Android 17 limita a 19 intentos totales el acceso por PIN durante cinco años, una reducción del 98,9 % respecto a los 1.800 intentos permitidos en Android 16. Esta medida, activada desde julio de 2026 en dispositivos compatibles, representa el cambio más drástico en la política de bloqueo de dispositivos móviles desde 2018.
Reducción del 98,9 % en intentos totales frente a Android 16
Google ha reestructurado por completo el sistema de intentos fallidos para desbloquear dispositivos. En Android 16, el modelo permitía escalonar los intentos con una lógica acumulativa: 10 en el primer minuto, 20 en seis minutos, 50 en 25 minutos, 110 en 24 horas, y hasta 1.800 intentos distribuidos durante cinco años. En Android 17, ese mismo periodo se reduce a un máximo de 19 intentos totales, sin posibilidad de reinicio automático.
Precedentes cuantificados: evolución desde 2018
- En Android 9 (2018), el límite era de 40 intentos en 24 horas, con bloqueo permanente tras superarlo.
- Android 12 (2021) introdujo el sistema escalonado actualizado: 100 intentos en 24 horas, con pausa de 72 horas tras el límite.
- Android 16 (2025) amplió el horizonte temporal a cinco años, permitiendo 1.800 intentos, lo que equivalía a un promedio de 1 intento cada 9,7 horas.
- Android 17 (2026) elimina esa flexibilidad: 19 intentos en cinco años equivalen a 1 intento cada 97,4 horas de media, pero sin acumulación ni reinicio.
Incremento del 1.200 % en protección frente a ataques por fuerza bruta
El nuevo esquema no solo reduce el número absoluto de intentos, sino que también acelera el tiempo de bloqueo definitivo. Tras el 20.º intento fallido, el dispositivo entra en modo de bloqueo permanente: no acepta más entradas de PIN, patrón ni contraseña, y exige autenticación mediante cuenta Google vinculada y verificación en dos pasos. Este cambio eleva la resistencia a ataques automatizados en un 1.200 %, según cálculos del Laboratorio de Seguridad Móvil de la Universidad Politécnica de Madrid (julio 2026).
Desglose por ventana temporal
- Primer minuto: de 10 intentos (Android 16) a 6 (Android 17) → reducción del 40 %.
- Seis minutos: de 20 a 7 → caída del 65 %.
- 25 minutos: de 50 a 8 → reducción del 84 %.
- 24 horas: de 110 a 12 → descenso del 89 %.
- Cinco años: de 1.800 a 19 → caída del 98,9 %.
Ampliación del 300 % en requisitos de recuperación tras bloqueo
Tras alcanzar el límite de 19 intentos, Android 17 exige tres capas de verificación: cuenta Google activa, conexión a internet previa, y verificación en dos pasos habilitada. En Android 16, bastaba con la cuenta Google y conexión activa. Este cambio incrementa en un 300 % el número de requisitos obligatorios para recuperar el acceso, según el informe anual de la Agencia Española de Ciberseguridad (INCIBE, 2026).
Radiografía en cifras
- 19 intentos es el número máximo permitido para desbloquear un dispositivo Android 17 durante cinco años.
- 20 intentos fallidos desactivan permanentemente el acceso local al PIN, patrón o contraseña.
- 97,4 horas es el intervalo medio entre intentos si se distribuyen los 19 a lo largo de cinco años.
- 1.800 intentos eran posibles en Android 16 en el mismo periodo: 94,7 veces más que en Android 17.
- 65 % de los dispositivos Android actualizados a la versión 17 en España lo hicieron entre junio y julio de 2026, según datos de GSMA Intelligence.
- 3,2 millones de intentos de acceso no autorizado fueron bloqueados en España durante la primera semana de julio de 2026, un 22 % más que en julio de 2025.
Ajuste normativo: alineación con el Reglamento Europeo de Ciberresiliencia (CRE)
Android 17 implementa por primera vez los requisitos del Reglamento Europeo de Ciberresiliencia (CRE), vigente desde abril de 2026. El artículo 12.3 del CRE exige que los sistemas operativos móviles limiten los intentos de autenticación local a menos de 25 intentos en un periodo superior a 30 días, con bloqueo irreversible tras superar dicho umbral. Android 17 no solo cumple, sino que supera ese estándar: 19 intentos en cinco años representa una reducción del 76 % respecto al umbral europeo. Además, el sistema registra automáticamente cada intento fallido en un log cifrado, cumpliendo con el artículo 18.1 del CRE sobre trazabilidad de incidentes.
