Guía para desarrolladores sobre las advertencias de Google Play Protect

Google Play Protect ofrece protección integrada y proactiva contra software malicioso y no deseado para ayudar a mantener seguros los dispositivos y los datos de los usuarios en dispositivos Android con Servicios de Google Play.

En esta página, se incluye más información sobre cada una de las advertencias de Play Protect que pueden ver los usuarios, con orientación para que los desarrolladores comprendan por qué una app se ve afectada por una advertencia de Play Protect y algunas alternativas o soluciones que se suelen utilizar para resolver un problema antes de enviar una apelación a Play Protect de Google.

Se bloqueó la app para proteger tu dispositivo

Mensaje que se muestra: "Esta app puede solicitar acceso a datos sensibles. Esto puede aumentar el riesgo de robo de identidad o fraude financiero".

Después de que el usuario selecciona un vínculo de instalación, aparece un diálogo emergente que explica que la app está bloqueada.
Figura 1: Mensaje de Google Play Protect que aparece cuando se bloquea una app durante el proceso de instalación.

Motivo de esta notificación: Las aplicaciones que se descargan directamente de fuentes en línea, como navegadores web, apps de mensajería o administradores de archivos, se conocen comúnmente como fuentes de carga lateral de Internet. Si estas aplicaciones también usan permisos sensibles (RECEIVE_SMS, READ_SMS, NOTIFICATION_LISTENER y ACCESSIBILITY), se consideran aplicaciones de alto riesgo porque estos permisos se suelen usar de forma inadecuada para cometer fraude financiero. Cuando un usuario intenta instalar una aplicación desde estas fuentes y se declara cualquiera de estos permisos sensibles, Google Play Protect bloqueará automáticamente la instalación. En segundo lugar, si intentas inscribir dispositivos en la administración empresarial, también se bloquearán las apps de las mismas fuentes de carga lateral por Internet con los mismos permisos sensibles.

Acciones recomendadas para el desarrollador:

  • Asegúrate de que las aplicaciones cumplan con los lineamientos para desarrolladores y las prácticas recomendadas.
  • Asegúrate de que las APIs y los permisos se usen para los fines previstos.
  • Asegúrate de que tu aplicación solo use los permisos mínimos necesarios para llevar a cabo las funciones requeridas de tu aplicación.
  • Asegúrate de que tu aplicación siga los lineamientos responsables de privacidad y seguridad.
  • Usa las APIs de SMS Retriever o User Consent en lugar del permiso READ_SMS cuando realices un proceso de verificación basado en SMS.
  • Ejemplos comunes (no exhaustivos) de casos de uso de permisos:
    • Ejemplos de SMS:
      • Permitido:
        • Apps cuyo objetivo principal es controlar contenido de SMS o MMS
        • Apps que crean copias de seguridad del contenido de SMS después de la divulgación destacada y el consentimiento del usuario
      • No permitidos:
        • Apps que acceden a contenido de SMS o lo envían sin el consentimiento explícito del usuario
        • Apps que solicitan permisos de SMS con el único propósito de validar la verificación basada en SMS (En su lugar, usa las APIs de SMS Retriever o de consentimiento del usuario permitidas).
    • Ejemplos de vinculación del agente de escucha de notificaciones:
      • Permitido:
        • Apps de salud y actividad física que retransmiten notificaciones a sus respectivos dispositivos de hardware wearables
        • Apps que agregan notificaciones para ayudar a los usuarios a concentrarse.
        • Apps que muestran notificaciones en interfaces de usuario alternativas, por ejemplo, con widgets o lanzadores
      • No permitidos:
        • Apps que acceden al contenido de las notificaciones sin el consentimiento explícito del usuario
        • Apps que ocultan o impiden las notificaciones de otras apps sin el consentimiento previo del usuario
    • Ejemplos de accesibilidad:
      • Permitido:
        • Apps de asistencia que aumentan la usabilidad de un dispositivo para usuarios con discapacidad visual.
        • Apps de utilidad de lectura de pantalla que admiten la traducción de texto con el consentimiento del usuario.
      • No permitidos:
        • Apps que interactúan con otras apps o con el dispositivo del usuario de cualquier manera sin el consentimiento explícito del usuario
        • Son las apps que se usan para extraer las credenciales del usuario.

Después de verificar que tu app cumple con los lineamientos anteriores (incluidos los principios del software no deseado para dispositivos móviles y la aplicación potencialmente dañina según lo define Google Play Protect), si aún crees que se bloqueó tu app por error, puedes solicitar una apelación.

Se bloqueó la app dañina

Un diálogo emergente que explica por qué se bloqueó la app, junto con un vínculo "Entendido"
Figura 2: Mensaje que aparece cuando se bloquea una app dañina.

Mensajes que se muestran: Los detalles varían según el incumplimiento y el tipo de software malicioso o software no deseado para dispositivos móviles detectado.

Motivo de la notificación: El ecosistema de Android debe estar libre de comportamientos maliciosos. Se identificó que la aplicación es potencialmente dañina y pertenece a una categoría de software malicioso o a una categoría de software no deseado para dispositivos móviles.

Acciones recomendadas para el desarrollador:

  • Verifica que tu aplicación cumpla con los lineamientos para desarrolladores y las prácticas recomendadas.
  • Revisa que las APIs y los permisos se usen para los fines previstos y no tergiversen el propósito del acceso a la API. Por ejemplo, no declares isAccessbilityTool="true" cuando tu app no sea una herramienta de accesibilidad.
  • Asegúrate de que tu aplicación solo use los permisos mínimos necesarios para llevar a cabo las funciones requeridas de tu aplicación.
  • Confirma que tu aplicación cumpla con los lineamientos de privacidad y seguridad responsables.
  • Valida que tu aplicación y los SDKs que se usen no contengan código malicioso ni problemas de seguridad que pongan en riesgo a los usuarios.
  • Después de revisar esta guía, si concluyes que tu aplicación no es una Aplicación Potencialmente Dañina según la definición de Google Play Protect y cumple con la Política de Software No Deseado, la Política de Software y la guía anterior, y sigues recibiendo advertencias por error, puedes solicitar una apelación de la acción de Google Play Protect.
Los dos botones del diálogo, de arriba abajo, son Analizar app y No instalar la app
Figura 3: El diálogo Se recomienda analizar la app que muestra Google Play Protect.

Mensaje que se muestra: "Todavía no se verificó esta app con Play Protect. Para proteger tu dispositivo y los datos, antes de instalarla, envía información sobre la app a Google para que la analice".

Motivo de esta notificación: Google Play Protect realiza verificaciones de seguridad durante la instalación para proteger a los usuarios. Para ello, analiza las apps en busca de código malicioso y permisos sensibles de aplicaciones desconocidas que se estén instalando en tu dispositivo. Si permites que se ejecuten análisis en la aplicación, Play Protect puede ayudar a reducir las probabilidades de que se instalen aplicaciones dañinas en el dispositivo de un usuario.

Acciones recomendadas para el desarrollador:

Advertencia de compatibilidad de la app para Android demasiado baja

El botón del diálogo es Aceptar para confirmar que el SDK de destino es demasiado bajo.
Figura 4: Un mensaje de Google Play Protect que notifica al usuario que la app se diseñó para una versión anterior de Android.

Mensaje que se muestra: "Esta app se diseñó para una versión anterior de Android y no incluye las protecciones de la privacidad más recientes".

Motivo de esta notificación: Estas advertencias de Play Protect solo se mostrarán si el atributo targetSdkVersion de la app es más de 2 versiones inferior al nivel de API de Android actual. Por ejemplo, un usuario con un dispositivo que ejecuta Android 13 (API actual = 33) recibirá una advertencia cuando instale cualquier APK que tenga como objetivo un nivel de API inferior a 31. Las versiones de Android y los niveles de API correspondientes se pueden revisar en la página del nivel de API.

Si un dispositivo está por debajo de la API de destino, no recibirá una advertencia. Todas las versiones nuevas de Android incluyen cambios que implican mejoras significativas de seguridad y rendimiento, y optimizan la experiencia del usuario de Android. Algunos de estos cambios solo se aplican a las apps que declaran su compatibilidad de forma explícita a través del atributo del manifiesto targetSdkVersion (también conocido como el nivel de API objetivo). Si configuras la app para que se oriente a un nivel de API reciente, eso garantiza que los usuarios puedan beneficiarse de estas mejoras y permite que la app se ejecute en versiones anteriores de Android. Orientar tu app a un nivel de API reciente también permite que esta aproveche las funciones más recientes de la plataforma para que los usuarios disfruten de ella.

Acciones recomendadas para el desarrollador:

Para garantizar la compatibilidad en todas las versiones de Android, los desarrolladores deben asegurarse de que las versiones nuevas de las apps se orienten al nivel de API más reciente. Si quieres obtener asesoramiento para cambiar el nivel de API objetivo de tu app, consulta la guía de migración.

Enviar la app para una verificación de seguridad

Los tres botones del diálogo, de arriba abajo, son Enviar siempre apps desconocidas, Enviar esta vez y No enviar
Figura 5: Mensaje de Google Play Protect para enviar la app a una verificación de seguridad.

Mensaje que se muestra: "Esta app es desconocida para Play Protect. Para protegerte a ti y a los demás, envíala a Google para que se someta a un control de seguridad".

Motivo de esta notificación: Las aplicaciones desconocidas pueden representar un riesgo para los usuarios. En el caso de los usuarios, enviar (una vez o siempre) esta aplicación a Google Play Protect para que analice si hay software malicioso potencial hará que desaparezca esta notificación. Las apelaciones no son pertinentes y no quitarán este mensaje.

Acciones recomendadas para el desarrollador:

Apelaciones

Apela el estado de la app en Play Store

Puedes apelar la eliminación de la app de Google Play Store. Restableceremos las apps en las circunstancias adecuadas, incluso si se produjo un error y detectamos que tu app no incumple las Políticas del programa para desarrolladores ni el Acuerdo de Distribución para Desarrolladores de Google Play. Para obtener más información sobre cómo apelar un incumplimiento de política, consulta Se quitó mi app de Google Play.

Apela el estado de advertencia de Play Protect

Puedes apelar el estado de clasificación de Google Play Protect de tu app.

Antes de enviar una apelación a Play Protect, te recomendamos que uses la guía anterior para comprender por qué una app se ve afectada por una advertencia de Play Protect y algunas alternativas o soluciones que se suelen utilizar para resolver un problema.

Corregiremos la clasificación de las apps en las circunstancias adecuadas, incluso si se produjo un error y detectamos que tu app no incumple los principios de Software no deseado para dispositivos móviles ni es una Aplicación potencialmente dañina, según la definición de Google Play Protect.

Después de asegurarte de que tu app cumpla con las políticas anteriores y si aún crees que se bloqueó por error, puedes apelar la clasificación. Para ello, haz clic en el botón Presentar una apelación de Play Protect que se encuentra a continuación:

Cómo presentar una apelación de Play Protect