Cobertura de la auditoría móvil
Las aplicaciones móviles presentan riesgos específicos más allá de los controles web tradicionales: almacenamiento local inseguro, gestión de tokens, ingeniería inversa y vulnerabilidades en la API de backend.
¿Qué se prueba?
- Almacenamiento: datos sensibles guardados de forma insegura en el dispositivo
- Comunicaciones: tráfico sin cifrar, pinning de certificados, fugas de datos
- Autenticación y sesiones: gestión de tokens, biometría, lógica de sesión
- Credenciales y secretos: claves/API keys hardcodeadas, permisos excesivos
- Backend e ingeniería inversa: vulnerabilidades de la API y protección frente a reversing
Niveles de profundidad
QUICK SHOT
1 app. Validación básica de los vectores de riesgo más comunes. Entrega en 24-48h.
STANDARD
1 app. Revisión completa MASVS con análisis estático, dinámico y API de backend.
DEEP
iOS + Android. Ingeniería inversa, explotación de backend y análisis de flujo completo.
Entregables
Informe ejecutivo para dirección e informe técnico para el equipo, ambos en formato bilingüe (ES/EN), con hallazgos priorizados por impacto y recomendaciones de remediación.