Auditoría de seguridad de aplicaciones móviles
Tu app viaja en el bolsillo del atacante.
Auditamos tus aplicaciones iOS y Android como lo haría alguien con el binario en la mano: almacenamiento de datos, comunicaciones, secretos embebidos, ingeniería inversa y la seguridad del backend que las alimenta.
Lo que una tienda no comprueba por ti
Publicar en App Store o Google Play valida políticas, no la seguridad real del código ni de los datos que la app maneja.
La app está en manos del atacante
A diferencia de un servidor, el binario se instala en un dispositivo que el atacante controla. Puede descompilarlo, inspeccionar su almacenamiento y extraer secretos con toda la calma del mundo.
El backend es tan atacable como la app
La aplicación revela sus propios endpoints. Una vez interceptado el tráfico, el atacante deja de tocar la interfaz y trabaja directamente contra la API: IDOR, autorización rota y datos expuestos.
Sin ofuscación, no hay secretos
Claves de API, tokens y lógica de negocio embebidos sin protección aparecen en minutos con ingeniería inversa. Sin detección de root/jailbreak ni pinning, el control es puramente cosmético.
Qué analizamos
Cubrimos las siete categorías de verificación de OWASP MASVS y ejecutamos las pruebas técnicas de la MASTG sobre iOS y Android. No es un escaneo automático: es una revisión guiada por un estándar, categoría a categoría, hasta llegar a la API que consume la app.
Almacenamiento de datos
Dónde y cómo guarda la app la información sensible: Keychain en iOS y Keystore en Android, ficheros y preferencias, bases de datos SQLite, caché de red y de imágenes, logs del sistema y copias de seguridad. Buscamos credenciales, tokens y datos personales que sobrevivan fuera del almacén seguro y queden al alcance de otra app o de quien tenga el dispositivo.
Criptografía
Uso correcto de la criptografía: algoritmos y modos vigentes, generación de claves y aleatoriedad, gestión y rotación del material criptográfico, y ausencia de esquemas caseros o claves embebidas en el binario. El cifrado mal aplicado da una falsa sensación de seguridad más peligrosa que no cifrar.
Autenticación y gestión de sesión
Flujos de login, tokens (OAuth2/JWT), caducidad y revocación de sesión, biometría y almacenamiento seguro de credenciales. Comprobamos que la autenticación real la impone el backend y que la app no confía en controles que viven solo en el cliente y se saltan con un hook.
Comunicaciones de red
Uso de TLS en todo el tráfico, validación de certificados y estado del certificate pinning, además de la resistencia frente a un ataque de intermediario (MitM). Interceptamos el tráfico en un entorno controlado para ver qué viaja realmente por la red y con qué protección.
Interacción con la plataforma
Permisos solicitados frente a permisos realmente necesarios, comunicación entre componentes (IPC, intents, URL schemes), deep links y el manejo de WebViews: JavaScript habilitado, puentes nativos expuestos y carga de contenido no confiable. Aquí es donde una app filtra datos a otra app del mismo dispositivo.
Calidad de código y resistencia
Protección frente a ingeniería inversa y manipulación: ofuscación, anti-tampering, verificación de integridad y detección de root/jailbreak. Evaluamos cuánto cuesta descompilar, modificar y reempaquetar la app, y si esos controles resisten herramientas de hooking como Frida o son puramente cosméticos.
Seguridad del backend y la API
La app es solo el cliente: la lógica de negocio y los datos viven en el backend. Una vez interceptado el tráfico, un atacante trabaja directamente contra la API y prueba autorización a nivel de objeto (IDOR/BOLA), validación de entradas, rate limiting y exposición de datos. Por eso cerramos el alcance con nuestra auditoría de seguridad de API; si además tienes panel web de gestión, encaja con la auditoría de aplicaciones web.
Cómo auditamos tu aplicación móvil
Reconocimiento y análisis estático
Descompresión del paquete (IPA/APK), inventario de permisos, componentes expuestos y librerías de terceros, y búsqueda de secretos hardcodeados, endpoints y claves de API embebidas en el binario.
Análisis dinámico en tiempo de ejecución
Instrumentación de la app en un dispositivo controlado: inspección del almacenamiento local, bases de datos, caché y logs, interceptación del tráfico TLS y validación de certificate pinning y del manejo de sesión.
Ingeniería inversa
Desensamblado del binario para evaluar la protección frente a manipulación: ofuscación, detección de root/jailbreak, integridad de código y resistencia a hooking y repackaging con herramientas como Frida.
Pruebas sobre el backend y la API
Auditoría de la API que consume la app: autenticación, autorización a nivel de objeto (IDOR/BOLA), validación de entradas, rate limiting y exposición de datos, replicando lo que un atacante haría tras interceptar el tráfico.
Informe y revalidación
Hallazgos priorizados por riesgo con evidencia y prueba de concepto, recomendaciones concretas por plataforma y revalidación posterior para confirmar el cierre.
Cuándo necesitas auditar tu app
Una auditoría de seguridad de aplicaciones móviles no es un trámite anual: hay momentos concretos en los que el riesgo crece o alguien te la va a pedir por escrito.
Lanzamiento o actualización mayor
Antes de publicar en las tiendas o de sacar una versión que reescribe autenticación, pagos o el almacenamiento local. Es más barato corregir antes de que el binario esté en manos de miles de usuarios.
Pagos o datos personales
Si la app procesa pagos, maneja datos de salud, credenciales o cualquier información personal, es un objetivo con retorno claro para un atacante y una responsabilidad directa para ti ante tus usuarios.
Requisito de un cliente enterprise
Cada vez más procesos de compra B2B exigen un informe de auditoría independiente antes de aprobar tu app. Un entregable alineado con OWASP MASVS desbloquea ese trámite, algo habitual en el sector SaaS y tecnología.
Cumplimiento normativo
RGPD para datos personales, PCI DSS si intervienen tarjetas y DORA para entidades financieras y su cadena de proveedores. Una auditoría documentada aporta la evidencia técnica que exigen estos marcos.
Tras integrar con terceros
Un nuevo SDK de analítica, un proveedor de pago o una librería de publicidad amplían tu superficie de ataque y pueden introducir permisos, tráfico y fugas de datos que no controlas. Conviene revisarlo después de integrar.
Como parte de tu red team
La app móvil es un vector más de un ejercicio ofensivo completo. Encaja dentro de nuestro pentesting y red team cuando quieres una visión de extremo a extremo de tu exposición.
Qué incluye el informe
El entregable está pensado para dos lectores: quien decide y quien corrige. Cada hallazgo llega con severidad, evidencia reproducible y una remediación que tu equipo puede aplicar sin adivinar.
Resumen ejecutivo
Una lectura sin jerga del nivel de riesgo global, los hallazgos críticos y su impacto de negocio, para que dirección y clientes entiendan la situación en una página.
Hallazgos con severidad y evidencia
Cada vulnerabilidad con su severidad, la evidencia reproducible y el detalle separado por plataforma (iOS y Android), porque el mismo problema se manifiesta y se corrige de forma distinta en cada una.
Prueba de concepto
Los pasos exactos para reproducir cada hallazgo relevante: qué se extrajo del binario, qué petición se manipuló o qué control se saltó. Nada de teoría; la demostración de que el riesgo es real.
Remediación priorizada y revalidación
Recomendaciones concretas ordenadas por prioridad, para que sepas qué corregir primero. Cuando tu equipo lo haya resuelto, revalidamos para confirmar por escrito que lo crítico queda cerrado.
Qué recibes al terminar
Un informe técnico y ejecutivo con cada hallazgo, su impacto real de negocio y una remediación concreta por plataforma, más una revalidación para confirmar que lo crítico queda cerrado.
- Mapa de datos sensibles: dónde y cómo los almacena la app (Keychain/Keystore, ficheros, caché, logs).
- Inventario de secretos embebidos, claves de API y endpoints expuestos en el binario.
- Evaluación de comunicaciones, certificate pinning, autenticación y gestión de sesión.
- Hallazgos sobre el backend/API y plan de remediación priorizado con revalidación del cierre.
"La primera clave de API que encontramos casi siempre está embebida en el propio binario. El atacante no la roba: la app se la entrega."
— Equipo de Servicios Ofensivos, Hard2bit
Preguntas frecuentes sobre seguridad de apps móviles
¿Auditáis tanto iOS como Android?
¿Necesitáis el código fuente de la aplicación?
¿Qué es OWASP MASVS y por qué os basáis en él?
¿Cuánto dura una auditoría de una app móvil?
¿La publicación en App Store o Google Play garantiza que la app sea segura?
¿Probáis también el backend que consume la aplicación?
¿Dónde encaja esto dentro del portfolio de Hard2bit?
¿Qué revela tu app al descompilarla?
Solicita una auditoría de seguridad de aplicaciones móviles y te decimos, con evidencias, qué extraería un atacante del binario y de tu backend.