Este glosario reúne los términos más importantes que necesitas entender para descargar, instalar y evaluar aplicaciones de Android con criterio. Está pensado para usuarios que ven palabras como APK, XAPK, sideload o firma digital y quieren saber qué significan antes de tocar cualquier archivo. No promovemos la pirateria ni el uso de software sin licencia: nuestro objetivo es que tomes decisiones informadas y seguras. Cada definición está redactada en lenguaje claro para que puedas citarla o enlazarla como referencia. Si buscas una guia práctica, revisa nuestra página pilar sobre seguridad en descargas Android.
Un APK (Android Package Kit) es el formato de archivo que Android usa para distribuir e instalar aplicaciones. Contiene todo el código, los recursos y el manifiesto de la app comprimidos en un solo paquete con extensión .apk. Cuando instalas algo desde Google Play, el sistema descarga y procesa un APK de forma automática, aunque no lo veas.
Un XAPK es un formato no oficial que empaqueta un APK junto con sus archivos adicionales, normalmente datos OBB o varios APK divididos, dentro de un mismo contenedor. Se usa cuando una aplicación es demasiado grande o depende de recursos externos que no caben en un APK simple. Android no reconoce el formato XAPK de forma nativa, por lo que suele requerir un instalador especifico. Explicamos el tema a fondo en APK vs XAPK vs APKS: diferencias.
APKS es un formato que agrupa varios split APK: fragmentos separados que Google Play genera para entregar solo lo que tu dispositivo necesita (idioma, resolución de pantalla y arquitectura). Este mecanismo, conocido como Android App Bundle, reduce el tamaño de la descarga porque no incluye recursos que no vas a usar. Para instalar un APKS necesitas una herramienta que reconstruya y combine los fragmentos correctamente.
Un archivo OBB (Opaque Binary Blob) es un paquete de datos adicionales que acompaña a algunas aplicaciones, sobre todo juegos pesados. Contiene texturas, audio, video u otros recursos que no caben dentro del APK principal. El OBB debe colocarse en una carpeta especifica del almacenamiento (Android/obb/) para que la app lo encuentre al arrancar.
El package name es el identificador único de una aplicación en Android, con un formato tipo com.empresa.aplicacion. El sistema lo usa para distinguir una app de otra, así que no pueden coexistir dos aplicaciones con el mismo nombre de paquete. Cambiar el package name de un APK crea, en la práctica, una app distinta a ojos del sistema.
Toda app declara una versión visible para el usuario (por ejemplo, 2.5.1) y un versionCode, que es un número entero interno que solo aumenta con cada actualización. Android usa el versionCode, no el nombre visible, para decidir si un APK es más nuevo que el instalado. Si intentas instalar un APK con un versionCode igual o menor sobre una app firmada distinta, la instalación fallará.
El sideload o carga lateral es el proceso de instalar una aplicación desde un archivo APK en lugar de hacerlo a través de una tienda oficial como Google Play. Es una capacidad legítima y abierta de Android, muy usada por desarrolladores y usuarios avanzados. El riesgo no está en el sideload en sí, sino en la procedencia del archivo: instalar APK de fuentes dudosas puede exponerte a malware.
«Fuentes desconocidas» es el permiso que Android exige activar para instalar aplicaciones fuera de Google Play. En las versiones modernas del sistema el permiso se concede por aplicación (por ejemplo, solo a tu navegador o gestor de archivos), no de forma global. Conviene volver a desactivarlo cuando termines de instalar, para reducir la superficie de ataque.
Una actualización delta descarga únicamente las diferencias entre la versión instalada y la nueva, en lugar del paquete completo. Este método ahorra datos y tiempo, y es el que Google Play emplea de forma predeterminada. Al instalar APK manualmente casi siempre bajas el paquete entero, sin el beneficio de las actualizaciones delta.
La firma digital es un sello criptográfico que el desarrollador aplica a su APK para certificar quién lo publicó y garantizar que no fue alterado después. Android verifica esta firma en cada instalación y actualización: si el certificado no coincide con el de la app ya instalada, bloquea el proceso. Por eso no puedes actualizar una app oficial con una versión modificada por un tercero sin desinstalar primero. La firma es una de las señales más importantes para juzgar la autenticidad de un archivo.
Google Play Protect es el sistema de análisis de seguridad integrado en los dispositivos Android con servicios de Google. Escanea las aplicaciones instaladas, incluidas las que llegan por sideload, en busca de comportamientos maliciosos conocidos. No es infalible, pero conviene mantenerlo activo como una capa más de protección. Si quieres verificar un archivo por tu cuenta, lee cómo saber si un APK tiene virus.
El sandbox es el mecanismo por el cual Android ejecuta cada aplicación en un espacio aislado, con acceso restringido a los datos de otras apps y del sistema. Este aislamiento limita el daño que una app maliciosa puede causar sin tu autorización explícita. Los permisos son, precisamente, las puertas controladas que una app puede pedir para salir de su sandbox.
Los permisos son las autorizaciones que una aplicación solicita para acceder a funciones o datos sensibles: cámara, contactos, ubicación, micrófono, almacenamiento y más. En Android moderno se conceden en tiempo de ejecución, y puedes revisarlos o revocarlos desde los ajustes en cualquier momento. Una señal de alerta es que una app pida permisos que no tienen relación con su función. Revisa cuáles son los más delicados en permisos de Android peligrosos.
Rootear un dispositivo es obtener acceso de administrador total sobre el sistema Android, algo que de fábrica está bloqueado. El root permite personalizaciones profundas, pero desactiva parte de las protecciones del sistema y puede anular la garantía o impedir el uso de ciertas apps bancarias. Muchas modificaciones que antes exigían root hoy ya no lo necesitan, así que conviene sopesar el riesgo antes de hacerlo.
Un troyano es un programa malicioso que se disfraza de aplicación legítima para que lo instales voluntariamente. Una vez dentro, puede robar datos, mostrar publicidad forzada, suscribirte a servicios de pago o dar acceso remoto a un atacante. Los APK modificados de origen desconocido son un vehículo habitual para troyanos, motivo de más para desconfiar de fuentes no verificadas.
El adware es software cuyo propósito principal es mostrar publicidad de forma intrusiva, a menudo fuera de la propia aplicación. Puede llenar la pantalla de anuncios, abrir el navegador sin permiso o consumir datos y batería. Algunas versiones modificadas de apps populares inyectan adware como forma de monetización oculta, por lo que un archivo «gratis» puede salir caro.
Un MOD APK es una versión modificada de una aplicación original, alterada por un tercero para cambiar su comportamiento: quitar anuncios, desbloquear funciones o modificar recursos. Al estar retocado, su firma digital ya no coincide con la del desarrollador oficial, lo que rompe la cadena de confianza. Muchos MOD son inofensivos, pero otros ocultan código malicioso, y usarlos puede violar los términos de servicio de la app. Aclaramos el concepto en qué es un MOD APK.
Un APK original o stock es el paquete tal como lo publicó el desarrollador, sin modificaciones de terceros. Conserva su firma legítima y se comporta exactamente como la versión de la tienda oficial. Es siempre la opción más segura cuando necesitas instalar una app por sideload, por ejemplo por restricciones regionales.
Un parche es una modificación que se aplica sobre una aplicación ya instalada para cambiar su funcionamiento, en lugar de reemplazar el APK completo. En el contexto de las modificaciones, algunas herramientas aplican parches en memoria o sobre los archivos de la app. Estos métodos suelen requerir permisos elevados y alteran la integridad original del programa.
Ambos términos describen versiones que ofrecen funciones de pago sin pagarlas, pero con matices. Una app cracked tiene su sistema de licencias roto o burlado; una descrita como «premium desbloqueado» presume ofrecer las funciones de pago activadas. En la práctica los dos casos implican software sin licencia legítima, con los riesgos legales y de seguridad que eso conlleva. No recomendamos su uso: si valoras una app, la vía sostenible es la compra oficial.
Un mirror o espejo es un servidor que aloja una copia de un archivo o repositorio para repartir la carga de descargas o dar una alternativa si el origen falla. La clave está en la confianza: un mirror fiable entrega el archivo idéntico al original, algo que puedes comprobar contrastando su firma o su suma de verificación. Un mirror no verificado es un punto donde un archivo podría haber sido manipulado.
Un repositorio es un catálogo de aplicaciones desde el cual una tienda alternativa descarga e instala software. F-Droid es el repositorio de referencia para apps de código abierto en Android: revisa el código, compila las apps él mismo y prioriza la transparencia. Es un ejemplo de distribución fuera de Google Play que mantiene garantías sólidas de procedencia.
FOSS (Free and Open Source Software) designa el software libre y de código abierto, cuyo código fuente está disponible para que cualquiera lo examine, use y modifique. En Android, las apps FOSS son valoradas porque su transparencia permite auditar qué hacen realmente, sin sorpresas ocultas. F-Droid distribuye principalmente este tipo de aplicaciones.
La licencia es el conjunto de condiciones legales que definen cómo puedes usar, copiar o distribuir un software. Puede ser propietaria, que restringe estos derechos, o libre, que los amplía bajo ciertas reglas. Respetar la licencia es lo que separa el uso legítimo de una app de la pirateria, y por eso siempre recomendamos obtener el software por sus canales oficiales.
La arquitectura se refiere al tipo de procesador para el que está compilado el código de una app. Las más comunes en Android son arm64-v8a (64 bits, la actual en la mayoría de teléfonos), armeabi-v7a (32 bits, más antigua) y x86/x86_64 (habitual en emuladores). Instalar un APK compilado para una arquitectura distinta a la de tu dispositivo puede provocar errores o que la app ni siquiera arranque.
DPI (dots per inch) es la densidad de píxeles de una pantalla, y Android la usa para servir recursos gráficos del tamaño adecuado a cada dispositivo. Los App Bundle generan splits por DPI para que cada teléfono descargue solo los recursos que corresponden a su pantalla. Por eso un APK universal pesa más: incluye los recursos de todas las densidades.
¿Es ilegal instalar un APK por fuera de Google Play?
No. El sideload es una función legítima de Android y muchos desarrolladores distribuyen así sus apps. Lo que puede ser ilegal o inseguro es el contenido del archivo: instalar software sin licencia o modificado sin permiso del autor sí acarrea riesgos legales y de seguridad.
¿Por qué un MOD APK no se puede actualizar desde Google Play?
Porque su firma digital ya no coincide con la del desarrollador original. Android verifica la firma antes de cada actualización y rechaza reemplazar la app oficial por una versión firmada por otra persona. Esto obliga a buscar cada nueva versión por fuera, con el riesgo que eso implica.
¿Cómo sé si un APK es seguro antes de instalarlo?
Comprueba la reputación de la fuente, revisa que la firma coincida con la del desarrollador oficial, mantén Play Protect activo y desconfía de permisos que no encajen con la función de la app. Nuestra guía para detectar un APK con virus detalla el proceso paso a paso.
¿Qué diferencia hay entre APK, XAPK y APKS?
El APK es el paquete básico de una app. El XAPK agrupa un APK con datos extra (como OBB) para apps grandes. El APKS combina varios split APK que Google Play genera para adaptar la descarga a tu dispositivo. Lo desarrollamos en APK vs XAPK vs APKS: diferencias.