## Transparencia Binaria para Android **Google** ha anunciado la expansión de la [Transparencia Binaria](https://binary.transparency.dev/) para Android como una forma de proteger el ecosistema de ataques a la cadena de suministro. "Este nuevo registro público asegura que las aplicaciones de Google en su dispositivo sean exactamente lo que pretendíamos construir y distribuir", dijeron los equipos de producto y seguridad de Google [aquí](https://blog.google/security/bringing-binary-transparency-to-the-android-ecosystem/). La iniciativa se basa en la base de la [Transparencia Binaria de Pixel](https://security.google.com/2023/08/pixel-binary-transparency-verifiable.html), que Google [introdujo](https://security.google.com/2021/10/pixel-6-setting-new-standard-for-mobile.html) en octubre de 2021 para reforzar la integridad del software. Asegura que los dispositivos Pixel solo ejecuten software de sistema operativo (OS) verificado, manteniendo un [registro público y criptográfico](https://developers.google.com/android/binary_transparency/pixel_tech_details) que registra metadatos sobre las imágenes de fábrica oficiales. La infraestructura de seguridad verificable refleja la [Transparencia de Certificados](https://certificate.transparency.dev/howctworks/), un marco abierto que requiere que todos los certificados SSL/TLS emitidos se registren en registros públicos, de solo adición y criptográficamente verificables para ayudar a detectar certificados emitidos incorrectamente o maliciosos. ## Contrarrestando Ataques Binarios a la Cadena de Suministro La medida tiene como objetivo contrarrestar los riesgos que plantean los ataques binarios a la cadena de suministro, que a menudo entregan código malicioso al envenenar los canales de actualización de software, mientras mantienen intactas las firmas digitales. Un ejemplo reciente es el [compromiso](https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html) de los instaladores de Windows del software **DAEMON Tools** para distribuir un backdoor ligero, que luego actúa como conducto para un implante denominado QUIC RAT. Los instaladores se distribuyeron desde el sitio web legítimo de DAEMON Tools y se firmaron con certificados digitales pertenecientes a los desarrolladores de DAEMON Tools. "Está dejando de ser suficiente depender únicamente de la firma del binario, ya que una firma no puede garantizar que este binario en particular fuera el que el autor pretendía lanzar al público", dijo Google. "Las firmas digitales son un certificado de origen, pero la transparencia binaria es un certificado de intención." ## Asegurando la Integridad del Software Al expandir la Transparencia Binaria en Android, la compañía tiene como objetivo proporcionar garantías de que el software de Google en el dispositivo de un usuario es exactamente lo que se pretendía construir y distribuir. Para ello, las aplicaciones de producción de Google lanzadas después del 1 de mayo de 2026, tendrán una entrada criptográfica correspondiente que confirme su autenticidad. La iniciativa incluye actualmente [aplicaciones de Google](https://play.google.com/store/apps/dev?id=5700313618786177705) de producción, incluyendo tanto **Google Play Services** como aplicaciones independientes de Google, así como [módulos Mainline](https://source.android.com/docs/core/ota/modular-system) que forman parte del OS y pueden actualizarse dinámicamente fuera del ciclo de lanzamiento normal. "Esto proporciona una 'Fuente de Verdad' transparente que permite a cualquiera verificar que el software de Google en su dispositivo Android es una versión de producción autorizada por Google y no ha sido modificado por un atacante", señaló Google. "Si el software no está en el registro, Google no lo lanzó como software de producción. Cualquier intento de implementar una versión 'única' será detectable." Como parte de este esfuerzo, el gigante tecnológico también está [poniendo a disposición herramientas de verificación](https://github.com/android/android-binary-transparency) que los usuarios e investigadores pueden utilizar para verificar el estado de transparencia de los tipos de software compatibles. El desarrollo se produce en medio de una serie de ataques a la cadena de suministro que han tenido como objetivo a desarrolladores y usuarios posteriores de software popular en los últimos meses. Los actores maliciosos están comprometiendo cada vez más las cuentas de los desarrolladores y abusando de ese acceso para distribuir malware, lo que les permite infiltrarse en varios usuarios a la vez. ## Un Pilar Crítico para la Seguridad "Este es un pilar crítico para la privacidad y seguridad del usuario porque cambia la dinámica de poder fundamental de las actualizaciones de software", dijo Google. "Este nivel de transparencia sirve como otra capa de protección sobre la integridad de nuestro software, actuando como un poderoso disuasorio contra lanzamientos binarios no autorizados."