En el ecosistema móvil, el abuso puede poner en peligro tus ingresos, tu crecimiento y la confianza de los usuarios. Para ayudar a los desarrolladores a prosperar, Google Play ofrece un servicio de detección de amenazas resistente: la API Play Integrity. La API Play Integrity te ayuda a verificar que las interacciones y las solicitudes del servidor son auténticas, es decir, que proceden de tu aplicación sin modificar en un dispositivo Android certificado y que se han instalado desde Google Play.

El impacto es significativo: las aplicaciones que usan las funciones de integridad de Play tienen, de media, un 80% menos de uso no autorizado en comparación con otras aplicaciones. Hoy en día, líderes de diversas categorías (como Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm y Remini) la usan para proteger sus negocios.

Seguimos mejorando la API Play Integrity para que sea más fácil de integrar, más resistente a los ataques sofisticados y más eficaz a la hora de recuperar a los usuarios que no cumplen los estándares de integridad o que tienen errores con las nuevas peticiones de corrección en la aplicación de Google Play.

Detectar amenazas para tu empresa

La API Play Integrity ofrece veredictos diseñados para detectar amenazas específicas que afectan a tus ingresos durante las interacciones críticas.

• Acceso no autorizado: el veredicto accountDetails te ayuda a determinar si el usuario ha instalado o ha pagado tu aplicación o juego en Google Play.
• Manipulación del código: el veredicto appIntegrity te ayuda a determinar si estás interactuando con tu binario sin modificar reconocido por Google Play.
• Dispositivos y entornos emulados que suponen un riesgo: el veredicto deviceIntegrity te ayuda a determinar si tu aplicación se está ejecutando en un dispositivo Android auténtico certificado por Play Protect o en una instancia auténtica de Google Play Juegos para PC.
• Dispositivos sin parches: en los dispositivos con Android 13 y versiones posteriores, la respuesta MEETS_STRONG_INTEGRITY del veredicto deviceIntegrity te ayuda a determinar si un dispositivo ha aplicado las actualizaciones de seguridad recientes. También puedes aceptar deviceAttributes para incluir la versión certificada del SDK para Android en la respuesta.
• Acceso arriesgado por parte de otras aplicaciones: el appAccessRiskVerdict te ayuda a determinar si se están ejecutando aplicaciones que podrían usarse para capturar la pantalla, mostrar superposiciones o controlar el dispositivo (por ejemplo, haciendo un uso inadecuado del permiso de accesibilidad). Este veredicto excluye automáticamente las aplicaciones que tienen fines de accesibilidad auténticos.
• Malware conocido: el playProtectVerdict te ayuda a determinar si Google Play Protect está activado y si ha detectado que hay aplicaciones instaladas en el dispositivo que resultan peligrosas o suponen un riesgo.
• Hiperactividad: el nivel de recentDeviceActivity te ayuda a determinar si un dispositivo ha realizado un volumen anómalamente alto de solicitudes de tokens de integridad recientemente, lo que podría indicar tráfico automatizado y ser un signo de ataque.
• Abuso reiterado y dispositivos reutilizados: deviceRecall (beta) te ayuda a determinar si estás interactuando con un dispositivo que ya has denunciado, aunque se haya reinstalado tu aplicación o se haya restablecido el dispositivo. Con el reconocimiento de dispositivo, puedes personalizar las acciones repetidas que quieras monitorizar.

La API se puede usar en todos los factores de forma de Android, como teléfonos, tablets, dispositivos plegables, Android Auto, Android TV, Android XR, ChromeOS, Wear OS y Google Play Juegos para PC.

Aprovechar al máximo la API Play Integrity

Las aplicaciones y los juegos han conseguido buenos resultados con la API Play Integrity siguiendo las consideraciones de seguridad y adoptando un enfoque gradual en su estrategia de protección frente a abusos.

Paso 1: Decide qué quieres proteger. Decide qué acciones y solicitudes de servidor de tus aplicaciones y juegos son importantes para verificar y proteger. Por ejemplo, puedes realizar comprobaciones de integridad cuando un usuario inicie la aplicación, inicie sesión, se una a un juego multijugador, genere contenido de IA o transfiera dinero.

Paso 2: Recoge respuestas de veredicto de integridad: realiza comprobaciones de integridad en momentos importantes para empezar a recoger datos de veredicto, sin aplicar medidas al principio. De esta forma, puedes analizar las respuestas de tu base de instalaciones y ver cómo se correlacionan con tus señales de abuso y datos históricos de abuso.

Paso 3: Decide tu estrategia de aplicación: decide tu estrategia de aplicación en función del análisis de las respuestas y de lo que quieras proteger. Por ejemplo, puedes cambiar el tráfico arriesgado en momentos importantes para proteger funciones sensibles. La API ofrece una serie de respuestas para que puedas implementar una estrategia de cumplimiento por niveles en función del nivel de confianza que le des a cada combinación de respuestas.

Paso 4: Implementa la medida de forma gradual y ofrece asistencia a tus usuarios: implementa la medida de forma gradual. Implementa una estrategia de reintento cuando los veredictos tengan problemas o no estén disponibles, y prepárate para ayudar a los usuarios que tengan problemas. Las nuevas peticiones de corrección en la aplicación de Google Play, que se describen más abajo, hacen que sea más fácil que nunca que los usuarios que tengan problemas vuelvan a un estado correcto.

NUEVO: Permite que Play recupere automáticamente a los usuarios que tengan problemas

Decidir cómo responder a las diferentes señales de integridad puede ser complejo, ya que debes gestionar varias respuestas de integridad y códigos de error de la API (como problemas de red o servicios de Play obsoletos). Para simplificar este proceso, hemos añadido las nuevas peticiones de corrección en la aplicación de Google Play. Puedes mostrar una petición de Google Play a tus usuarios para solucionar automáticamente una amplia gama de problemas directamente en tu aplicación. De esta forma, se reduce la complejidad de la integración, se garantiza una interfaz de usuario coherente y se ayuda a que más usuarios vuelvan a un buen estado.

GET_INTEGRITY detecta automáticamente el problema (en este ejemplo, un error de red) y lo resuelve.

Puedes activar el cuadro de diálogo  GET_INTEGRITY, disponible en la versión 1.5.0 o posterior de la biblioteca de la API Play Integrity, después de que se produzcan varios problemas para guiar automáticamente al usuario por las correcciones necesarias, entre las que se incluyen las siguientes:

• Acceso no autorizado:  GET_INTEGRITY dirige al usuario de vuelta a una respuesta con licencia de Play en accountDetails.
• Manipulación del código: GET_INTEGRITY dirige al usuario de vuelta a una respuesta reconocida por Play en appIntegrity.
• Problemas de integridad del dispositivo: GET_INTEGRITY indica al usuario cómo volver al estado MEETS_DEVICE_INTEGRITY en deviceIntegrity.
• Códigos de error subsanables: GET_INTEGRITY resuelve errores de la API subsanables, como pedir al usuario que corrija la conectividad de red o que actualice Servicios de Google Play.

También ofrecemos diálogos especializados, como  GET_STRONG_INTEGRITY (que funciona como GET_INTEGRITY, pero también devuelve al usuario al estado MEETS_STRONG_INTEGRITY sin problemas de malware conocidos en playProtectVerdict), GET_LICENSED (que devuelve al usuario a un estado en el que Play reconoce la licencia de la aplicación) y CLOSE_UNKNOWN_ACCESS_RISK y CLOSE_ALL_ACCESS_RISK (que piden al usuario que cierre aplicaciones potencialmente peligrosas).

Elegir soluciones de integridad modernas

Además de la API Play Integrity, Google ofrece otras funciones que puedes tener en cuenta como parte de tu estrategia general contra el abuso. Tanto la API Play Integrity como la protección automática de Play ofrecen ventajas para los desarrolladores y los usuarios a la hora de proteger la distribución de aplicaciones. Recomendamos que las aplicaciones ya publicadas migren a estas soluciones de integridad modernas en lugar de usar la biblioteca antigua de licencias de Play.

Protección automática:  evita el acceso no autorizado con la protección automática de Google Play y asegúrate de que los usuarios sigan recibiendo las actualizaciones oficiales de tu aplicación. Actívala y Google Play añadirá automáticamente una comprobación del instalador al código de tu aplicación sin que tengas que hacer nada. Si tu aplicación protegida se redistribuye o se comparte a través de otro canal, se pedirá al usuario que descargue tu aplicación desde Google Play. Los desarrolladores de Google Play que cumplan los requisitos también tienen acceso a la protección contra manipulaciones avanzada de Google Play, que usa la ofuscación y las comprobaciones en tiempo de ejecución para que a los atacantes les resulte más difícil y costoso modificar y redistribuir las aplicaciones protegidas.

Atestación de claves de la plataforma Android: la API Play Integrity es la forma recomendada de beneficiarse de la atestación de claves de la plataforma Android basada en hardware. La API Play Integrity se encarga de la implementación subyacente en todo el ecosistema de dispositivos. Play mitiga automáticamente los problemas y las interrupciones relacionados con las claves, y puedes usar la API para detectar otras amenazas. Los desarrolladores que implementen directamente la certificación de claves en lugar de usar la API Play Integrity deben prepararse para la próxima rotación del certificado raíz de la plataforma Android, que tendrá lugar en febrero del 2026, para evitar interrupciones (los desarrolladores que usen la API Play Integrity no tienen que hacer nada).

Comprobación de Aplicaciones de Firebase: los desarrolladores que usan Firebase pueden usar Comprobación de Aplicaciones de Firebase para recibir un veredicto de integridad de la aplicación y del dispositivo proporcionado por la API Play Integrity en dispositivos Android certificados, junto con respuestas de otros proveedores de atestación de plataformas. Para detectar todas las demás amenazas y usar otras funciones de Google Play, integra la API Play Integrity directamente.

reCAPTCHA Enterprise: los clientes empresariales que busquen una solución completa de gestión de bots y fraudes pueden comprar reCAPTCHA Enterprise para móviles. reCAPTCHA Enterprise usa algunas de las señales contra abusos de la API Play Integrity y las combina con las señales de reCAPTCHA de forma predeterminada.

Protege tu empresa hoy mismo

Gracias a una base sólida de seguridad basada en hardware y a los nuevos cuadros de diálogo de corrección automatizada que simplifican la integración, la API Play Integrity es una herramienta esencial para proteger tu crecimiento.

Consulta la documentación sobre la API Play Integrity para empezar a usarla.