API de Play Integrity: Programa de acceso anticipado (PAA) a la actividad de la cuenta

Crea una estrategia más eficaz y matizada contra el abuso con la actividad de la cuenta de Play, un nuevo indicador en la API de Play Integrity. La actividad de la cuenta está representada por niveles según la presencia y el volumen de actividad de la tienda, así como la antigüedad de las cuentas en el dispositivo. Cuando se evalúa, se muestra un nivel de actividad de la cuenta para la sesión de usuario actual que no está vinculado a los identificadores de usuario o dispositivo.

¿Qué es la actividad de la cuenta de Play?

La API de Play Integrity ofrece un conjunto de indicadores de integridad para ayudar a los desarrolladores de apps y juegos a detectar tráfico potencialmente riesgoso y fraudulento. Los desarrolladores de este programa de acceso anticipado pueden agregar actividad de la cuenta a su respuesta de la API, que ya contiene el dispositivo, la aplicación y los veredictos de la licencia de la cuenta. Si el dispositivo, la aplicación o los veredictos de licencia tienen problemas, no se evaluará la actividad de la cuenta. Si los veredictos existentes no tienen problemas, la actividad de la cuenta mostrará un nivel. El nivel se determina en función de la presencia y el volumen de la actividad en la tienda, así como de la antigüedad de las cuentas en el dispositivo. El nivel ayudará a tu app a diferenciar entre posibles usuarios genuinos y tráfico probablemente no genuino (como cuentas que se usan para fraudes, cuentas que usan tráfico automatizado o cuentas que se usan en granjas de dispositivos). Tu app puede usar este indicador, junto con otros, a la hora de proteger acciones sensibles o de alto valor.

Las apps que participan en el programa de acceso anticipado (PAA) pueden recibir uno de los siguientes niveles de actividad de la cuenta para la sesión de usuario actual:

  • UNEVALUATED: No se evalúa la actividad de la cuenta porque el dispositivo no es de confianza o porque el usuario no tiene una licencia de la app de Play.
  • UNUSUAL: La actividad en Google Play Store es inusual en al menos una de las cuentas de usuario en el dispositivo. Google Play recomienda verificar que se trate de un usuario real.
  • UNKNOWN: Google Play no tiene suficiente actividad de almacenamiento para la cuenta de usuario en el dispositivo. Es posible que la cuenta sea nueva o que no tenga actividad en Google Play.
  • TYPICAL (BASIC): La actividad en Google Play Store es típica para la cuenta o las cuentas de usuario en el dispositivo.
  • TYPICAL (STRONG): La actividad de Google Play Store es típica para la cuenta o las cuentas de usuario en el dispositivo, con indicadores más difíciles de replicar.

Usa la actividad de la cuenta como parte de una estrategia contra el abuso

La actividad de la cuenta funciona mejor cuando se usa junto con otros indicadores como parte de tu estrategia general contra el abuso y no como tu único mecanismo antiabuso. Usa este indicador y la API de Play Integrity junto con otras prácticas recomendadas de seguridad para tu app.

Recopila información sobre la telemetría y comprende a tu público antes de realizar acciones

Antes de cambiar la funcionalidad según la actividad de la cuenta y otros veredictos de la API de Play Integrity, implementa la API sin aplicarla de manera forzosa para comprender la situación actual con tu público existente. Una vez que sepas qué niveles muestra tu base de instalaciones actual, puedes estimar el impacto de cualquier aplicación forzosa que estés planeando y ajustar tu estrategia contra el abuso según corresponda.

Desafía el tráfico riesgoso cuando se accede a funciones sensibles o de alto valor

Identifica acciones sensibles o de alto valor en tu app o juego para protegerlas con la API de Play Integrity, en lugar de denegar directamente el acceso a la app o al juego. Cuando sea posible, desafía el tráfico riesgoso antes de permitir que se realicen acciones de alto valor. Por ejemplo, cuando el nivel de actividad de la cuenta es UNUSUAL, es posible que necesites un segundo mecanismo de verificación para que el usuario pueda completar la acción que proteges.

Planifica la asistencia al usuario

Cuando sea posible, proporciona mensajes de error útiles al usuario y dile qué hacer para solucionarlo, como volver a intentar la acción, habilitar la conexión a Internet o verificar si la app de Google Play Store está actualizada. Google Play actualiza periódicamente las evaluaciones de la actividad de la cuenta. Las actividades nuevas de la tienda pueden cambiar automáticamente el nivel de un usuario durante estas actualizaciones periódicas.

Sigue las recomendaciones existentes para la API de Play Integrity

Además de las prácticas anteriores, lee las consideraciones de seguridad para la API de Play Integrity.

Obtén acceso anticipado a la actividad de la cuenta de la API de Play Integrity

Sigue estos pasos para comenzar a utilizar la actividad de la cuenta.

Paso 1: Lee estas consideraciones importantes

  • La actividad de la cuenta está en desarrollo activo y sujeta a cambios.
  • La actividad de la cuenta sigue siendo confidencial. No compartas información sobre la actividad de la cuenta ni sus niveles con los usuarios finales.
  • Si usas la actividad de la cuenta, aceptas los términos del Acuerdo de Distribución para Desarrolladores de Google Play y las Condiciones del Servicio de la API de Play Integrity.
  • Se espera que los desarrolladores que participan en el programa de acceso anticipado evalúen el indicador de actividad de la cuenta y proporcionen información y comentarios sobre el resultado de su evaluación a Google Play antes de alterar su estrategia de aplicación forzosa.

Paso 2: Solicita unirte al PAA a la actividad de la cuenta de la API de Play Integrity

Los desarrolladores del Programa de socios de Google Play para juegos tienen acceso automático al PAA a la actividad de la cuenta y pueden omitir el paso 3.

Otros desarrolladores pueden expresar su interés en unirse al programa de acceso anticipado por correo electrónico a integrity-api-eap@google.com con la siguiente información:

  • El nombre del paquete y el ID de la cuenta de desarrollador
  • Confirmación de que leíste las prácticas recomendadas para la actividad de la cuenta
  • Cómo piensas evaluar la actividad de la cuenta y, si ya tienes una idea, cómo esperas usarla
  • Tu cronograma previsto una vez que se te acepte en el programa de acceso anticipado a la actividad de la cuenta

Por el momento, solo aceptamos la participación de desarrolladores que cumplan con los umbrales de rendimiento a gran escala en Google Play y que tengan cuentas en regla.

Paso 3: Activa la actividad de la cuenta en la respuesta de la API de Integrity desde Google Play Console

Una vez que se acepte tu solicitud en el programa de acceso anticipado, verás una opción nueva en la página de la API de Integrity en Play Console para incluir la actividad de la cuenta en tu respuesta de la API de Play Integrity. Cuando tengas todo listo, activa la actividad de la cuenta en Play Console:

  1. Accede a tu cuenta de Play Console.
  2. Selecciona la app que usará la actividad de la cuenta.
  3. En la sección Versión del menú de la izquierda, ve a Integridad de la app.
  4. Junto a la API de Play Integrity, haz clic en Configuración.
  5. En la sección Respuestas de la página, junto a Actividad de la cuenta, haz clic en Activar.
  6. En la ventana que aparece, haz clic en Activar.

Cuando actives o desactives la actividad de la cuenta, se borrarán todas las respuestas de prueba de la API de Play Integrity que hayas configurado en Play Console, y deberás volver a crearlas.

Paso 4: Integra la API de Integrity en tu app y en su servidor de backend

Si aún no lo hiciste, sigue la documentación para integrar la API de Play Integrity a tu app y a su servidor de backend.

Paso 5: Trabaja con la actividad de la cuenta

Una vez habilitado, el campo accountDetails en la carga útil de la API de Play Integrity contendrá el nuevo indicador de la actividad de la cuenta que representa la actividad asociada con las cuentas de usuario en el dispositivo.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity puede tener los siguientes valores:

UNUSUAL
La actividad en Google Play Store es inusual en al menos una de las cuentas de usuario en el dispositivo.
DESCONOCIDO
Google Play no tiene suficiente actividad de almacenamiento para la cuenta de usuario en el dispositivo. Es posible que la cuenta sea nueva o que no tenga actividad en Google Play.
NORMAL (BÁSICA)
La actividad en Google Play Store es típica para la cuenta o las cuentas de usuario en el dispositivo.
NORMAL (FUERTE)
La actividad de Google Play Store es típica para la cuenta o las cuentas de usuario en el dispositivo, con indicadores más difíciles de replicar.
UNEVALUATED

No se evalúa la actividad de la cuenta porque se omitió un requisito necesario.

Estos son algunos de los diversos motivos por los que podría suceder:

  • El dispositivo no es lo suficientemente confiable.
  • La versión de la app instalada en el dispositivo es desconocida para Google Play.
  • El usuario no accedió a Google Play.
  • El usuario no tiene la licencia necesaria para acceder a la app.

A fin de verificar que las cuentas de usuario del dispositivo tengan una actividad inusual, comprueba que el accountActivity.activityLevel sea el esperado, como se muestra en el siguiente fragmento de código:

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Paso 6: Prueba tu integración con la actividad de la cuenta

Puedes crear pruebas para evaluar cómo interactúan los niveles de la actividad de la cuenta de la API de Play Integrity con tu app mediante la función de prueba de la API de Play Integrity disponible. Las instrucciones para usar esta función de prueba están disponibles en el Centro de ayuda de Play Console.

Paso 7: Proporciona a Google Play comentarios sobre el acceso anticipado

Nos gustaría que los participantes del programa de acceso anticipado envíen comentarios sobre la actividad de la cuenta. Si deseas brindar comentarios, envía un correo electrónico a integrity-api-eap@google.com. Nuestro equipo de investigación de desarrolladores también se comunicará para programar entrevistas. Nos interesa comprender lo siguiente:

  • ¿Con qué precisión se correlaciona el nivel de la actividad de la cuenta con las cuentas abusivas conocidas de tu app o juego?
  • ¿La distribución del público de la actividad de la cuenta y otros veredictos de la API de Play Integrity coinciden con tus expectativas?
  • ¿Qué problemas relacionados con el abuso intentas solucionar con la actividad de la cuenta y otros veredictos de la API de Play Integrity?
  • ¿Qué funcionalidad planeas cambiar según la actividad de la cuenta y otros veredictos de la API de Play Integrity?

Otras herramientas de Play Integrity

Procura usar estas otras herramientas para la protección de la integridad como parte de tu estrategia contra el abuso: