La protección de las aplicaciones móviles fue el tema central de un webinar, "Seguridad de las aplicaciones móviles," organizado por Komodo Sec y Verimatrix. El acto reunió a Alex Dick, de Verimatrix, y Ellen Shaatiel, especialista en pruebas de penetración de KomodoSec, para compartir las mejores prácticas de protección de aplicaciones móviles, centrándose especialmente en Android. El evento se denominó así para describir el flujo de ida y vuelta entre las pruebas de penetración y la protección y supervisión en tiempo real.

Shaatiel comenzó el debate explicando por qué Android se enfrenta a retos de protección únicos. Al ser una plataforma de código abierto, Android fomenta la innovación; sin embargo, su apertura también la convierte en un objetivo principal para los ciberataques.

"El sistema operativo Android es de código abierto, y todo lo que se hace en él y todo lo que ocurre en él es conocido por todos y también por los atacantes", afirma. Android es el sistema operativo de la mitad de los dispositivos móviles del mundo, por lo que su uso generalizado y la falta de permisos para las aplicaciones ofrecen a los piratas informáticos muchas oportunidades para aprovecharse de él.

Los troyanos son las mayores amenazas para las aplicaciones Android desprotegidas

Hoy en día, una de las amenazas más comunes con las que se encuentran los usuarios de Android es el malware, en particular los troyanos. Estos programas maliciosos se disfrazan de aplicaciones legítimas y aprovechan las funciones de Android para robar información confidencial. 

Shaatiel señaló una herramienta llamada Zombinder que los atacantes utilizan para insertar código dañino en aplicaciones aparentemente fiables. Dijo: "Zombinder está disponible en el mercado negro, y es muy fácil de usar... Los troyanos normalmente se disfrazan como una aplicación inocente o una aplicación modificada, y se le han metido troyanos".

Shaatiel continuó: "Los troyanos utilizan ataques superpuestos para atacar bancospara atacar otras aplicaciones como Netflix, para darles tu tarjeta de crédito. Y la ofuscación, de nuevo, no protegerá contra eso. Es una aplicación externa intentando atacar tu aplicación con una superposición. Y lo mismo ocurre con el abuso de la accesibilidad, cuando una aplicación toma el control de tu teléfono. Todo esto no está cubierto por la ofuscación.

Los riesgos van más allá de los usuarios individuales. Las empresas que no dan prioridad a la protección de las aplicaciones corren el riesgo de perder datos confidenciales y propiedad intelectual. 

Durante el seminario web, Shaatiel habló de lo fácil que es descubrir información crítica, como claves de API y URL de backend, en aplicaciones que carecen de las medidas de protección adecuadas. Utilizó una herramienta de ingeniería inversa llamada JADX para demostrar cómo pueden aprovecharse las vulnerabilidades con un esfuerzo mínimo. Para las empresas, este tipo de exposición subraya por qué es esencial un enfoque de protección sólido.

Shaatiel subrayó: "Pero los atacantes no sólo utilizan troyanos para atacar a los usuarios; también intentan atacar a la empresa que crea la aplicación. Ya sea a través de la naturaleza de código abierto de estas aplicaciones, que se pueden descifrar y ver lo que está escrito en su interior. Si hay secretos o claves en su interior, puedes utilizarlos para atacar a la empresa, entrar en su AWS y hacer todo tipo de cosas".

La ofuscación del código es imprescindible, pero no suficiente

Muchos desarrolladores utilizan ofuscación de código para tratar de proteger sus aplicaciones, pero Shaatiel señaló sus limitaciones. "Un atacante hábil puede realizar ingeniería inversa. Y si quisiera entender qué está pasando aquí, podría hacerlo con bastante facilidad".

Aunque la ofuscación puede disuadir a los atacantes menos experimentados, a menudo se queda corta frente a herramientas y técnicas avanzadas. Para ilustrarlo, Shaatiel presentó una aplicación meteorológica que había creado específicamente para el seminario. Aunque el código de la aplicación estaba ofuscado, los datos sensibles, como las claves API, seguían expuestos y vulnerables a los atacantes expertos. 

Su demostración dejó claro un punto crucial: la protección eficaz de las aplicaciones requiere un enfoque multicapa, no una sola línea de defensa. "En Android y en iOS es necesaria la seguridad multicapa. Se necesita seguridad, no sólo desde el dispositivo, sino desde los servidores y las API hasta el dispositivo. Y no puedes conseguirlo sin probar tus aplicaciones, sin asegurarte de que están protegidas con un montón de capas... realmente quieres hacer perder el tiempo a alguien de todas las formas posibles. Pero más que eso, quieres verlo, ¿verdad?".

Al introducir la presentación de Alex, Shaatiel dijo: "Creo que lo que hemos visto hasta ahora durante este seminario web es lo importante que es un enfoque unificado ante la miríada de amenazas que existen en el mercado y las aplicaciones vulnerables. Necesitamos un enfoque unificado tanto por parte de los atacantes como de los protectores".

El triple enfoque de Verimatrix

Alex Dick presentó la solución de Verimatrix a estos retos: una estrategia de protección integral basada en la prevención, la detección y la corrección.

1. Prevención

Verimatrix va más allá de las herramientas básicas con técnicas avanzadas como codificación, reestructuración del flujo de controly mecanismos antimanipulación.

"Las protecciones que aplicamos son preventivas. Así que estamos endureciendo la aplicación. Nos aseguramos de que se entienda bien cómo funciona", explica Alex. Estos métodos dificultan mucho más a los atacantes la ingeniería inversa o la manipulación de las aplicaciones. Endurecer una aplicación también puede frenar a los atacantes. "Como atacante, como alguien que intenta acceder a tus secretos, atravesar este tipo de ofuscación me va a llevar mucho tiempo".

2. Detección en tiempo real

Detectar y hacer frente a las amenazas antes de que se agraven es un aspecto crucial de la protección de las aplicaciones móviles. Permite a los desarrolladores identificar y responder a las amenazas en el momento en que se producen. 

Verimatrix proporciona paneles de control fáciles de usar que supervisan la actividad de las aplicaciones, señalan comportamientos sospechosos y evalúan los riesgos en función de su gravedad. Estas herramientas priorizan las amenazas; este factor permite a las empresas centrarse en los problemas más urgentes y asignar los recursos de forma eficaz.

Los desarrolladores pueden detectar rápidamente vulnerabilidades como el abuso de la API o la manipulación de la red, deteniendo así posibles brechas antes de que escalen. Al ofrecer información en tiempo real, Verimatrix ayuda a los equipos a perfeccionar sus medidas para adelantarse a las amenazas nuevas y cambiantes.

3. Corrección

Consciente de que ningún sistema puede ser completamente a prueba de piratas informáticos, Verimatrix hace especial hincapié en limitar los daños en caso de ataque. 

"Lo que buscamos es añadir capas y medidas adicionales para proteger eso", dijo Alex. Las herramientas de Verimatrix ofrecen a los desarrolladores la posibilidad de desactivar remotamente las aplicaciones comprometidas o bloquear los dispositivos que muestren una actividad sospechosa, lo que ayuda a reducir el impacto de posibles infracciones. "Queremos hacer que el viaje, el trabajo de alguien que intenta atacarla, sea lo más difícil posible para que pierda el mayor tiempo posible en esa aplicación".

Una comparación por pares muestra cómo destaca Verimatrix

Uno de los aspectos más destacados del seminario web fue la comparación que hizo Shaatiel de 3 aplicaciones: una aplicación sin protección, una aplicación ofuscada y una protegida por Verimatrix. Las diferencias eran dramáticas. Mientras que las dos primeras aplicaciones dejaban los datos sensibles al descubierto, la aplicación protegida por Verimatrix presentaba obstáculos significativos para los atacantes. 

Al cifrar la información clave e incrustar medidas de protección directamente en los archivos binarios, Verimatrix hizo excepcionalmente difícil que los piratas informáticos pudieran penetrar sin invertir enormes cantidades de tiempo y recursos. "Cuantas más capas, cuantas más protecciones pongamos, más trabajo tendrán que aplicar los ingenieros inversos", afirma Alex.

Pero tanto Shaatiel como Alex subrayaron que la seguridad de las aplicaciones móviles no consiste solo en proteger la aplicación, sino también los servidores backend, las API y todos los demás sistemas conectados. "Necesitamos cifrado; necesitamos API seguras en nuestro backend y en nuestros servidores. Necesitamos supervisión en tiempo de ejecución para asegurarnos de que no está enraizadopara asegurarnos de que no hay enganchey para asegurarnos de que no hay manipulación", afirma Alex. Las pruebas periódicas y la validación exhaustiva son fundamentales para detectar las vulnerabilidades antes de que lo hagan los atacantes.

Aunque el seminario web se centró en Android, iOS no quedó fuera de la conversación. Aunque el ecosistema de Apple suele considerarse más seguro, dista mucho de ser invulnerable. 

Los iPhones con jailbreak, por ejemplo, pueden exponer a los usuarios a muchas de las mismas amenazas a las que se enfrentan los dispositivos Android rooteados. Para las aplicaciones que manejan datos confidenciales, adoptar un enfoque de blindaje multicapa es tan esencial en iOS como en Android.

La imperiosa necesidad de mejorar la seguridad de las aplicaciones móviles en sectores de alto riesgo

Algunos sectores, como las finanzas, los medios de comunicación y la automoción, afrontan riesgos aún mayores. Estos sectores manejan datos extremadamente sensibles; este factor los convierte en objetivos atractivos para los ciberdelincuentes. Además, los requisitos normativos como PCI DSS, GDPR y DORA obligan a las empresas de estos sectores a adoptar medidas rigurosas. 

Para las empresas de estos sectores, la protección debe ser una prioridad absoluta y no una preocupación secundaria. "Una filtración no es sólo un problema técnico: puede acarrear pérdidas económicas, daños a la reputación y consecuencias legales", señala Alex. Una protección integral es esencial para salvaguardar no sólo los datos de los clientes, sino también la confianza y la credibilidad de las que dependen las empresas.

Las aplicaciones móviles se han convertido en un elemento central de la vida y el sustento de la mayoría de las personas, y su protección será cada vez más crítica en los próximos años. "Un enfoque por capas que combine prevención, detección y corrección ofrece la mejor defensa contra las amenazas actuales y las que están por surgir", explicó Alex. 

Al invertir en protecciones avanzadas, las empresas pueden crear aplicaciones que, en última instancia, son más resistentes. "Así que, como trabajo, ayudaré a los clientes a entender cuál es la amenaza y qué es potencialmente necesario para su aplicación", explicó Alex. "Los desarrolladores que dan prioridad a estos principios pueden crear apps que no solo protegen a los usuarios, sino que también resisten el paso del tiempo".