ServicesEventsBlogAcademySupportContact
Free Consultation
05

Mobile App Security

Evalúa la seguridad real de tus apps iOS y Android alineado a OWASP MASVS.

Las apps móviles almacenan credenciales, tokens y datos sensibles en el dispositivo del usuario. Realizamos análisis estático y dinámico de apps iOS y Android (nativas e híbridas) siguiendo OWASP MASVS y MSTG, validando criptografía, almacenamiento local, comunicación y resistencia a reverse engineering.

95%

de apps móviles fallan al menos un control OWASP MASVS

NowSecure Mobile Risk Benchmark 2024

84%

de apps presentan debilidades por SDKs/frameworks de terceros

NowSecure Mobile App Risk 2025

15%

de apps incluyen componentes de terceros con CVEs conocidas (MASVS-CODE-3)

NowSecure Mobile App Risk 2025

Marco de referencia

OWASP MASVS v2.1

Validamos contra los ocho dominios de OWASP MASVS (Mobile Application Security Verification Standard), aplicando nivel L1 (baseline) o L2 (defensa en profundidad) según la criticidad de la app.

MASVS-STORAGE

Almacenamiento seguro

Keychain/Keystore, evitar logs sensibles, no exponer datos en backups, proteger archivos compartidos.

MASVS-CRYPTO

Criptografía

Algoritmos modernos, gestión segura de claves, no implementar primitivas propias, randomness adecuada.

MASVS-AUTH

Autenticación y autorización

Manejo seguro de sesiones, biometría, MFA, validación server-side de toda autorización.

MASVS-NETWORK

Comunicación segura

TLS 1.2+, certificate pinning, validación de cadena, no aceptar certificados inválidos.

MASVS-PLATFORM

Interacción con plataforma

WebViews seguros, IPC controlado, deep links validados, manejo seguro de intents y schemes.

MASVS-CODE

Calidad de código

Compilador con flags de seguridad, librerías actualizadas, manejo de excepciones, sin debug habilitado.

MASVS-RESILIENCE

Resistencia a reverse engineering

Anti-debug, anti-tampering, detección de root/jailbreak, ofuscación proporcional al riesgo.

MASVS-PRIVACY

Privacidad

Minimización de datos, consentimiento explícito, transparencia de tracking, cumplimiento GDPR/Habeas Data.

What we evaluate

  • Análisis estático de binarios iOS (.ipa) y Android (.apk/.aab)
  • Análisis dinámico con dispositivos jailbroken / rooted
  • Evaluación de almacenamiento local (Keychain, Keystore, SQLite)
  • Revisión de criptografía y pinning de certificados
  • Evaluación de resistencia a reverse engineering
  • Análisis de comunicación con backend y APIs

Methodology

  1. 1Instrumentación con Frida y Objection
  2. 2Pruebas MASVS nivel 1 y nivel 2
  3. 3Revisión de permisos y componentes expuestos
  4. 4Análisis de tráfico con interceptación MITM
  5. 5Pruebas contra jailbreak y root detection
  6. 6Retesting incluido sin costo adicional

Deliverables

  • Informe alineado a OWASP MASVS
  • PoC de explotación en dispositivo real
  • Clasificación por severidad y contexto de negocio
  • Recomendaciones específicas por plataforma
  • Revisión de código nativo crítico (Java / Kotlin / Swift / ObjC)

Request an assessment

Schedule a free consultation and receive an external cybersecurity assessment with no commitment.

Schedule Free Assessment

Other services

01

Red Team & Adversary Simulation

Simulación end-to-end de APTs, pentesting externo/interno y Attack Surface Management continuo alineado a MITRE ATT&CK.

02

Cloud & Kubernetes Security

Pentesting AWS, Azure y GCP. Kubernetes, contenedores, serverless, IAM hardening y validación contra CIS Benchmarks.

03

Application Security

Pentesting web, DAST, SAST, SCA, generación de SBOM y revisión manual alineada a OWASP Top 10 y ASVS.

04

API Security Testing

OWASP API Top 10, BOLA/BFLA, autenticación, rate limits, JWT y detección de shadow APIs en REST, GraphQL y gRPC.

06

OT / ICS / IoT Security

Evaluación de SCADA, PLCs, dispositivos IoT/IIoT, protocolos industriales y segmentación IT/OT bajo IEC 62443.

07

Ingeniería Social y Behavioral Awareness

Campañas de phishing, vishing, smishing, intrusión física y training gamificado 80% práctico, 20% teórico.

08

Threat Intelligence & Brand Protection

Monitoreo Surface/Deep/Dark Web, dominios falsos, credenciales filtradas y coordinación de takedowns.

09

Capacitación & Formación

Cursos presenciales y online de ciberseguridad ofensiva y defensiva. EC-Council ATC con instructores de campo.