por ComputerHoy
17 de julio de 2025
En el mundo de las aplicaciones móviles, ni siquiera los antivirus propios de cada tienda están exentos de cometer errores, por lo que podrías incluso infectarte descargando alguna desde las oficiales, como la Play Store de Google en Android.
Afortunadamente, existen fundaciones sin ánimo de lucro, como OWASP –Open Web Application Security Project–, que ofrecen recursos gratuitos de código abierto para que diferentes organizaciones y desarrolladores puedan crear apps sin poner en riesgo su seguridad.
Esta misma organización elabora un decálogo muy completo sobre las principales amenazas que afectan a apps para móviles y, concretamente, para Android. En este sentido, aparecen amenazas como un almacenamiento inseguro de los datos, la modificación del código o un cifrado insuficiente.
Para una compañía que ofrece servicios de pago, por ejemplo, no tener este decálogo en cuenta podría llevar a una gran crisis para los clientes, no solo a nivel legal sino también a nivel reputacional.
Sin embargo, algunas aplicaciones se cuelan en Android de forma disimulada, lo que podría llevar a una brecha de seguridad importante a nivel personal, con la exfiltración de datos personales sensibles de un usuario.
Tanto OWASP como INCIBE –Instituto Nacional de Ciberseguridad– recomiendan usar varias herramientas para auditar cualquier aplicación, tanto en análisis estáticos como dinámicos, además de las descargadas mediante archivos APK.
Herramientas para análisis estático de apps
Antes de que pruebes con aplicaciones que consideres sospechosas de tener algún tipo de malware, lo más recomendable es que hagas diferentes test con herramientas creadas por desarrolladores para testear.
Aquí puedes elegir entre una lista que menciona INCIBE –todas ellas de código abierto y malintencionadas a propósito–, como son InsecureShop, una tienda online vulnerable para Android; AndroGoat e InsecureBank V2, con más de 20 vulnerabilidades diferentes, o Crackmes, en 4 niveles de dificultad.
En primer lugar, lo más recomendable es realizar un análisis estático de aplicaciones, es decir, los que no necesitan de ejecutar una app, sino que revisan el código fuente, el código decompilado, el objeto binario o ficheros asociados.
Aquí la más recomendable si tienes conocimientos básicos es APK Analyzer, que te ofrecerá información detallada de los permisos que hayas concedido, además de los archivos APK que hayas descargado, sin anuncios y totalmente gratis.
Si necesitas algo más complejo, una de las mejores herramientas es Mobile Security Framework –MobSF–, que puedes utilizar en un análisis estático directamente desde la web, aunque lo mejor es configurar esta herramienta directamente en el dispositivo en cuestión, siempre actualizada.
No obstante, también puedes usar su análisis dinámico, que está disponible tanto en Android como en iOS, por si necesitas revisar qué tipo de tráfico mantiene la aplicación en cuestión. En definitiva, MobSF es la mejor herramienta híbrida.
Herramientas para análisis dinámico de apps
Mientras que el análisis estático estudia el código para observar si existen vulnerabilidades que puedan explotar una aplicación, el análisis dinámico o DAST permite conocer dichas vulnerabilidades al ejecutar una aplicación.
Como es lógico, es mucho más fiable que las herramientas estáticas, ya que se podrá identificar las vulnerabilidad potenciales más allá del código fuente, por ejemplo, conociendo cómo se asigna el espacio en la memoria o hacia dónde se envían los datos.
Es algo más complejo, pero si quieres probar con las herramientas de test vulnerables mencionadas anteriormente, puedes usar servicios especialmente dedicado a esto, como Burpsuite, cuyo funcionamiento es igual que un proxy web.
En la práctica, funciona de forma muy parecida a las que podrías encontrar para ordenador, ya que permite capturar paquetes, además de manipular el tráfico web entre un cliente y un servidor, sobre todo en el ámbito de las comunicaciones resultantes de la app.
Lo mejor es que uses las herramientas de análisis estáticos si te estás adentrando en este mundo y, posteriormente, pruebes con las de análisis dinámico, ya que suelen requerir conocimientos medios de programación.
Esto se debe a que, en casi todas ellas, necesitarás saber cómo funcionan en la práctica conceptos como las conexiones TCP –y las escuchas–, para evitar problemas añadidos de seguridad al configurar puertos.
Conoce cómo trabajamos en ComputerHoy.
Etiquetas: Ciberseguridad
