Aviso importante: Los resúmenes de las políticas son descripciones generales únicamente. Siempre se debe consultar la política completa para su cumplimiento. En caso de conflicto, la política completa tiene prioridad.
Google Play prohíbe que su aplicación (o cualquier SDK externo de su aplicación) obtenga acceso o genere interferencia sin autorización en el dispositivo del usuario, otros dispositivos, la red, la API, el servicio, otras aplicaciones del dispositivo, cualquier servicio de Google o una red autorizada del operador. Esto abarca una variedad de comportamientos conflictivos, dañinos o de alto riesgo, como realizar actualizaciones automáticas fuera de Play Store, descargar código ejecutable no autorizado, aprovechar vulnerabilidades de seguridad, facilitar el hackeo o crear trucos para juegos que afecten a otras aplicaciones. Es fundamental proteger la integridad del dispositivo del usuario y el ecosistema general. Revise la política completa para asegurarse de estar en cumplimiento.
No se permiten aplicaciones que interfieran con el dispositivo, lo interrumpan, lo dañen o accedan a él sin autorización, como tampoco a otros dispositivos ni computadoras, servidores, redes, interfaces de programación de aplicaciones (API) o servicios (incluidos, entre otros, a otras aplicaciones del dispositivo, cualquier servicio de Google o red de proveedor autorizada).
Las apps que se publiquen en Google Play deben cumplir con los requisitos de optimización del sistema Android predeterminado documentados en los lineamientos de calidad de las apps en Google Play.
Las aplicaciones que se distribuyan en Google Play no podrán modificarse, reemplazarse ni actualizarse con ningún otro método que no sea el mecanismo de actualización de Google Play. Tampoco se permite que las aplicaciones descarguen código ejecutable (p. ej., archivos .dex, .jar o .so) de fuentes distintas a Google Play. Esta restricción no se aplica al código que se ejecuta en una máquina virtual o en un intérprete que proporciona acceso indirecto a las API de Android (como JavaScript en una WebView o un navegador).
Las aplicaciones o código de terceros (p. ej., SDK) con lenguajes interpretados (JavaScript, Python, Lua, etc.) que se cargan durante el tiempo de ejecución (p. ej., que no se incluyen junto con la aplicación) no deben permitir que se incumplan las políticas de Google Play.
No permitimos código que introduzca ni explote vulnerabilidades de seguridad. Consulte el Programa de Mejora de la Seguridad de las Apps a fin de obtener información sobre los problemas de seguridad más recientes que se informaron a los desarrolladores.
Ejemplos de incumplimientos comunes de la política de Abuso de Redes y Dispositivos:
- Aplicaciones que bloquean la exhibición de anuncios de otra aplicación o interfieren con ella
- Aplicaciones para hacer trampa en juegos que afectan la experiencia de juego en otras aplicaciones
- Aplicaciones que facilitan o proporcionan instrucciones para hackear servicios, software o hardware, o para evadir protecciones de seguridad
- Aplicaciones que acceden o usan un servicio o una API de forma tal que infrinjan las condiciones del servicio
- Aplicaciones que no son aptas para incluirse en la lista de entidades permitidas y que intentan omitir la administración de energía del sistema
- Aplicaciones que facilitan servicios de proxy a terceros (solo deben hacerlo aquellas con esa finalidad principal para el usuario)
- Aplicaciones o código de terceros (por ejemplo, SDKs) que descargan código ejecutable, como archivos dex o código nativo, de una fuente que no sea Google Play
- Aplicaciones que instalan otras apps en un dispositivo sin el consentimiento previo del usuario
- Aplicaciones que se vinculan a la distribución o instalación de software malicioso o facilitan estas prácticas
- Aplicaciones o código de terceros (por ejemplo, SDKs) que contengan WebViews con la interfaz de JavaScript y carguen contenido web que no sea de confianza (por ejemplo, URLs http://) o URLs sin verificar provenientes de fuentes no confiables (por ejemplo, URLs obtenidas con intents que no sean de confianza)
- Aplicaciones que usan el permiso de intent de pantalla completa para forzar la interacción de los usuarios con notificaciones o anuncios invasivos
- Aplicaciones que eluden las protecciones de la zona de pruebas de Android para derivar la actividad o la identidad de los usuarios de otras aplicaciones
Consideraciones Clave
| Qué debe hacer | Qué no debe hacer |
| Asegúrese de que su aplicación y todos los SDKs integrados satisfagan los requisitos de optimización del sistema Android que se indican en los lineamientos de Calidad Básica de las Apps. | No instale otras aplicaciones en los dispositivos sin el consentimiento explícito de los usuarios. |
Respete la configuración de FLAG_SECURE, y los contenedores integrados en los dispositivos deben respetar REQUIRE_SECURE_ENV. |
No facilite servicios de proxy a terceros a menos que sea la finalidad principal para el usuario de la aplicación. |
| Use Tareas de transferencia de datos iniciadas por el usuario solo para transferencias de datos de red iniciadas por el usuario que se ejecuten únicamente durante el tiempo necesario. | No use en su aplicación SDKs de terceros que descarguen código ejecutable (como archivos .dex o .so) de orígenes que no sean Google Play (excepto en VMs o herramientas de interpretación). |
| Consulte el Programa de Mejora de la Seguridad de las Apps para obtener información sobre los problemas de seguridad más recientes que se marcaron para los desarrolladores. | No omita la Administración de energía del sistema a menos que reúna los requisitos para ello. |
| Satisfaga la política de Servicios en Primer Plano. | No bloquee otra aplicación que muestre anuncios ni interfiera con ella. |
No use el permiso FULL-SCREEN INTENT para forzar la interacción con notificaciones y anuncios invasivos. |
Uso del Servicio en Primer Plano
La política del permiso de Servicios en Primer Plano garantiza el rendimiento óptimo del dispositivo, la privacidad y la transparencia para los usuarios. En el caso de las aplicaciones que tienen como objetivo Android 14 o versiones posteriores, debe declarar tipos de Servicios en Primer Plano (FGS) válidos en el manifiesto y en Play Console, con descripciones, el impacto para los usuarios y un video de demostración en el que se justifique su uso en función de acciones perceptibles iniciadas por el usuario. Revise la política completa para asegurarse de estar en cumplimiento.
El permiso Servicio en Primer Plano garantiza el uso adecuado de los servicios en primer plano para el usuario. En el caso de las aplicaciones que se orientan a Android 14 y versiones posteriores, debe especificar un tipo de servicio en primer plano para cada uno de estos servicios que se use en su aplicación y declarar el permiso de servicio en primer plano que sea adecuado para ese tipo. Por ejemplo, si el caso de uso de su aplicación requiere ubicación geográfica con un mapa, debe declarar el permiso FOREGROUND_SERVICE_LOCATION en el manifiesto de su aplicación.
Solo se permite que las aplicaciones declaren un permiso de servicio en primer plano si su uso cumple con las siguientes condiciones:
- Proporciona una función que es beneficiosa para el usuario y pertinente para la funcionalidad principal de la aplicación.
- El servicio es perceptible para el usuario o él es quien lo inicia (por ejemplo, el audio de la reproducción de una canción, la transmisión de contenido multimedia a otro dispositivo, una notificación clara y precisa para el usuario, la solicitud de un usuario para subir una foto a la nube).
- El usuario puede cancelar el servicio o detenerlo.
- El sistema no puede interrumpirlo ni aplazarlo sin provocar una experiencia del usuario negativa o que la función esperada por el usuario no funcione según lo previsto (por ejemplo, las llamadas telefónicas se deben comenzar de inmediato y el sistema no puede aplazarlas).
- El servicio se ejecuta solo durante el tiempo necesario para completar la tarea.
Los siguientes casos de uso de servicios en primer plano están exentos de los criterios que se mencionan más arriba:
- tipos de servicios en primer plano systemExempted o shortService
- tipo de servicio en primer plano dataSync solo cuando se usan funciones de Play Asset Delivery
El uso del servicio en primer plano se explica con más detalle aquí.
Consideraciones Clave
| Qué debe hacer | Qué no debe hacer |
| Ejecute el servicio en primer plano solo durante el tiempo que sea necesario para completar la tarea. | No use el servicio en primer plano si la administración del sistema de su tarea no divide la experiencia del usuario en su aplicación. Considere alternativas como WorkManager. |
| Asegúrese de que el servicio en primer plano proporcione una función principal de la aplicación con beneficios para el usuario, esté visible en las notificaciones o sea perceptible para el usuario (por ejemplo, con audio de la reproducción de una canción), o de que sea el usuario quien lo inicie. | No declare tipos de servicios en primer plano no válidos o imprecisos en el manifiesto de la aplicación. |
| Envíe un formulario de declaración en Play Console si tiene como objetivo Android 14 o versiones posteriores, y describa el caso de uso para cada permiso de Servicios en Primer Plano (FGS) utilizado. Asegúrese de que se seleccione el tipo de servicio en primer plano adecuado. |
Tareas de Transferencia de Datos Iniciadas por el Usuario
Para que el usuario siga teniendo el control de los procesos y evitar actividades prolongadas en segundo plano, Google Play establece lineamientos estrictos para las aplicaciones que usan la API de tareas de transferencia de datos iniciadas por el usuario. El usuario es quien debe iniciar directamente las transferencias de datos, lo que garantiza que la aplicación ejecute un comando en lugar de iniciar transferencias de forma independiente. Estas transferencias están destinadas exclusivamente a tareas de transferencia de datos por la red y deben operarse únicamente durante el tiempo necesario para completar la acción solicitada. Revise la política completa para asegurarse de estar en cumplimiento.
Solo se permite que las aplicaciones usen la API de user-initiated data transfer jobs si el uso cumple con las siguientes condiciones:
- El usuario es quien lo inicia.
- Está destinado a tareas de transferencia de datos de red.
- Dura el tiempo necesario para completar la transferencia de datos.
El uso de las APIs de User-Initiated Data Transfer se explica con más detalle aquí.
Consideraciones Clave
| Qué debe hacer | Qué no debe hacer |
| Inicie las transferencias con la acción del usuario. | No inicie las transferencias automáticamente. |
| Use la API para tareas de transferencia de datos de red únicamente. | No use la API para tareas que no sean de la red. |
| Deténgala cuando finalice la transferencia. | No la ejecute por más tiempo que el necesario. |
Requisitos de Flag Secure
FLAG_SECURE es un parámetro de visualización declarado de las aplicaciones que indica que los datos sensibles de la IU se deben limitar a plataformas seguras, y que impide las capturas de pantalla y la visualización y captura no seguras. Los desarrolladores usan esto cuando el contenido no se debe transmitir ni visualizar fuera de la aplicación o el dispositivo. Por cuestiones de seguridad y privacidad, Google Play exige que todas las aplicaciones respeten las declaraciones de FLAG_SECURE de otras aplicaciones y no las omitan. Revise la política completa para asegurarse de estar en cumplimiento.
FLAG_SECURE es un parámetro de visualización declarado en el código de una app para indicar que su IU contiene datos sensibles que tienen la intención de limitarse a una superficie segura mientras se usa la app. Este parámetro está diseñado para evitar que los datos aparezcan en capturas de pantalla o que se visualicen en pantallas no seguras. Los desarrolladores declaran este parámetro cuando no se debe anunciar, declarar o transmitir de otro modo el contenido de la app fuera de ella o del dispositivo del usuario.
Por cuestiones de seguridad y privacidad, todas las aplicaciones que se distribuyen en Google Play deben respetar la declaración de FLAG_SECURE de otras aplicaciones. Esto significa que las aplicaciones no deben facilitar ni crear métodos alternativos para evitar la configuración de FLAG_SECURE en otras aplicaciones.
Las apps que califican como Herramienta de accesibilidad son una exención de este requisito, siempre y cuando no transmitan, guarden ni almacenen en caché el contenido protegido con FLAG_SECURE para que se acceda a él fuera del dispositivo del usuario. Consideraciones Clave
| Qué debe hacer | Qué no debe hacer |
Declare FLAG_SECURE para los datos sensibles en la IU que requieran protección contra captura. |
No cree métodos alternativos ni omita la configuración de |
Respete las declaraciones de FLAG_SECURE de otras aplicaciones por cuestiones de seguridad y privacidad. |
No transmita, guarde ni almacene en caché el contenido protegido con FLAG_SECURE fuera del dispositivo, incluso si se trata de una herramienta de accesibilidad. |
Aplicaciones que Ejecutan Contenedores de Android en el Dispositivo
Para evitar problemas de seguridad y privacidad, los desarrolladores pueden usar el parámetro “REQUIRE_SECURE_ENV” en el manifiesto de su aplicación si esta tiene un entorno de contenedor de Android integrado en el dispositivo y no cuenta con todas las funciones de seguridad del SO Android. El parámetro indica que no se debe ejecutar la aplicación en un entorno simulado. Las aplicaciones que proporcionan estos contenedores deben respetar este parámetro y no cargar aplicaciones que lo declaren, y tienen prohibido omitir esta medida de seguridad. Revise la política completa para asegurarse de estar en cumplimiento.
Las aplicaciones de contenedor de Android integrado en los dispositivos proporcionan entornos que estimulan la totalidad o partes de un SO Android subyacente. Es posible que la experiencia en estos entornos no refleje el kit completo de funciones de seguridad de Android, por lo que los desarrolladores pueden elegir agregar un parámetro de manifiesto de entorno seguro para comunicarles a los contenedores de Android integrados en los dispositivos que no deben operar en su entorno de Android simulado.
Parámetro de Manifiesto de Entorno Seguro
- Deben comprobar si los manifiestos de las aplicaciones que pretendan cargar en su contenedor de Android en el dispositivo contienen este parámetro.
- No deben cargar las aplicaciones que declararon este parámetro en su contenedor de Android en el dispositivo.
- No deben funcionar como proxy interceptando o llamando a APIs en el dispositivo para que parezca que están instaladas en el contenedor.
- No deben facilitar ni crear soluciones alternativas para evitar el parámetro (como cargar una versión antigua de la aplicación para omitir el parámetro REQUIRE_SECURE_ENV de la aplicación actual).
Consideraciones Clave
| Qué debe hacer | Qué no debe hacer |
En el caso de las aplicaciones que proporcionen contenedores integrados en el dispositivo, se debe consultar si el parámetro REQUIRE_SECURE_ENV está en los manifiestos de otras aplicaciones y, si lo está, no se deben cargar las aplicaciones. |
No ignore el parámetro. No puede cargar una aplicación en su contenedor si esta declara el parámetro REQUIRE_SECURE_ENV. |
| Evite usar soluciones alternativas. Está prohibido que omita el parámetro, por ejemplo, cargando versiones anteriores de una aplicación. | No omita las medidas de seguridad. No cree soluciones alternativas para omitir la preferencia de seguridad de una aplicación. |
| Evite enrutar las APIs a través de un proxy. No permita el funcionamiento como proxy interceptando o llamando a APIs fuera del contenedor. | No haga que parezca que las aplicaciones se ejecutan en un entorno seguro cuando no es así. |
| Revise los requisitos de las políticas para contenedores de Android integrados en el dispositivo. |