Pentesting de Apps Móviles: iOS, Android y la API que hay Detrás
Una app móvil son tres superficies de ataque en una: el binario del cliente en un dispositivo que usted no controla, los datos locales que almacena y la API con la que habla. El pentesting de aplicaciones móviles evalúa las tres frente al OWASP Mobile Application Security Verification Standard (MASVS) y la Testing Guide (MASTG). Matproof Sentinel prueba sus apps de iOS y Android más sus APIs de backend, demuestra los hallazgos explotables y devuelve un informe listo para auditoría mapeado a ISO 27001 y SOC 2. Informe desde 149 €.
Por qué las apps móviles fallan de forma distinta — y por qué la API es la mitad de la prueba
El pentesting móvil tiene que contemplar un modelo de amenaza que la web no comparte: el atacante controla físicamente el dispositivo en el que se ejecuta el cliente. Puede descompilar la app, leer su almacenamiento local, engancharse a su runtime e inspeccionar cada petición que hace. Eso significa que los secretos codificados en el binario no son secretos, los endpoints de API «ocultos» son totalmente visibles, y cualquier control de seguridad aplicado solo en el cliente no es ningún control. El OWASP MASVS existe para estructurar esto — el almacenamiento inseguro de datos, la criptografía débil, la comunicación insegura y la resistencia a la ingeniería inversa son categorías centrales. Pero el hallazgo más importante en la mayoría de las pruebas móviles está en el lado del servidor: como los controles del cliente siempre pueden eludirse, la API de backend debe imponer de forma independiente cada regla de autorización y validación, y con frecuencia no lo hace. Un pentest móvil que solo inspecciona el binario y se salta la API que hay detrás se pierde dónde reside la exposición de datos real. Sentinel prueba el cliente, el almacenamiento en el dispositivo y la API en conjunto — porque un atacante no respeta la frontera entre ellos.
- El atacante es dueño del dispositivo: el binario de la app puede descompilarse e instrumentarse, así que los secretos codificados, las claves de API y los endpoints «ocultos» quedan totalmente expuestos — nunca son un control de seguridad.
- Almacenamiento local inseguro (MASVS-STORAGE): tokens, datos personales y credenciales guardados en texto claro, en preferencias compartidas o en ficheros legibles por todos son recuperables de un dispositivo perdido o comprometido.
- Los controles del lado del cliente son eludibles: la detección de jailbreak/root, el certificate pinning y la validación de entradas aplicados solo en la app pueden engancharse y desactivarse — el backend debe reimponerlo todo.
- La API de backend es la mitad de la prueba: como los controles del cliente fallan, el BOLA, la autenticación rota y la exposición excesiva de datos en la API suelen ser los hallazgos móviles de mayor impacto.
- La presencia en las tiendas de apps y los compradores empresariales esperan cada vez más un pentest móvil reciente; ISO 27001 A.8.25/A.8.26 (desarrollo seguro, requisitos de seguridad de aplicaciones) y SOC 2 esperan pruebas documentadas de aplicaciones móviles.
Qué prueba Matproof en un pentesting de app móvil
- Almacenamiento inseguro de datos (MASVS-STORAGE): tokens/datos personales en texto claro en preferencias, SQLite, uso indebido del keychain/keystore, datos sensibles en logs y copias de seguridad
- Criptografía (MASVS-CRYPTO): algoritmos débiles o propios, claves codificadas, IV predecibles, gestión inadecuada de claves
- Comunicación de red (MASVS-NETWORK): validación de TLS, certificate pinning y su eludibilidad, tráfico en texto claro, exposición a man-in-the-middle
- Autenticación y gestión de sesiones (MASVS-AUTH): almacenamiento y vida útil de tokens, evasión de autenticación biométrica/local, session fixation
- Interacción con la plataforma (MASVS-PLATFORM): componentes exportados y deep links (Android), abuso de URL schemes y fuga por el portapapeles (iOS), riesgos de WebView y del puente JavaScript
- Ingeniería inversa y manipulación (MASVS-RESILIENCE): secretos recuperables del binario, evasión de root/jailbreak y anti-tamper, exposición a hooking en runtime
- Pruebas de la API de backend: OWASP API Top 10 (2023) frente a la API de la app — BOLA, autenticación rota, exposición excesiva de datos, mass-assignment
- Hallazgos clasificados por riesgo con CVSS 3.1 y mapeados a OWASP MASVS, ISO 27001:2022 A.8.25/A.8.26 y SOC 2 para evidencia lista para auditoría
Ejemplo de hallazgo
Token OAuth almacenado en texto claro en SharedPreferences, recuperable de la copia de seguridad del dispositivo
Sentinel detectó que la app de Android persistía el refresh token OAuth de larga duración del usuario en texto claro en SharedPreferences, que se incluye en las copias de seguridad estándar del dispositivo y es legible en un dispositivo rooteado. Un atacante con breve acceso físico, una restauración de copia de seguridad maliciosa o un escenario de robo del dispositivo podría extraer el token y suplantar al usuario indefinidamente — el token no tenía vinculación al dispositivo y una vida útil de varios meses. Esto es OWASP MASVS-STORAGE, uno de los hallazgos móviles más comunes, y no puede detectarse probando solo la API.
Corrección: Almacenar los tokens sensibles en el almacén seguro de la plataforma (Android Keystore / iOS Keychain) con claves respaldadas por hardware cuando estén disponibles, y excluirlos de las copias de seguridad (gestión de android:allowBackup / clases de protección de datos de iOS). Acortar la vida útil del refresh token y vincular los tokens al dispositivo. Añadir detección de anomalías en el servidor para el reuso de tokens desde nuevos dispositivos. Sentinel vuelve a probar el almacenamiento tras la remediación y registra la verificación como evidencia de ISO 27001 A.8.26.
Referencia: OWASP MASVS-STORAGE-1 · CWE-312 Cleartext Storage of Sensitive Information · ISO 27001:2022 A.8.26 Requisitos de seguridad de aplicaciones · OWASP Mobile Top 10 M9 Insecure Data Storage
Pentest móvil: escaneo gratuito vs Matproof Sentinel vs consultoría tradicional
| — | Escaneo gratuito | Matproof Sentinel | Consultoría tradicional |
|---|---|---|---|
| Motor de escaneo automatizado | ✓ (vista previa 3 min) | ✓ Escaneo completo | ✗ Solo manual |
| Cobertura OWASP Top 10 | Parcial | ✓ Completa | ✓ Completa |
| Evidencia proof-of-exploit | ✗ | ✓ Por hallazgo | ✓ Por hallazgo |
| Mapeo normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizado | ✓ Manual |
| Informe PDF listo para auditoría | ✗ | ✓ Inmediato | ✓ Entrega 2–4 semanas |
| Escaneos continuos / recurrentes | ✗ | ✓ Por despliegue | ✗ Encargo anual |
| Tiempo hasta el primer resultado | ~3 min | ~30 min escaneo completo | 2–4 semanas |
| Precio | €0 | Desde €149 | €8.000–€25.000 |
| Revisión de código fuente (SAST) | ✗ | ✓ Plan Growth | ✓ En alcance |
| Pruebas de API (REST/GraphQL) | ✗ | ✓ Automatizado | ✓ Manual |
Precios del pentesting de apps móviles
- 1 escaneo pentest completo
- Hallazgos priorizados por IA con CVSS 3.1
- Proof-of-exploit por hallazgo
- Informe PDF listo para auditoría
- Mapeo normativo (DORA, NIS2, ISO 27001)
- Escaneos ilimitados (hasta 3 dominios)
- Monitorización continua
- Integración CI/CD (GitHub, GitLab)
- Todos los mapeos normativos
- Soporte prioritario
- Escaneos + dominios ilimitados
- Pruebas autenticadas / White-Box
- Pruebas de API e infraestructura cloud
- Account manager de seguridad dedicado
- SLA de respuesta en 24h
Preguntas frecuentes sobre el pentesting de apps móviles
¿Qué es el pentesting de apps móviles?
El pentesting de apps móviles evalúa una aplicación iOS o Android a través de tres superficies: el binario del cliente (que el atacante puede descompilar e instrumentar), los datos que almacena en el dispositivo y la API de backend con la que se comunica. Se estructura en torno al OWASP Mobile Application Security Verification Standard (MASVS) y la Testing Guide (MASTG), y el objetivo es encontrar y demostrar qué podría hacer realmente un atacante que controla el dispositivo — o lo roba.
¿Por qué el pentest móvil incluye la API de backend?
Porque cualquier control de seguridad aplicado solo en el cliente móvil puede eludirse — el atacante controla el dispositivo y puede enganchar o parchear la app. El único lugar donde la autorización y la validación pueden imponerse de forma fiable es el servidor. Como resultado, los hallazgos móviles de mayor impacto suelen estar del lado de la API: broken object-level authorization, autenticación débil y exposición excesiva de datos. Probar el binario sin la API deja el riesgo real sin probar.
¿Probáis tanto iOS como Android?
Sí. Las plataformas difieren —Keychain vs Keystore, URL schemes vs intents/deep links, clases de protección de datos vs allowBackup— y Sentinel cubre los riesgos específicos de cada una, más el backend de API compartido que sirve a ambas.
¿Cuánto cuesta el pentesting de apps móviles?
Los pentests móviles de consultoría tradicional cuestan habitualmente entre 5.000 £ y 15.000 £ por plataforma según la complejidad de la app, a lo largo de varias semanas. Matproof Sentinel incluye las pruebas de la API de backend móvil desde 149 € (escaneo único); las pruebas más profundas del binario del cliente y en el dispositivo se definen en el plan Growth. Consulte nuestra guía de precios del pentesting para el desglose.
Profundiza — artículos relacionados del blog
Pruebe su app móvil y la API que hay detrás
Empiece con un escaneo gratuito del backend de su app, o consiga un pentest completo de app móvil — cliente iOS/Android, almacenamiento y API, proof-of-exploit por hallazgo, mapeado a OWASP MASVS, ISO 27001 y SOC 2 — desde 149 €.
Iniciar escaneo gratuito