Pentesting Móvil · Android / iOS

Pentesting de Apps Móviles
en México: Android e iOS

Tu app móvil puede tener API keys hardcodeadas, tokens en texto plano o comunicaciones descifrable por atacantes. Evaluamos el cliente móvil y su backend usando OWASP Mobile Top 10 y técnicas de reverse engineering.

Android / iOS / Híbridas
OWASP Mobile Top 10
NDA incluido
Retest 6 meses

OWASP Mobile Top 10 — cubierto al 100%

Evaluamos tu app contra los 10 riesgos más críticos en aplicaciones móviles.

M1

Credenciales y permisos inseguros

Permisos excesivos en la app, credenciales hardcodeadas en el binario o en recursos.

M2

Almacenamiento inseguro

Datos sensibles en SharedPreferences, NSUserDefaults, SQLite sin cifrar o en logs.

M3

Comunicación insegura

Tráfico HTTP plano, SSL pinning ausente o bypasseable, certificados no validados.

M4

Autenticación insuficiente

Tokens sin expiración, falta de biometría, sesiones no invalidadas al cerrar.

M5

Criptografía inadecuada

Algoritmos débiles (MD5, DES), claves hardcodeadas, IV estático, ECB mode.

M6

Autorización insuficiente

Controles de acceso solo en el cliente (bypasseable), falta de validación servidor.

M7

Calidad del código

Buffer overflows, format string bugs, decompilación fácil sin ofuscación.

M8

Manipulación de código

App modificable, sin detección de jailbreak/root, checksums ausentes.

M9

Ingeniería inversa

Código descompilable que revela lógica de negocio sensible, algoritmos o secrets.

M10

Funcionalidad extraña

Backdoors, funcionalidades de debug en producción, endpoints ocultos.

Preguntas frecuentes

¿Evalúan apps Android e iOS?

Sí, evaluamos aplicaciones nativas Android (APK) e iOS (IPA), así como apps híbridas (React Native, Flutter, Xamarin). Realizamos tanto análisis estático (revisión del binario y código) como dinámico (comportamiento en ejecución con Frida, SSL pinning bypass).

¿Necesitan acceso al código fuente de la app?

No es necesario. Realizamos pruebas black-box con solo el binario de la app. También ofrecemos análisis white-box con acceso al código fuente para mayor profundidad. El nivel de acceso se define según tus necesidades y se documenta en el NDA.

¿Qué información sensible puede estar expuesta en una app móvil?

Es común encontrar: API keys hardcodeadas en el binario, tokens de autenticación guardados en texto plano en SharedPreferences o NSUserDefaults, certificados SSL embebidos que permiten descifrar tráfico, credenciales en logs, y datos de usuarios en SQLite sin cifrar.

¿El pentesting móvil cubre también el backend de la app?

Sí. Evaluamos tanto el cliente móvil como las APIs y servicios backend con los que se comunica. Muchas vulnerabilidades críticas están en el backend (IDOR, auth bypass, exposición de datos) que solo se descubren analizando las comunicaciones de la app.

¿Tu app móvil protege a tus usuarios?

Una app comprometida puede exponer los datos de miles de usuarios. Evalúa antes de que ocurra.

Solicitar cotización por WhatsApp