// Mobile

Mobile Pentesting

Tu app móvil, auditada en profundidad.

Solicitar este servicio Ver todos los servicios

// Qué es

¿En qué consiste?

Las aplicaciones móviles son una superficie de ataque crítica y frecuentemente subestimada. Auditamos aplicaciones iOS y Android con un enfoque que combina análisis estático del binario, análisis dinámico en runtime, interceptación de tráfico de red y revisión de la lógica de negocio — mapeando los resultados contra OWASP Mobile Top 10.

Capacidades incluidas

iOSAndroidOWASP MobileAPIsRuntime Analysis

¿Tienes dudas sobre el alcance?

Cada engagement es diferente. Cuéntanos tu caso y proponemos un alcance inicial sin compromiso.

Hablar con el equipo

// Metodología

Cómo lo ejecutamos.

STEP 01

Extracción & Setup

Extracción del APK o IPA, configuración del entorno de análisis con dispositivos físicos y emuladores, desactivación de certificate pinning y preparación de proxies.

$ setup --platform android
→ APK extracted: app-v2.3.1.apk
→ Cert pinning: bypassed
→ Root/jailbreak: configured
→ Frida: injected

STEP 02

Análisis Estático

Decompilación del binario con jadx/apktool, revisión del código fuente reconstruido en busca de secretos embebidos, configuraciones inseguras y lógica de negocio expuesta.

$ static --decompile app.apk
→ Hardcoded keys: 3 found
→ Insecure prefs: 2 found
→ Debug flags: active
→ Backup enabled: yes

STEP 03

Análisis Dinámico

Ejecución de la app con instrumentación Frida para interceptar llamadas de sistema, criptografía en runtime, acceso a almacenamiento y comportamiento de autenticación.

$ frida --hook crypto,storage
→ AES keys: intercepted
→ Biometric: bypassed
→ SQLite: cleartext PII
→ Clipboard: data leaked

STEP 04

Análisis de Red & APIs

Interceptación y manipulación del tráfico de red: testing de APIs REST/GraphQL, autorización, broken object level authorization (BOLA), mass assignment y JWT issues.

$ burp --intercept --api
→ BOLA: 3 endpoints
→ JWT: weak signature
→ Rate limiting: absent
→ IDOR: user data exposed

STEP 05

Reporting & Remediación

Informe con hallazgos mapeados a OWASP Mobile Top 10, PoC para cada vulnerabilidad y guía de remediación específica para el stack tecnológico usado.

$ report --owasp-mobile
→ Critical: 3 / High: 7
→ M1-M10: coverage 100%
→ PoC: all documented
→ Dev guide: platform-specific

// Entregables

Qué recibes.

Informe Técnico

Hallazgos mapeados OWASP M-Top 10
PoC por cada vulnerabilidad
Capturas y evidencias de runtime
Severidad contextualizada

Guía de Remediación

Fixes específicos por plataforma
Recomendaciones de arquitectura
Secure coding guidelines
Referencias OWASP MASTG

Scripts & Artefactos

Scripts Frida reutilizables
Colección Burp del engagement
Config de entorno reproducible
Retest incluido

// Para quién

¿Esto es para ti?

Empresas con app consumer

Productos B2C con apps iOS y Android que manejan datos personales, pagos o información sensible de sus usuarios.

FinTech y HealthTech

Aplicaciones en sectores regulados donde una vulnerabilidad móvil puede tener implicaciones legales, económicas y reputacionales graves.

Equipos de desarrollo mobile

Empresas que quieren integrar revisiones de seguridad en su ciclo de desarrollo antes de cada release importante.

¿Hablamos de tu caso?

30 minutos. Sin compromiso. Te proponemos un alcance inicial adaptado a tu entorno.

Solicitar Mobile Pentesting