Usar la API Play Integrity para detectar interacciones peligrosas y combatir el abuso

Puedes utilizar la API Play Integrity para proteger tus aplicaciones y juegos frente a interacciones peligrosas. Al identificar estas interacciones, tu aplicación puede responder de forma adecuada para reducir el riesgo de ataques y abusos.

Cómo funciona

La API Integrity combina las funciones de Google Play de protección frente al abuso con un conjunto de señales de integridad. Así, ayuda a los desarrolladores de aplicaciones y juegos Android a detectar tráfico potencialmente peligroso y fraudulento. Este tráfico podría provenir de versiones modificadas de tu aplicación o juego, dispositivos no fiables u otros entornos que no sean de confianza. Si se detecta tráfico peligroso, es posible responder con las medidas oportunas para reducir los ataques y abusos, como fraudes, trampas o accesos no autorizados.

Cuando un usuario realiza una acción definida por una aplicación o un juego, tu servidor indica al código del cliente que invoque la API Integrity. El servidor de Google Play devuelve una respuesta cifrada con un veredicto de integridad en el que se indica si puedes confiar o no en el dispositivo y en su binario. Después, la aplicación reenvía esa respuesta a tu servidor para verificarla. Tu servidor puede decidir lo que debería hacer tu aplicación o juego a continuación.

La API proporciona un veredicto de integridad en una respuesta que incluye la siguiente información:

Binario de la aplicación auténtico: determina si estás interactuando con tu binario sin modificar reconocido por Google Play.
Descarga de Google Play auténtica: determina si la cuenta de usuario actual tiene licencia, lo que significa que el usuario ha adquirido tu aplicación o juego descargándolo o pagándolo en Google Play.
Dispositivo Android auténtico: determina si tu aplicación se ejecuta en un dispositivo Android auténtico con Servicios de Google Play (o en una instancia auténtica de Google Play Juegos para PC).

También puedes recibir más información sobre el entorno en el veredicto de integridad:

Riesgo de acceso a la aplicación: determina si se están ejecutando otras aplicaciones que podrían capturar la pantalla, mostrar superposiciones sobre tu aplicación o controlar el dispositivo.
Riesgo de malware conocido: determina si Google Play Protect está activado y si ha detectado malware conocido en el dispositivo.

Notas:

Puedes monitorizar el estado de la API Play Integrity y otros Servicios de Play usando el panel de estado de Google Play.
Tu aplicación puede sacar el máximo partido a la API Integrity si sigues todas las prácticas recomendadas que se incluyen en la documentación disponible en el sitio de Android para desarrolladores.

Configurar y gestionar la API Play Integrity

Habilitar la API Integrity en tu aplicación

Importante: Al abrir o utilizar la API Integrity, aceptas los Términos del Servicio de la API Play Integrity.

Para habilitar las respuestas de la API Integrity en tu aplicación, debes vincular un proyecto de Google Cloud en Play Console. Sigue estos pasos para vincular tu proyecto:

Abre Play Console y ve a la página Integridad de la aplicación (Probar y publicar > Integridad de la aplicación).
Desplázate hasta la sección "API Play Integrity".
Elige "Vincular un proyecto disponible" y el proyecto que quieras vincular.
Haz clic en Vincular proyecto de Cloud.

Para integrar la API Integrity en tu aplicación, debes hacer lo siguiente:

Si es una aplicación Java/Kotlin, instala la biblioteca Android más reciente para la API Play Integrity desde el repositorio de Maven de Google.
En el caso de los juegos Unity, instala la versión más reciente de los complementos de Google Play para Unity. Se admiten las versiones 2019.x, 2020.x y las versiones posteriores. Si usas Unity 2018.x, instala 2018.4 o una versión posterior. Si usas Unity 2017.x, instala 2017.4.40 o una versión posterior. No se admite Unity 5.x ni versiones anteriores.
Si se trata de aplicaciones y juegos nativos, instala la versión más reciente del SDK nativo de Play Core.

Si quieres empezar a utilizar la API Play Integrity en tu aplicación o juego, puedes seguir estos pasos en el sitio Android para desarrolladores.

(Opcional) Personalizar las respuestas de la API Integrity

(Opcional) Configurar los ajustes de las solicitudes a la API Classic

De forma predeterminada, Google gestiona el cifrado de tus respuestas para solicitudes a la API Classic. Si lo prefieres, puedes encargarte tú de gestionarlo.

Importante: Cambiar entre el cifrado de respuestas gestionado por Google y el cifrado de respuestas autogestionado requiere modificar el código en tu servidor backend.

Sigue estos pasos para gestionar el cifrado de tus respuestas:

Abre Play Console y ve a la página Integridad de la aplicación (Probar y publicar > Integridad de la aplicación).
Desplázate hasta la sección "API Play Integrity".
Haz clic en Ajustes.
Desplázate hasta la sección "Solicitudes a la API Classic". Junto a "Cifrado de respuestas", el estado será "Gestionadas por Google" de forma predeterminada. Haz clic en Cambiar.
Selecciona "Gestionar y descargar las claves de cifrado de mis respuestas". Google generará las claves de cifrado de respuestas para que las descargues y las gestiones. Debes modificar la lógica de tu servidor backend de forma que use las claves para descifrar las respuestas.
Sigue las instrucciones que aparecen en pantalla para generar y subir un archivo .pem. Después de subirlo, podrás descargar tus claves de API.
Haz clic en Guardar cambios.
Aparecerá un mensaje en la pantalla que te confirmará que se ha actualizado la gestión del cifrado de respuestas.
Las nuevas claves de cifrado de respuestas se descargarán automáticamente. Siempre puedes descargarlas más adelante haciendo clic en Descargar claves.

Si quieres que Google vuelva a gestionar tus claves:

Abre Play Console y ve a la página Integridad de la aplicación (Probar y publicar > Integridad de la aplicación).
Desplázate hasta la sección "API Play Integrity".
Haz clic en Ajustes.
Desplázate hasta la sección "Solicitudes a la API Classic". Junto a "Cifrado de respuestas", aparecerá el estado "Autogestionadas" porque lo cambiaste anteriormente. Haz clic en Editar.
Selecciona "Permitir que Google gestione el cifrado de mis respuestas (recomendado)" y haz clic en Guardar cambios. Google generará y gestionará las claves de cifrado de tus respuestas. Tu servidor backend debe hacer llamadas al servidor de Google Play para descifrar las respuestas.

Probar la integración de la API Play Integrity

Para probar la integración de la API Integrity, puedes configurar una lista de cuentas de Gmail. En primer lugar, comprueba que los testers tengan acceso a tu versión: Publica tu aplicación en el canal de prueba interna o en el canal en el que la quieras probar. A continuación, sigue las instrucciones para gestionar testers usando direcciones de correo o Grupos de Google. Así, los testers podrán acceder a tu versión.

Sigue estos pasos para configurar una prueba:

Abre Play Console y ve a la página Integridad de la aplicación (Probar y publicar > Integridad de la aplicación).
Desplázate hasta la sección "API Play Integrity".
Haz clic en Ajustes.
Desplázate hasta la sección "Pruebas".
Haz clic en Crear prueba.
Selecciona una lista de correo electrónico o crea una.
Haz clic en Crear prueba.

Personalizar la ficha de Play Store cuando los usuarios accedan desde los cuadros de diálogo de la API Integrity

Puedes usar el cuadro de diálogo de solución de la API Integrity para pedir a los usuarios que hayan obtenido tu aplicación de forma no oficial que la descarguen desde Google Play. Cuando los usuarios toquen el cuadro de diálogo, se les redirigirá a tu ficha de Play Store, donde podrán tocar el botón de instalar (o de comprar o actualizar) y añadirla a su biblioteca de Google Play.

Puedes personalizar los recursos de tu ficha de Play Store para los visitantes que toquen cuadros de diálogo de solución de la API Integrity, como el nombre, el icono, las descripciones y los recursos gráficos de tu aplicación. Para personalizar tu ficha de Play Store cuando los usuarios accedan desde un cuadro de diálogo de la API Integrity, sigue estos pasos:

Abre Play Console y ve a la página Integridad de la aplicación (Probar y publicar > Integridad de la aplicación).
Desplázate hasta la sección "API Play Integrity".
Haz clic en Ajustes.
Desplázate hasta la sección "Personalizar ficha de Play Store".
Haz clic en Crear ficha.
Sigue las instrucciones indicadas en la página Crear ficha de Play Store personalizada y haz clic en Guardar.

También puedes crear fichas de Play Store personalizadas para los cuadros de diálogo de la API Integrity directamente desde la página "Fichas de Play Store personalizadas":

Abre Play Console y ve a la página Fichas de Play Store personalizadas (Aumentar usuarios > Fichas de Play Store personalizadas).
Haz clic en Crear ficha, elige si quieres crear una ficha nueva o duplicar una ya creada y haz clic en Siguiente.
En "Tu ficha", busca la sección "Audiencia objetivo".
Selecciona Por URL y escribe "playintegrity" en el cuadro de texto.
Introduce el resto de la información y haz clic en Guardar.

Nota: El parámetro de URL "playintegrity" es una palabra clave especial que está reservada para los enlaces profundos de integridad, por lo que debe introducirse de forma exacta al configurar la ficha de Play Store personalizada.

Aumentar el número máximo diario de solicitudes de la API Play Integrity

Las aplicaciones pueden hacer hasta 10.000 solicitudes diarias a la API Integrity de forma predeterminada.

Para ver el volumen de solicitudes que realiza tu aplicación a diario, sigue estos pasos:

Abre Play Console y ve a la página Integridad de la aplicación (Probar y publicar > Integridad de la aplicación).
Desplázate hasta la sección "API Play Integrity".
Consulta el número diario de solicitudes. Para ver más datos, cambiar el periodo y aplicar filtros, haz clic en Ver informe de la API Integrity.

Para ver el número máximo de solicitudes diarias de tu aplicación, sigue estos pasos:

Abre Play Console y ve a la página Integridad de la aplicación (Probar y publicar > Integridad de la aplicación).
Desplázate hasta la sección "API Play Integrity".
Haz clic en Ajustes.
Consulta el nivel de uso.

Puedes pedir que se te permita hacer más de 10.000 solicitudes al día. Para que se te conceda este permiso, debes cumplir los siguientes requisitos:

Confirma que la lógica de la API se haya implementado correctamente, incluidos los reintentos.
Publica tu aplicación en Google Play, además de en cualquier otro canal de distribución.

Para aumentar tu número máximo de solicitudes diarias, rellena este formulario.

Contenido relacionado

Lee la documentación para desarrolladores de la API Play Integrity
Echa un vistazo a este vídeo introductorio sobre la API Play Integrity
Consulta información sobre los servicios de integridad y de firma en Play Console
Obtén información sobre los servicios de integridad y de firma en el sitio de Android para desarrolladores

Selecciona una sección sobre la que enviar comentarios

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?