaciones infectadas por una vulnerabilidad llamada SimBad que hacía que aparecieran múltiples anuncios (incluso cuando no se está utilizando la aplicación), además de la posibilidad de sufrir suplantación de identidad y que los datos del usuario fueran vulnerables. En esta ocasión los creadores del malware engañaron a los desarrolladores de las aplicaciones con un software de gestión de publicidad para que lo incluyeran sin conocer sus perniciosos efectos.

Con todo, la tienda es razonablemente segura y es lógico pensar que los fabricantes de aplicaciones solo quieran estar bajo el paraguas de la tienda oficial de Android, pero no siempre es así y algunos prefieren que se descargue su Android Application Package (APK) desde fuentes externas a la Play Store. Una de las razones es que Google Play cobra una comisión de transacción equivalente al 30% del precio, y hay también una comisión para los productos que necesitan suscripción y los pagos que se realizan en algunas apps. Evitar el pago de esta comisión es el motivo que llevó a Epic Games a no incluir su videojuego Fortnite en la Play Store ni en la App Store y que se descargue en su web directamente, según reconoció a la revista Forbes el director general de Epic, Tim Sweeney.

Además, hay otras APKs que no cumplen las directrices de Android. En Google Play no están permitidas aplicaciones con contenido sexual explícito, violencia, contenido insultante, incitación al odio o que suplante otras identidades; las que promuevan actividades ilegales o permitan comprar medicinas para las que se necesita prescripción médica; las que realicen cambios en el dispositivo sin el consentimiento explícito del usuario ni las que contengan software malicioso.

Google quiere que los usuarios de Android utilicen su tienda y por eso la aplicación viene ya instalada en los terminales con este sistema operativo (algo por lo que los fabricantes de teléfonos pagan a Google). Además, si el usuario desactiva las medidas de seguridad para descargar de otros sitios e intenta instalar un paquete APK le aparecerá un mensaje disuasorio.

Los teléfonos Android suelen venir de serie con la opción de descargar aplicaciones externas a Google Play desactivada. Para cambiarlo hay que ir al menú Ajustes>Seguridad y activar la opción «Orígenes desconocidos». Aparecerá un mensaje de aviso que deposita en el usuario del teléfono toda la responsabilidad de los daños que pueda causar una aplicación con código malicioso; hay que aceptar y ya se pueden descargar archivos .APK de la web en la que esté.

Tras bajar un archivo APK aparecerá una notificación, hay que pulsar sobre el nombre de la APK o usar el navegador de archivos y pulsar sobre ella. Es un método similar al que se utiliza con un archivo .exe en un ordenador y se corren los mismos riesgos.

A la hora de instalar una APK externa a Play Store hay que tener mucho cuidado de que provenga de una fuente fiable, precisamente porque no ha pasado por todos esos controles de seguridad. También de descargarla de un sitio de confianza: es posible que alguien haya cogido la APK buena, le haya añadido código malicioso y la haya subido nuevamente. Una aplicación que haya sido manipulada puede llenar el móvil de publicidad, pero también puede infectarlo con un virus o recopilar información sensible sobre el propietario para venderla a terceras empresas.

Aparte de la Play Store, hay otros sitios con medidas de seguridad, como la tienda Amazon Appstore for Android, con moneda digital propia o APKMirror, donde las aplicaciones son gratuitas y se suben tras revisarlas y haberse asegurado de que la firma criptográfica de las versiones nuevas de una aplicación corresponden a las de la original. En caso de que sea una app nueva se comprueba la correspondencia con otro software del mismo desarrollador.