Google Play Store es de largo, la tienda dominante en Android, pero ni es la única ni necesariamente la mejor para todo tipo de usuarios y circunstancias. El propio diseño del sistema permite instalar aplicaciones desde múltiples fuentes, algo que diferencia a Android de otros ecosistemas móviles. Esto abre la puerta a tiendas alternativas con enfoques muy distintos: algunas priorizan el software libre, otras actúan como repositorios de APK y otras como agregadores de aplicaciones ya existentes en diferentes plataformas.
La pregunta más importante en términos de seguridad y privacidad es básicamente qué modelo aplica cada una en ambos casos. Dado que no todas verifican el software de la misma manera ni ofrecen el mismo nivel de garantías.
La idea original era analizar a fondo las dos o tres tiendas más populares, pero las opiniones tan contradictorias, y en algunos casos «chocantes», con las que me he ido topando en varios casos; me han decantado por sumar más tiendas y comentarlas de forma más genérica. Dejando los análisis de alguna de ellas para futuros artículos.
Por tanto, vamos a repasar seis de las más conocidas: F-Droid, IzzyOnDroid, Obtainium, Aurora Store, APKPure y Aptoide.
F-Droid: la más popular y controlada
F-Droid es probablemente el repositorio alternativo más conocido dentro del ecosistema de software libre en Android.
La diferencia clave con la mayoría de tiendas es que no distribuye directamente los APK publicados por los desarrolladores. En su lugar, el proyecto descarga el código fuente de cada aplicación desde su repositorio público (por ejemplo GitHub o GitLab) y compila el APK en su propia infraestructura.
Este proceso tiene varias implicaciones importantes. Primero, permite auditar el software antes de distribuirlo. El equipo de F-Droid revisa el código y la configuración de compilación para detectar rastreadores, dependencias problemáticas o componentes propietarios.
Segundo, el proyecto ofrece soporte para reproducible builds. En términos simples, esto significa que cualquiera puede recompilar la aplicación desde el mismo código fuente y comprobar que el resultado es idéntico al APK distribuido por F-Droid. Si aparecen diferencias, algo no cuadra. Sin embargo, este mecanismo no es universal dentro del repositorio; solo una parte de las aplicaciones disponibles lo implementan en la práctica. Es una característica activa y en crecimiento, pero no una garantía que cubra todo su catálogo.
Esto introduce un nivel de control adicional que otras tiendas no tienen.
Hay dos limitaciones prácticas que conviene tener presentes. La primera es que F-Droid firma los APKs con sus propias claves criptográficas, distintas a las del desarrollador original. Esto significa que si una aplicación ya está instalada desde la Play Store, migrar a la versión de F-Droid requerirá desinstalar y reinstalar, con la consiguiente pérdida de datos locales si la aplicación no tiene un sistema de exportación propio. La segunda es que el proceso de compilación y revisión introduce retrasos en las actualizaciones; las nuevas versiones pueden tardar días o incluso semanas en aparecer en F-Droid una vez liberada por el desarrollador.
La contrapartida es que el catálogo es más limitado. Muchas aplicaciones populares no publican su código fuente o dependen de servicios propietarios como Google Play Services, lo que las deja fuera del repositorio.
En la práctica, F-Droid suele convertirse en la fuente principal de aplicaciones para quienes priorizan software libre y la transparencia, aunque rara vez cubre todas las necesidades.
IzzyOnDroid: complemento de F-Droid
IzzyOnDroid es un repositorio independiente y a su vez complementario de F-Droid, compatible con el mismo cliente pero con criterios y herramientas de verificación propias. Dispone de su propia política de inclusión, infraestructura de análisis y su propio ciclo de actualizaciones.
A diferencia de F-Droid, no recompila las aplicaciones desde el código fuente y distribuye los APK publicados directamente por los desarrolladores. Sin embargo, antes de que cualquier APK entre en el repositorio (y en actualizaciones posteriores) pasa por un proceso de análisis sistemático que cubre varios aspectos:
- Permisos solicitados, con especial atención a los considerados sensibles.
- Comprobación del AndroidManifest (la declaración formal de la aplicación ante el sistema operativo; sin él, el APK no se puede instalar. Android lo lee antes de ejecutar nada.)
- Análisis del SigningBlock para detectar bloques opacos o potencialmente problemáticos. La firma criptográfica de un APK no sé aloja en su propio ZIP como un archivo más, sino en una estructura especial insertada entre el archivo ZIP y su directorio central: el APK Signing Block.
- Escaneo de bibliotecas de terceros con su propio LibraryScanner. El proceso consiste en desensamblar el APK con ApkTool y analizar las rutas de los archivos internos para identificar qué bibliotecas contiene. Es un análisis estático comparable al que realiza Exodus Privacy
- Análisis de malware mediante VirusTotal con más de 60 motores.
No es verificación de código fuente, pero tampoco es una distribución sin control.
Desde 2024, IzzyOnDroid ofrece soporte para reproducible builds mediante verification builders basados en rbtlog. La cobertura es parcial (no todas las aplicaciones ni todas las versiones están incluidas), pero el mecanismo está operativo y en expansión.
Se puede utilizar perfectamente como repositorio principal o como complemento natural de F-Droid; cubre software de código abierto con actualizaciones casi inmediatas y un catálogo más amplio, a cambio de un modelo de verificación diferente al del repositorio oficial.
Obtainium: actualizaciones directas
Obtainium adopta un enfoque radicalmente diferente.
No es propiamente dicha una «tienda de aplicaciones». Su función consiste en fiscalizar las versiones oficiales publicadas por los desarrolladores y notificar cuando son actualizadas.
La aplicación puede monitorizar múltiples fuentes: repositorios de GitHub, GitLab, Codeberg, páginas oficiales y otros repositorios de software, incluidos F-Droid e IzzyOnDroid. Cuando detecta una nueva versión, descarga directamente el APK publicado por el desarrollador.
Este modelo elimina intermediarios. El software procede exactamente de la fuente original. Sin embargo, esa misma característica implica que la verificación depende en gran medida del propio usuario.
Obtainium no recompila aplicaciones ni mantiene auditorías sistemáticas del código.
En otras palabras, funciona mejor cuando ya sabes qué software quieres seguir y confías en sus desarrolladores. Por eso suele ser una herramienta popular entre usuarios más técnicos que desean mantener aplicaciones independientes sin depender de una tienda centralizada.
Aurora Store: Google Play sin cuenta de Google
Aurora Store es un cliente alternativo que permite descargar aplicaciones directamente desde la Play Store, pero sin utilizar el cliente oficial de Google.
La aplicación actúa como intermediario entre el usuario y la infraestructura de Google. Puede utilizar cuentas anónimas compartidas o una cuenta personal de Gmail para descargar aplicaciones. Desde el punto de vista del contenido, Aurora Store no introduce un repositorio independiente. Las aplicaciones siguen siendo exactamente las mismas que en la Play Store.
La diferencia está en el cliente. Aurora elimina varios elementos asociados al cliente oficial de Google:
- Integración directa con sus servicios.
- Telemetría.
- Necesidad de iniciar sesión con una cuenta personal.
Esto último no afecta a la telemetría que pueda llevar integrada las propias aplicaciones: los APKs descargados son idénticos a los de la Play Store y conservan todos los rastreadores que el desarrollador haya incorporado. El uso de cuentas anónimas compartidas, por otra parte, introduce un factor de riesgo: si Google detecta un uso masivo desde una misma cuenta, puede llegar a bloquearla de forma temporal.
En términos de seguridad, Aurora Store depende completamente del modelo de verificación de Google. Es decir, no introduce un sistema de auditoría adicional ni modifica las aplicaciones.
APKPure: repositorio amplio con verificación limitada
APKPure funciona a modo de repositorio de APKs. Su objetivo principal es ofrecer descargas directas de aplicaciones Android, incluyendo versiones antiguas o aquellas que no están disponibles en determinadas regiones.
La plataforma afirma verificar las firmas criptográficas de los paquetes para asegurarse de que coinciden con las publicadas por los desarrolladores originales. Esto ayuda a detectar modificaciones evidentes del software. El problema es que el procedimiento tiene lagunas importantes.
En 2021, la propia aplicación oficial de APKPure distribuyó una actualización que contenía malware integrado en una biblioteca publicitaria comprometida. El incidente se detectó con relativa rapidez y la plataforma publicó una actualización corregida, pero el episodio mostró que existía cierta debilidad estructural por no haber detectado el problema antes de la distribución. Estos episodios hay que interpretarlos con cierta cautela, máxime tratándose de una plataforma con millones de usuarios y buenas calificaciones a nivel general. No significan que la plataforma sea insegura, pero sí que su modelo de control es más limitado que el de otros repositorios. Y que por tanto, hemos de obrar en consecuencia.
APKPure resulta útil para descargar versiones concretas de aplicaciones o acceder a software no disponible en ciertas regiones.
Aptoide: modelo descentralizado
Aptoide funciona con un modelo diferente al de las anteriores. En lugar de un único repositorio central, la plataforma permite que cualquier usuario o desarrollador cree su propia tienda dentro del ecosistema de Aptoide. Estas tiendas pueden publicar aplicaciones que luego aparecen agregadas en el catálogo general.
El sistema introduce mecanismos de reputación y análisis automático para detectar software malicioso, pero el modelo descentralizado hace que el nivel de control sea variable. El resultado es un catálogo muy amplio, y a la vez muy heterogéneo. Algunas aplicaciones proceden directamente de desarrolladores legítimos, mientras que otras pueden haber sido redistribuidas por terceros.
Esto no significa que el contenido sea inseguro, pero sí que el usuario debe prestar más atención al origen de cada aplicación.
Amazon Appstore y Samsung Galaxy Store
Fuera del ecosistema de software libre, hay dos plataformas que también cuentan con una importante base de usuarios.
Amazon Appstore es la tienda de aplicaciones de Amazon, disponible para instalar en cualquier Android y presente por defecto en los dispositivos Fire. Su catálogo incluye tanto aplicaciones estándar como contenido vinculado al ecosistema Amazon. El modelo de verificación es similar al de Google en términos generales, aunque con un catálogo más reducido y actualizado con menos frecuencia.
Samsung Galaxy Store es la tienda propia de Samsung, preinstalada en sus dispositivos. Distribuye tanto aplicaciones generales como contenido exclusivo para hardware Samsung: temas, watchfaces para Galaxy Watch y aplicaciones optimizadas para la capa One UI. No es una alternativa real a la Play Store, pero tiene su peso dentro del ecosistema Samsung.
Comparación rápida de modelos de seguridad
Las diferencias entre estas plataformas se entienden mejor si se comparan sus enfoques de verificación:
| Tienda | Origen de los APK | Verificación | Reproducible builds | Catálogo | Incidentes documentados |
|---|---|---|---|---|---|
| F-Droid | Compilación propia desde código fuente | Auditoría de código y dependencias; detección de rastreadores | Parcial | Solo software libre | Ninguno relevante |
| IzzyOnDroid | APK del desarrollador (GitHub Releases, etc.) | Análisis sistemático: permisos, AndroidManifest, SigningBlock, bibliotecas (LibraryScanner), malware (VirusTotal, 60+ motores) | Parcial | Software libre; repositorio independiente | Ninguno relevante |
| Obtainium | Directo del desarrollador (GitHub, GitLab, Codeberg…) | Ninguna sistemática; responsabilidad del usuario | No | El que el usuario configure | Ninguno relevante |
| Aurora Store | Google Play (cliente alternativo) | La de Google Play; sin capa adicional. Cuentas anónimas compartidas con riesgo de bloqueo | No | Igual que Play Store | Ninguno relevante |
| APKPure | Repositorio centralizado de APK | Verificación de firmas criptográficas; sin auditoría de código | No | Amplio; incluye versiones antiguas y contenido regional | Sí — malware distribuido en 2021 |
| Aptoide | Red descentralizada de tiendas de terceros | Análisis automático y reputación; nivel de control variable según tienda de origen | No | Muy amplio y heterogéneo | Sí — brecha de datos en 2020 |
Qué opción tiene más sentido
No existe una tienda alternativa que pueda considerarse claramente superior. Cada una responde a necesidades distintas:
- Para quienes buscan máxima transparencia y control sobre el software, F-Droid sigue siendo la referencia.
- Obtainium resulta útil como complemento cuando se quiere seguir directamente a ciertos desarrolladores y recibir actualizaciones instantáneas.
- APKPure y Aptoide ofrecen catálogos más amplios, pero su modelo de verificación es menos estricto.
A modo de resumen:
El ecosistema Android permite instalar aplicaciones desde múltiples orígenes. La cuestión importante es el nivel de confianza que depositemos en cada caso.