{"id":243653,"date":"2022-02-02T17:06:30","date_gmt":"2022-02-02T17:06:30","guid":{"rendered":"http:\/\/sftarticles.wpenginepowered.com\/es\/?p=243653"},"modified":"2024-08-08T13:09:04","modified_gmt":"2024-08-08T11:09:04","slug":"como-probar-seguridad-aplicacion-android","status":"publish","type":"post","link":"https:\/\/cms-articles.softonic.io\/es\/como-probar-seguridad-aplicacion-android\/","title":{"rendered":"C\u00f3mo probar la seguridad de una aplicaci\u00f3n para Android"},"content":{"rendered":"\n

Antes de probar la seguridad de tus aplicaciones para Android<\/strong>, es importante entender el car\u00e1cter global de este popular sistema operativo. Esta informaci\u00f3n ayudar\u00e1 a subrayar la importancia de probar tus aplicaciones antes de lanzarlas al mercado.<\/p>\n\n\n\n

Cuando comprendas mejor c\u00f3mo funciona el sistema operativo Android<\/strong>, podr\u00e1s realizar las pruebas de seguridad adecuadas para tu dispositivo. Tambi\u00e9n haremos una lista de algunas herramientas que pueden ayudarte.<\/p>\n\n\n\n

Comprender el sistema operativo Android<\/h2>\n\n\n\n

Android es un sistema operativo de c\u00f3digo abierto<\/strong> que se puso en marcha en 2007. Es, con diferencia, el sistema operativo m\u00f3vil m\u00e1s popular del planeta: en enero de 2022 ten\u00eda una cuota de mercado de alrededor del 75 % con unos 2800 millones de usuarios activos. Est\u00e1 presente en diversos dispositivos adem\u00e1s de en los tel\u00e9fonos m\u00f3viles. Est\u00e1 en tu oficina en los Chromebooks, en tu casa, accionando tu smart TV, e incluso te acompa\u00f1a en tu d\u00eda a d\u00eda bajo la forma de wearables.<\/p>\n\n\n\n

Por supuesto, con una base de usuarios tan grande, es obvio que las empresas se aseguran de tener presencia en tu bolsillo, en tu sal\u00f3n y en tu mu\u00f1eca mediante sus propias aplicaciones. Desafortunadamente, esto convierte a las aplicaciones de Android en un gran objetivo para los ciberdelincuentes<\/strong> . Si pueden explotar las vulnerabilidades de tu aplicaci\u00f3n, existen enormes riesgos comerciales, de reputaci\u00f3n e incluso legales para tu organizaci\u00f3n y tus usuarios. Todas ellas son buenas razones para seguir leyendo y obtener m\u00e1s informaci\u00f3n sobre las pruebas de seguridad de tus aplicaciones para Android antes de ejecutarlas.<\/p>\n\n\n\n

\"C\u00f3mo<\/figure><\/div>\n\n\n\n

Sandbox de Android<\/h2>\n\n\n\n

De forma predeterminada, las aplicaciones de Android se ejecutan en un entorno sandbox<\/strong>. Eso simplemente significa que no pueden acceder a ning\u00fan recurso en el dispositivo de un usuario sin obtener permiso expl\u00edcito.<\/p>\n\n\n\n

Cuando un usuario descarga una aplicaci\u00f3n, esta muestra mensajes en la pantalla del dispositivo solicitando autorizaci\u00f3n<\/strong> para acceder a cosas como la c\u00e1mara, el micr\u00f3fono y los contactos para maximizar su funcionalidad.<\/p>\n\n\n\n

Desafortunadamente, no se garantiza que el sandbox evite todas las amenazas. A veces, los componentes maliciosos dentro de una aplicaci\u00f3n pueden pasar desapercibidos durante el proceso de instalaci\u00f3n, solo para activarse m\u00e1s tarde y causar problemas graves. Por eso tienes que protegerte a ti<\/strong> y a tus usuarios finales mediante la realizaci\u00f3n de pruebas de penetraci\u00f3n antes de lanzar tu aplicaci\u00f3n de Android.<\/p>\n\n\n\n

Amenazas comunes<\/h2>\n\n\n\n

A continuaci\u00f3n podemos ver cuatro de las amenazas m\u00e1s comunes<\/strong> para el sistema operativo Android. Esta no es una lista exhaustiva. Es simplemente un vistazo r\u00e1pido a algunas de las principales vulnerabilidades del sistema operativo y c\u00f3mo evitarlas. <\/p>\n\n\n\n

Protecci\u00f3n binaria <\/h3>\n\n\n\n

Si permites que tu aplicaci\u00f3n se ejecute en un dispositivo rooteado o con jailbreak<\/strong>, cualquier tipo de c\u00f3digo malicioso puede ejecutarse en \u00e9l. Como m\u00ednimo, en tu aplicaci\u00f3n debes incorporar detecci\u00f3n de jailbreak o de root.<\/p>\n\n\n\n

Protecci\u00f3n insuficiente de la capa de transporte<\/h3>\n\n\n\n

Para garantizar que todos los datos confidenciales intercambiados entre el cliente y el servidor est\u00e9n encriptados, es fudamental que tu aplicaci\u00f3n tenga normas de confidencialidad<\/strong> y de integridad bien definidas<\/strong>.<\/p>\n\n\n\n

Autorizaci\u00f3n\/autenticaci\u00f3n insuficiente<\/h3>\n\n\n\n

Aseg\u00farate de que tu aplicaci\u00f3n completa una autorizaci\u00f3n suficiente<\/strong> utilizando archivos de configuraci\u00f3n basados en pol\u00edticas en lugar de comprobaciones de codificaci\u00f3n fija.<\/p>\n\n\n\n

Fuga de informaci\u00f3n<\/h3>\n\n\n\n

Usa modelos de amenazas<\/strong> para asegurarte de que los datos no se filtran accidentalmente a trav\u00e9s de cosas como registro de URL y de pulsaciones de teclado.<\/p>\n\n\n\n

\"C\u00f3mo<\/figure><\/div>\n\n\n\n

Pruebas de penetraci\u00f3n<\/h2>\n\n\n\n

La prueba de penetraci\u00f3n, o pentest, es el proceso de verificaci\u00f3n de la integridad de tus aplicaciones de Android<\/strong>. Te permite identificar las vulnerabilidades dentro de ellas e indica la gravedad de cada una.<\/p>\n\n\n\n

Sigue leyendo para saber qu\u00e9 herramientas necesitas, c\u00f3mo prepararte y qu\u00e9 pasos seguir.<\/p>\n\n\n\n

Herramientas<\/h3>\n\n\n\n

Necesitas muchas herramientas para probar los diversos aspectos de tu seguridad de la aplicaci\u00f3n para Android<\/strong>. Si quieres, puedes descargarlas y ejecutarlas individualmente (prueba manual), o puedes descargar una aplicaci\u00f3n que contiene todo lo que necesitas y que realizar\u00e1 todas las pruebas pertinentes de manera autom\u00e1tica.<\/p>\n\n\n\n

Si deseas seguir el proceso manual, debes buscar aplicaciones que prueben cosas como errores de configuraci\u00f3n<\/strong> (por ejemplo, QARK: Quick Android Review Kit) y vulnerabilidades MITM (man in the middle) (por ejemplo, Mitproxy).<\/p>\n\n\n\n

De cualquier manera, necesitas programas que puedas usar para diversas pruebas<\/strong>, incluidas pruebas de penetraci\u00f3n, pruebas m\u00f3viles, modificaci\u00f3n de ROM y m\u00e1s. Para ahorrar tiempo sin sacrificar la fiabilidad, programas como App-Use, Android Debug Bridge (ADB) y Mobile Security Framework (MobSF) contienen todas las herramientas que necesitas.<\/p>\n\n\n\n

Tambi\u00e9n necesitar\u00e1s un emulador de telefono Android<\/a> (SDK de Android). Esto es esencial para simular tu tel\u00e9fono Android<\/strong> en la pantalla de tu ordenador. Lo usas para ver c\u00f3mo se comporta tu aplicaci\u00f3n en evoluci\u00f3n sin arriesgar tu tel\u00e9fono y datos reales.<\/p>\n\n\n\n

Si est\u00e1s probando la seguridad de las aplicaciones de Android en nombre de un tercero, tambi\u00e9n necesitar\u00e1s un proxy de aplicaci\u00f3n web<\/strong> (WAP). Esto te permite obtener autenticaci\u00f3n para trabajar con aplicaciones en la red privada de una empresa.<\/p>\n\n\n\n

Finalmente, debes configurar una m\u00e1quina virtual<\/a> (VM) para que puedas probar tu aplicaci\u00f3n<\/strong> para m\u00faltiples plataformas en un solo lugar. Esto te ayudar\u00e1 a asegurarte de que tu aplicaci\u00f3n funcionar\u00e1 de manera segura en diversas variaciones del sistema operativo Android o en otro tipo de dispositivos.<\/p>\n\n\n\n

Preparaci\u00f3n <\/h3>\n\n\n\n

Antes de comenzar la prueba, aseg\u00farate de que tu ordenador tiene al menos 1 GB de RAM (para que la m\u00e1quina virtual no se retrase durante la prueba), y descarga el SDK de Android<\/strong> y las herramientas de prueba elegidas.<\/p>\n\n\n\n

Evaluaci\u00f3n de vulnerabilidad<\/h3>\n\n\n\n

Cuando est\u00e9s listo para comenzar el proceso de prueba, lo primero que debes hacer es verificar el estado de seguridad actual de tu aplicaci\u00f3n para Android.<\/p>\n\n\n\n

Esto producir\u00e1 una lista variada de vulnerabilidades <\/strong>que debe abordarse m\u00e1s adelante cuando prepares tu estrategia de seguridad.<\/p>\n\n\n\n

Prueba de seguridad<\/h3>\n\n\n\n

Ejecutar la prueba de penetraci\u00f3n te dar\u00e1 informaci\u00f3n m\u00e1s detallada como la gravedad de cada vulnerabilidad<\/strong> detectada en tu evaluaci\u00f3n anterior.<\/p>\n\n\n\n

Es esencial que puedas encontrar el equilibrio adecuado<\/strong> en tu aplicaci\u00f3n entre la seguridad del servidor y del cliente, y la usabilidad. Recomendamos probar tu aplicaci\u00f3n en cada iteraci\u00f3n para garantizar que tienes el equilibrio correcto.<\/p>\n\n\n\n

Atenuaci\u00f3n<\/h3>\n\n\n\n

Tu emulador de Android es tu mejor amigo cuando se trata de resolver cualquier vulnerabilidad<\/strong>. Invest\u00edga y pru\u00e9balas activando los exploits, convirti\u00e9ndote en la “v\u00edctima”. Esto te ayudar\u00e1 a comprender lo que sucede durante un ataque activo desde la perspectiva de un usuario. <\/p>\n\n\n\n

Ya te hemos dado algunos consejos sobre las amenazas m\u00e1s comunes<\/strong> asociadas con las aplicaciones para Android, y vamos a resumir los tres aspectos principales para reforzar la seguridad.<\/p>\n\n\n\n