Pegá el ID de una sesión de /play o /api/auto-incorporate y el servidor recomputa el HMAC-SHA256 de cada entrada contra el secret server-side. Si tampered > 0, la firma no coincide con el cuerpo y alguien modificó la entrada después de la escritura. RFC-001 § 9.2.