Remote Hardware Attestation y el despliegue de Strong Integrity

Google ha hecho obligatoria la certificación "Strong Integrity" en su Play Integrity API para todas las aplicaciones bancarias, gubernamentales y de identidad a partir de hoy (Cybernews, 11 de mayo de 2026). Esta medida marca la transición definitiva de la seguridad basada en software a un modelo donde el silicio tiene la última palabra sobre qué dispositivo puede operar en la red.

El Pitch

La atestación remota de hardware verifica que las peticiones de una aplicación provienen de un dispositivo genuino y un sistema operativo certificado. Aunque se vende como una herramienta contra el fraude, en 2026 se ha consolidado como un portero digital que excluye cualquier entorno no aprobado por los fabricantes originales.

Bajo el capó

El ecosistema de atestación actual, que incluye Apple App Attest y Microsoft Pluton, ha mutado en lo que la comunidad denomina un "QR-wall". Los usuarios de sistemas operativos de escritorio como Linux o OpenBSD ahora deben validar su identidad escaneando códigos QR con un smartphone certificado para superar los nuevos reCAPTCHA Mobile Verification (GrapheneOS/Mastodon, 10 de mayo de 2026).

Microsoft Pluton es ahora un requisito innegociable para las funciones centrales de seguridad en Windows 12 (Microsoft Dev Blog). Esto ha provocado una fricción técnica constante con los bootloaders de código abierto, dificultando el dual-boot y la soberanía del usuario sobre su propio hardware.

A nivel técnico, el análisis de los paquetes de atestación revela que, a pesar de las promesas de privacidad, es posible vincular acciones a una identidad de hardware específica (HN Thread, mayo 2026). Esto convierte a la atestación en una herramienta de rastreo persistente que sobrevive al borrado de cookies o cambios de cuenta.

Existen dos lagunas críticas en la información actual:
- Aún no sabemos el veredicto de la Comisión Europea sobre si estas prácticas violan la Digital Markets Act, esperado para julio de 2026 (Eucrim).
- No es pública la profundidad de la integración de Gemini 2.5 con los protocolos de Web Attestation para el rastreo publicitario post-cookie.

La opinión de Diego

Estamos ante el cierre definitivo del ecosistema: la atestación de hardware es el fin del software libre funcional en dispositivos móviles. Si desarrollas aplicaciones críticas, estás obligado a pasar por el aro de Play Integrity o Apple App Attest para que tus usuarios no queden bloqueados, pero no lo llames seguridad; llámalo control de mercado. Es una infraestructura que prioriza la confianza del servidor sobre la autonomía del usuario, y en 2026, la batalla por el hardware "no autorizado" parece estar perdida.

Código limpio siempre,
Diego.