SafetyNet no es algo nuevo, aunque estos días ha vuelto al candelero con motivo de que los Huawei Mate 30 Pro han empezado a fallar en este test. Ahora bien, ¿qué es esto de SafetyNet y para qué sirve?

Primero veremos qué es exactamente este test de seguridad y para qué se usa, para después contarte cómo puedes ver si tu móvil pasa el test y qué casos pueden provocar que un móvil no pase el test.

Qué es SafetyNet y para qué sirve

AtestEsquema del funcionamiento de Safety Net, que envía la info del dispositivo a los servidores de Google para obtener la respuesta

Google define SafetyNet como unos servicios y API para evitar abusos. Los desarrolladores de aplicaciones pueden usar esta API para determinar si la conexión con los servidores es genuina, desde una aplicación genuina y en un dispositivo genuino.

Es decir, lo que hace es comprobar el software y hardware del dispositivo para verificar que su integridad no haya sido comprometida, comparando el estado actual con los datos de referencias recogidos durante el test de compatibilidad (CTS).

No se trata de un DRM o de un estricto sistema anticheats para juegos, sino más bien de una comprobación de la integridad del sistema que compara que el sistema sigue igual que cuando pasó las pruebas de compatibilidad. Estas pruebas se componen de multitud de pequeños tests para detectar incompatibilidades y que cubren áreas como permisos o interacción entre distintas API.

CtsEsquema del test de compatibilidad de Android CTS

No es tampoco un detector de root, a pesar de que los dispositivos rooteados no pasarán el test. Esto es así porque los resultados que arroja SafetyNet son ambiguos y se limitan a decir si se ha pasado el test o no, pero no por qué motivo.

En cuanto a su uso, SafetyNet lo usan los desarrolladores para comprobar la seguridad general del sistema. Son estos desarrolladores los que deben implementarlo en sus aplicaciones y actuar en consecuencia.

Por ejemplo, la aplicación de un banco puede no funcionar a no ser que el dispositivo pase SafetyNet. De hecho, ya pasa con Google Pay. Otros desarrolladores pueden optar por directamente no mostrar sus apps en Google Play en dispositivos que no pasan el test, como pasa con Netflix.

Cómo saber si tu móvil pasa SafetyNet

El modo más fácil de comprobar si tu móvil pasa la comprobación SafetyNet es instalar una aplicación que haga la comprobación. Hay varias en Google Play que cumplen el cometido, siendo la más popular la sencilla SafetyNet Test.

Safetynet

La aplicación tiene literalmente un único botón, así que lo único que tienes que hacer es tocar en Run test. El test en cuestión toma un segundo y muestra bien claro si se ha pasado o no. En la parte inferior de la ventana se indican algunos detalles adicionales.

  • Safety Net Request. Es la petición del test en sí. Si no se lleva a cabo, el test ni siquiera llega a realizarse (por ejemplo, si no tienes conexión a Internet).
  • Response signature validation. Es la validación del resultado del test, que llega desde los servidores de Google.
  • Basic integrity. Es el test de integridad básica, algo más permisivo que el siguiente. Los desarrolladores pueden determinar si quieren que sus apps sigan funcionando si se pasa al menos este nivel de integridad.
  • CTS profile match. Es el test más estricto, que solo da como verdadero cuando el dispositivo se establece como genuino y certificado de acuerdo a la certificación CTS.