Notificación

You can now request help from the Help page in your Play Console account.  If you don't have access to Play Console, ask your account admin for an invite.

Usar la firma de aplicaciones de Play

Con la firma de aplicaciones de Play, Google gestiona y protege la clave de firma de tu aplicación en la misma infraestructura segura que utiliza Google para guardar sus propias claves. Estas claves están protegidas por el servicio de gestión de claves (KMS) de Google. Si quieres consultar más información sobre esta infraestructura líder del sector, lee el informe sobre seguridad de Google Cloud.
 

¿Por qué usar la firma de aplicaciones de Play? Además de proteger tus claves frente a pérdidas o vulneraciones permanentes, registrarte en la firma de aplicaciones de Play te permite acceder a las mejoras de Play para tus Android App Bundles (.aab). Si permites que Google firme los APKs de distribución optimizados que se generan a partir de tus app bundles, podrás acceder a servicios valiosos, como la protección automática y la traducción automática de cadenas con modelos de Gemini. Los juegos obtienen acceso a servicios automáticos adicionales, como Play Games Sidekick, la función para jugar durante la descarga y pruebas sin coste para títulos de pago.

Para configurar la firma de aplicaciones de Play, debes ser el propietario de la cuenta o tener el permiso Lanzar a producción, excluir dispositivos y usar la firma de aplicaciones de Play, así como aceptar los Términos del Servicio.

Conceptos básicos

Cuando usas la firma de aplicaciones de Play, trabajas con dos claves distintas. Es fundamental conocer la diferencia entre ambos, así como sus formatos técnicos, para evitar problemas de autenticación con APIs de terceros.

Tipo de clave ¿Quién la tiene? Detalles técnicos y finalidad

Clave de subida

Tú (¡guárdala en un lugar seguro!)
  • Formato: se almacena en un almacén de claves de Java (.jks o .keystore).
  • Requisito: Debe ser una clave RSA de al menos 2048 bits.
  • Finalidad: usas esta clave para firmar tu app bundle antes de subirlo a Play Console. Google la usa para verificar tu identidad. Si se ve comprometida o se pierde, Google puede restablecerla.
Clave de firma de aplicación

Google Play
  • Formato: asociado a un certificado público (.der o .pem).
  • Requisito: las claves generadas por Google son RSA de 4096 bits. Las claves personalizadas deben ser claves RSA de 2048 bits o más.
  • Finalidad: Google usa esta clave para firmar los APKs finales que se envían a los dispositivos de los usuarios. Puedes dejar que Google la genere o proporcionar la tuya propia. Esta clave no se puede restablecer si la gestionas tú mismo (sin la firma de aplicaciones de Play) y la pierdes.

Nota: Para una máxima seguridad, la clave de subida y la clave de firma de aplicación deben ser diferentes.

Cómo firma Google tu aplicación: cuando Google genera y firma tus APKs con la clave de firma de aplicación, usa apksigner para añadir dos marcas al archivo de manifiesto de tu aplicación (com.android.stamp.source y com.android.stamp.type). Estas marcas aseguran que tus APKs se puedan rastrear de forma segura hasta el firmante original.

Configurar la firma de aplicaciones de Play

El proceso de configuración depende de si vas a publicar una aplicación nueva o a migrar una que ya tengas.

Añade el icono de una aplicación nueva instalada a la pantalla de inicio

  1. Crea una clave de subida: genera un almacén de claves para firmar tu app bundle de lanzamiento. Puedes generarlo en Android Studio o usar la utilidad keytool de Java desde la línea de comandos.
  2. Sube tu app bundle: ve a Play Console y prepara un nuevo lanzamiento. De forma predeterminada, cuando subes tu app bundle, la firma de aplicaciones de Play genera automáticamente una clave RSA de 4096 bits con una gran seguridad criptográfica para gestionar y proteger tu aplicación. Más del 90 % de las aplicaciones nuevas usan este valor predeterminado recomendado, por lo que no es necesario hacer nada más para configurarlo.
  3. Cambiar la clave de firma de aplicación (opcional): los desarrolladores expertos que quieran gestionar su propia clave pueden cambiar este valor predeterminado. Para ello, haz clic en Cambiar clave de firma en la sección Integridad de la app de tu versión o ve a Protegida con Google Play > Distribución en Play Store > Ir a Firma de aplicaciones de Play. A continuación, puedes elegir entre:
    • Usar la misma clave que otra aplicación de esta cuenta de desarrollador.
    • Proporcionar una copia de tu clave de firma de aplicación: primero, descarga la clave de cifrado pública de Google desde Play Console. A continuación, usa la herramienta Play Encrypt Private Key (PEPK) (puedes descargar la herramienta compilada o su código fuente directamente desde Play Console para verificarla o compilarla tú mismo) para cifrar y subir de forma segura tu clave RSA (de 2048 bits o más) desde cualquier repositorio.

Aplicaciones ya publicadas

Si actualmente gestionas tus propias claves y subes APKs, puedes cambiar a la firma de aplicaciones de Play para aprovechar las ventajas de los app bundles y las mejoras de Play.

  1. En Play Console, ve a Protegida con Play > Distribución en Play Store > Ir a Firma de aplicaciones de Play.
  2. Si aún no lo has hecho, acepta los términos del servicio.
  3. Transfiere una copia de tu clave original: descarga la herramienta PEPK y sigue las instrucciones unificadas paso a paso para cifrar y subir tu clave de firma de aplicación desde cualquier repositorio.
Crea una nueva clave de subida (recomendado): genera una nueva clave en Android Studio para usarla como clave de subida a partir de ahora y registra su certificado en Play Console.

Registrarse con proveedores de APIs

Si tu aplicación usa APIs (como Google Maps, OAuth o Inicio de sesión con Facebook), esos servicios autentican tu aplicación mediante la huella digital de la clave de firma de aplicación.

Como Google firma el APK final, debes registrar la huella digital de la clave de firma de aplicación que tiene Google con tus proveedores de APIs, no solo tu clave de subida local.

  1. Ve a Protegida con Play > Distribución en Play Store > Ir a Firma de aplicaciones de Play.
  2. Desplázate hasta la sección Clave de firma de aplicación.
  3. Copia las huellas digitales necesarias (SHA-1 o SHA-256).
  4. Pega estas huellas digitales en la consola del proveedor de la API (por ejemplo, la consola de Google Cloud).
    Nota: Actualiza tu archivo assetlinks.json con estas huellas si usas Android App Links.

Gestionar tus claves

Actualizar tu clave de firma de aplicación

Si tu clave de firma de aplicación se ha visto comprometida o necesitas una clave con mayor seguridad criptográfica, puedes solicitar una actualización anual de la clave para todas las descargas en Android N (nivel 24 de la API) y versiones posteriores.

Cómo funciona este requisito en las distintas versiones de Android:

  • Android T (nivel 33 de la API) y versiones posteriores: la plataforma Android requiere el uso de la clave actualizada.
  • Android N (nivel 24 de la API) a Android S (nivel 32 de la API): la plataforma Android no requiere el uso de la clave actualizada y sigue reconociendo la clave de firma antigua. Sin embargo, Google Play Protect proporciona una validación adicional comprobando que las actualizaciones de las aplicaciones se firmen con tu clave actualizada (a menos que el usuario desactive esta opción).

Consideración importante:

  • Datos compartidos: como la plataforma no requiere la clave actualizada en Android S (nivel 32 de la API) y versiones anteriores, si usas la misma clave en varias aplicaciones para compartir datos, esas versiones anteriores de Android solo reconocerán la clave antigua para funciones como compartir permisos personalizados.

Cómo actualizar la clave:

  1. Ve a Protegida con Play > Distribución en Play Store > Ir a Firma de aplicaciones de Play.
  2. En la sección Clave de firma de aplicación, haz clic en Actualizar clave.
  3. Elige la ruta de actualización:
    • Permitir que Google Play genere una nueva clave de firma de aplicación (recomendado)
    • Usar la misma clave de firma de aplicación que otra aplicación de esta cuenta de desarrollador
    • Proporcionar una copia de la clave de firma de aplicación (siguiendo las instrucciones)
  4. Si proporcionas tu propia clave, genera y sube una prueba de rotación con la herramienta apksigner (incluida en Android SDK Build Tools). Para obtener información sobre las marcas que se usan aquí, consulta la documentación de la línea de comandos de apksigner:
    • apksigner rotate --out /path/to/new/file --old-signer --ks old-signer-jks --set-rollback true --new-signer --ks new-signer-jks --set-rollback true
  5. Haz clic en Guardar y registra las nuevas huellas digitales de la clave con tus proveedores de APIs.

Solicitar que se restablezca la clave de subida

Si pierdes tu clave de subida o sospechas que se ha visto comprometida, no se te impedirá acceder a tu aplicación.

  1. Crea una clave de subida en Android Studio.
  2. Exporta el certificado a formato PEM:
    keytool -export -rfc -keystore upload-keystore.jks -alias upload -file upload_certificate.pem
    Para obtener más ayuda sobre keytool y las rutas de almacén de claves, consulta la guía de firma de aplicaciones de Android Studio.
  3. Pide al propietario de la cuenta que solicite el cambio de la clave de subida a través del formulario de ayuda de Play Console.
  4. Cuando se te solicite, sube el archivo upload_certificate.pem.
    Nota: Cambiar tu clave de subida no afecta a la clave de firma de aplicación ni a tus usuarios.

Prácticas recomendadas y distribución alternativa

  • Seguridad: protege el acceso a Play Console obligando a todos los usuarios a usar la verificación en dos pasos.
  • Mejoras de Play: si te registras en la firma de aplicaciones de Play, podrás acceder a las mejoras de Play para tus app bundles. Para recibir las actualizaciones, primero haz los cambios necesarios al crear una versión nueva y después sube el nuevo app bundle.
  • Distribuir fuera de Google Play: si distribuyes tu aplicación a través de otras tiendas de aplicaciones y quieres usar la misma clave de firma en todas ellas, tienes dos opciones. Puedes dejar que Google genere tu clave de firma de aplicación y descargar un APK universal firmado de las últimas versiones y paquetes para distribuirlo en otros lugares. Para ello, ve a Probar y publicar > Últimas versiones y app bundles, selecciona tu app bundle y haz clic en la pestaña Descargas. También puedes generar la clave de firma de aplicación que quieras usar en todas las tiendas de aplicaciones y transferir una copia a Google cuando configures la firma de aplicaciones de Play.
  • Pruebas: usa la función de compartir aplicaciones de forma interna para probar exactamente lo que Google Play ofrecerá a los usuarios o descarga los archivos APK específicos de un dispositivo desde el explorador de app bundles e instálalos de forma local con adb install-multiple *.apk.
  • Versión 4 del esquema de firma de APKs: la firma de aplicaciones de Play usa automáticamente la versión 4 en las aplicaciones que cumplen los requisitos para admitir la distribución optimizada en dispositivos con Android 11 o versiones posteriores. No es necesario que realices ninguna acción. Puedes consultar más información sobre las ventajas técnicas en la documentación de la versión 4 del esquema de firma de APKs.
  • Proyectos de Google Cloud alojados en servidores propios: si tienes requisitos de seguridad muy específicos (por ejemplo, usar claves OEM), puedes usar la API Play Developer para registrarte en la firma de aplicaciones de Play con un proyecto de Google Cloud alojado en servidores propios. Nota: Esta es una configuración no estándar que no se recomienda. Si usas un proyecto alojado en servidores propios, asumes toda la responsabilidad de las operaciones de firma de aplicaciones y Google Play no podrá realizar funciones esenciales, como la recuperación tras fallos.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
666789615663237506
true
Buscar en el Centro de ayuda
false
true
true
true
true
true
92637
false
false
false
false
false