Hard2bit
Seguridad móvil

Auditoría de seguridad de aplicaciones móviles

Tu app viaja en el bolsillo del atacante.

Auditamos tus aplicaciones iOS y Android como lo haría alguien con el binario en la mano: almacenamiento de datos, comunicaciones, secretos embebidos, ingeniería inversa y la seguridad del backend que las alimenta.

Lo que una tienda no comprueba por ti

Publicar en App Store o Google Play valida políticas, no la seguridad real del código ni de los datos que la app maneja.

La app está en manos del atacante

A diferencia de un servidor, el binario se instala en un dispositivo que el atacante controla. Puede descompilarlo, inspeccionar su almacenamiento y extraer secretos con toda la calma del mundo.

El backend es tan atacable como la app

La aplicación revela sus propios endpoints. Una vez interceptado el tráfico, el atacante deja de tocar la interfaz y trabaja directamente contra la API: IDOR, autorización rota y datos expuestos.

Sin ofuscación, no hay secretos

Claves de API, tokens y lógica de negocio embebidos sin protección aparecen en minutos con ingeniería inversa. Sin detección de root/jailbreak ni pinning, el control es puramente cosmético.

Qué analizamos

Cubrimos las siete categorías de verificación de OWASP MASVS y ejecutamos las pruebas técnicas de la MASTG sobre iOS y Android. No es un escaneo automático: es una revisión guiada por un estándar, categoría a categoría, hasta llegar a la API que consume la app.

Almacenamiento de datos

Dónde y cómo guarda la app la información sensible: Keychain en iOS y Keystore en Android, ficheros y preferencias, bases de datos SQLite, caché de red y de imágenes, logs del sistema y copias de seguridad. Buscamos credenciales, tokens y datos personales que sobrevivan fuera del almacén seguro y queden al alcance de otra app o de quien tenga el dispositivo.

Criptografía

Uso correcto de la criptografía: algoritmos y modos vigentes, generación de claves y aleatoriedad, gestión y rotación del material criptográfico, y ausencia de esquemas caseros o claves embebidas en el binario. El cifrado mal aplicado da una falsa sensación de seguridad más peligrosa que no cifrar.

Autenticación y gestión de sesión

Flujos de login, tokens (OAuth2/JWT), caducidad y revocación de sesión, biometría y almacenamiento seguro de credenciales. Comprobamos que la autenticación real la impone el backend y que la app no confía en controles que viven solo en el cliente y se saltan con un hook.

Comunicaciones de red

Uso de TLS en todo el tráfico, validación de certificados y estado del certificate pinning, además de la resistencia frente a un ataque de intermediario (MitM). Interceptamos el tráfico en un entorno controlado para ver qué viaja realmente por la red y con qué protección.

Interacción con la plataforma

Permisos solicitados frente a permisos realmente necesarios, comunicación entre componentes (IPC, intents, URL schemes), deep links y el manejo de WebViews: JavaScript habilitado, puentes nativos expuestos y carga de contenido no confiable. Aquí es donde una app filtra datos a otra app del mismo dispositivo.

Calidad de código y resistencia

Protección frente a ingeniería inversa y manipulación: ofuscación, anti-tampering, verificación de integridad y detección de root/jailbreak. Evaluamos cuánto cuesta descompilar, modificar y reempaquetar la app, y si esos controles resisten herramientas de hooking como Frida o son puramente cosméticos.

Seguridad del backend y la API

La app es solo el cliente: la lógica de negocio y los datos viven en el backend. Una vez interceptado el tráfico, un atacante trabaja directamente contra la API y prueba autorización a nivel de objeto (IDOR/BOLA), validación de entradas, rate limiting y exposición de datos. Por eso cerramos el alcance con nuestra auditoría de seguridad de API; si además tienes panel web de gestión, encaja con la auditoría de aplicaciones web.

Cómo auditamos tu aplicación móvil

Reconocimiento y análisis estático

Descompresión del paquete (IPA/APK), inventario de permisos, componentes expuestos y librerías de terceros, y búsqueda de secretos hardcodeados, endpoints y claves de API embebidas en el binario.

Análisis dinámico en tiempo de ejecución

Instrumentación de la app en un dispositivo controlado: inspección del almacenamiento local, bases de datos, caché y logs, interceptación del tráfico TLS y validación de certificate pinning y del manejo de sesión.

Ingeniería inversa

Desensamblado del binario para evaluar la protección frente a manipulación: ofuscación, detección de root/jailbreak, integridad de código y resistencia a hooking y repackaging con herramientas como Frida.

Pruebas sobre el backend y la API

Auditoría de la API que consume la app: autenticación, autorización a nivel de objeto (IDOR/BOLA), validación de entradas, rate limiting y exposición de datos, replicando lo que un atacante haría tras interceptar el tráfico.

Informe y revalidación

Hallazgos priorizados por riesgo con evidencia y prueba de concepto, recomendaciones concretas por plataforma y revalidación posterior para confirmar el cierre.

Cuándo necesitas auditar tu app

Una auditoría de seguridad de aplicaciones móviles no es un trámite anual: hay momentos concretos en los que el riesgo crece o alguien te la va a pedir por escrito.

Lanzamiento o actualización mayor

Antes de publicar en las tiendas o de sacar una versión que reescribe autenticación, pagos o el almacenamiento local. Es más barato corregir antes de que el binario esté en manos de miles de usuarios.

Pagos o datos personales

Si la app procesa pagos, maneja datos de salud, credenciales o cualquier información personal, es un objetivo con retorno claro para un atacante y una responsabilidad directa para ti ante tus usuarios.

Requisito de un cliente enterprise

Cada vez más procesos de compra B2B exigen un informe de auditoría independiente antes de aprobar tu app. Un entregable alineado con OWASP MASVS desbloquea ese trámite, algo habitual en el sector SaaS y tecnología.

Cumplimiento normativo

RGPD para datos personales, PCI DSS si intervienen tarjetas y DORA para entidades financieras y su cadena de proveedores. Una auditoría documentada aporta la evidencia técnica que exigen estos marcos.

Tras integrar con terceros

Un nuevo SDK de analítica, un proveedor de pago o una librería de publicidad amplían tu superficie de ataque y pueden introducir permisos, tráfico y fugas de datos que no controlas. Conviene revisarlo después de integrar.

Como parte de tu red team

La app móvil es un vector más de un ejercicio ofensivo completo. Encaja dentro de nuestro pentesting y red team cuando quieres una visión de extremo a extremo de tu exposición.

Qué incluye el informe

El entregable está pensado para dos lectores: quien decide y quien corrige. Cada hallazgo llega con severidad, evidencia reproducible y una remediación que tu equipo puede aplicar sin adivinar.

Resumen ejecutivo

Una lectura sin jerga del nivel de riesgo global, los hallazgos críticos y su impacto de negocio, para que dirección y clientes entiendan la situación en una página.

Hallazgos con severidad y evidencia

Cada vulnerabilidad con su severidad, la evidencia reproducible y el detalle separado por plataforma (iOS y Android), porque el mismo problema se manifiesta y se corrige de forma distinta en cada una.

Prueba de concepto

Los pasos exactos para reproducir cada hallazgo relevante: qué se extrajo del binario, qué petición se manipuló o qué control se saltó. Nada de teoría; la demostración de que el riesgo es real.

Remediación priorizada y revalidación

Recomendaciones concretas ordenadas por prioridad, para que sepas qué corregir primero. Cuando tu equipo lo haya resuelto, revalidamos para confirmar por escrito que lo crítico queda cerrado.

Qué recibes al terminar

Un informe técnico y ejecutivo con cada hallazgo, su impacto real de negocio y una remediación concreta por plataforma, más una revalidación para confirmar que lo crítico queda cerrado.

  • Mapa de datos sensibles: dónde y cómo los almacena la app (Keychain/Keystore, ficheros, caché, logs).
  • Inventario de secretos embebidos, claves de API y endpoints expuestos en el binario.
  • Evaluación de comunicaciones, certificate pinning, autenticación y gestión de sesión.
  • Hallazgos sobre el backend/API y plan de remediación priorizado con revalidación del cierre.

"La primera clave de API que encontramos casi siempre está embebida en el propio binario. El atacante no la roba: la app se la entrega."

— Equipo de Servicios Ofensivos, Hard2bit

Preguntas frecuentes sobre seguridad de apps móviles

¿Auditáis tanto iOS como Android?
Sí, ambas plataformas. Comparten muchos vectores (almacenamiento inseguro, comunicaciones, secretos embebidos), pero difieren en el modelo de permisos, en el almacenamiento de credenciales (Keychain en iOS, Keystore en Android) y en las técnicas de protección frente a ingeniería inversa. Auditamos cada una con su propio conjunto de pruebas siguiendo OWASP MASVS y MASTG, y en el informe separamos los hallazgos por plataforma.
¿Necesitáis el código fuente de la aplicación?
No es imprescindible. Trabajamos habitualmente en caja gris o caja negra, partiendo del paquete instalable (IPA/APK) y realizando análisis estático, dinámico e ingeniería inversa. Tener el código fuente acelera el trabajo y amplía la cobertura, pero la mayoría de vectores reales (secretos embebidos, almacenamiento inseguro, tráfico) se evalúan sobre el binario tal como lo recibiría un atacante.
¿Qué es OWASP MASVS y por qué os basáis en él?
MASVS (Mobile Application Security Verification Standard) es el estándar de OWASP que define qué requisitos de seguridad debe cumplir una app móvil, agrupados por categorías: almacenamiento, criptografía, autenticación, comunicaciones, interacción con la plataforma, calidad de código y resistencia. Lo combinamos con la MASTG como guía de pruebas técnicas. Trabajar sobre este marco garantiza cobertura consistente de todos los vectores relevantes y un informe alineado con un estándar que tu equipo y tus clientes reconocen.
¿Cuánto dura una auditoría de una app móvil?
Depende del tamaño de la app, del número de plataformas y de si el backend entra en el alcance. Una app de complejidad media en una sola plataforma suele llevar entre una y dos semanas de trabajo efectivo; cubrir iOS y Android más su API extiende el plazo. Acotamos el alcance contigo antes de empezar para darte una estimación cerrada.
¿La publicación en App Store o Google Play garantiza que la app sea segura?
No. Las tiendas revisan políticas de contenido, privacidad declarada y ciertos comportamientos abusivos, pero no realizan una auditoría de seguridad real del código ni de cómo la app protege los datos. Una app puede estar publicada y funcionando y aun así almacenar credenciales en claro, embeber una clave de API o carecer de certificate pinning.
¿Probáis también el backend que consume la aplicación?
Sí, y lo consideramos parte esencial del alcance. El backend es tan atacable como la app: la propia aplicación revela sus endpoints y, una vez interceptado el tráfico, un atacante trabaja directamente contra la API. Para un análisis en profundidad del backend se combina con nuestra auditoría de seguridad de API.
¿Dónde encaja esto dentro del portfolio de Hard2bit?
Forma parte del área de Pentesting & Red Team, junto con pentesting técnico, auditoría de seguridad de API y auditoría de aplicaciones web. La auditoría móvil cubre el vector que el usuario lleva encima todo el día: la app en su bolsillo.

¿Qué revela tu app al descompilarla?

Solicita una auditoría de seguridad de aplicaciones móviles y te decimos, con evidencias, qué extraería un atacante del binario y de tu backend.