INTRODUCCION

La auditoría de aplicaciones móviles es necesaria para garantizar la

confidencialidad de la información gestionada por las aplicaciones internas y por
las aplicaciones comerciales.

Debido a la información que manejan y a los recursos que acceden es necesario

realizar una auditoría de seguridad de las app móviles utilizadas en la empresa
sobre cualquiera de las plataformas móviles existentes: IOS, Android , Windows
phone y Blackberry contratando una auditoría de seguridad.

1. Análisis de las aplicaciones Móviles

1. Análisis de permisos.
2. Análisis de la base de datos.
3. Análisis de la comunicación con el servidor.
4. Análisis de los Web Services.
5. Análisis de la autenticación
6. Análisis de la autorización
7. Análisis Lógico de la aplicación.

1. Generación del informe final.

DATOS QUE SE DEBEN TENER EN CUENTA A LA HORA DE UNA REVISION DE

SEGURIDAD
A la hora de planificar una revisión de seguridad de una app móvil se debe identificar
qué recursos gestiona la aplicación móvil, qué información se almacena en el teléfono
móvil o en el tablet, y qué información se transmite. Dependiendo de los requisitos de
seguridad de la aplicación y de su criticidad entran en juego diferentes técnicas de
análisis de seguridad de la aplicación móvil que pueden englobar las siguientes
tareas:

Revisión de seguridad del endpoint:

* Análisis del sistema contra la que se conecta la app móvil (Webservice,..)
* Pruebas sobre mecanismos de autenticación y autorización.
* Pruebas de suplantación de identidad del servidor.
* Interceptación de credenciales de acceso o de información intercambiada.

Seguridad en la transmisión de datos de la aplicación móvil:

* Mecanismos de autenticación existentes
* Capa de transporte y mecanismos de cifrado (HTTP, HTTPS, SSL, TLS,..)
* Comprobación de certificados digitales (certificate pinning)
* Identificación de recursos con los que se establece la conexión.
Revisión de la app móvil:
* Detección de protectores y ofuscadores de código.
* Análisis y auditoría de código fuente.
* Análisis de la información almacenada por la app móvil.
* Análisis de los mecanismos de almacenamiento de la plataforma.

BULLGUARD: el gran Antivirus para Android

Es una aplicación de seguridad que poco a poco se ha ido abriendo camino en
el mundo de la protección de los datos de nuestros teléfonos y tabletas.
Debido a que esta basado en la nube, esto garantiza siempre que se tenga la
protección más reciente disponible con lo que ayuda a no agotar la batería del
terminal.

Las principales características de esta App de seguridad son:

Programa Antivirus ultra-rápido basado en la tecnología de nube que ayuda a
prolongar la vida de la batería de nuestros terminales.

Análisis completo
Le permite comprobar todo el teléfono y/o tableta para detectar posibles
infecciones, malware o aplicaciones no deseadas, tales como adware.

Análisis en tiempo real

Escanea automáticamente aplicaciones tan pronto como están instaladas en su

dispositivo y le notifica inmediatamente sobre aplicaciones maliciosas ó
sospechosas.

Always up-to-date
Detección completa e integral de virus gracias a la tecnología de la Nube que
ofrece protección “up-to-the-minute”. Se agregan automáticamente las “firmas”
de nuevo malware a la nube. Utilizamos esta tecnología para garantizar
actualizaciones automática de virus que son creados en la fecha actual. Esta
velocidad de actualización asegura que su dispositivo está siempre protegido
contra los nuevos virus.

Monitorización remota
Vea lo que los virus han intentado infiltrarse en su dispositivo mediante el
Administrador de BullGuard Mobile Security desde su PC.

¡Cuidado! con los permisos de las Aplicaciones a instalar

En Android entre las pantallas que vemos en el momento de instalar una
aplicación son los permisos que nos solicita que muchas personas no hacen ni
caso limitándose a pulsar “siguiente”, seguir de forma directa a la siguiente
pantalla para seguir diciéndole “aceptar y siguiente” hasta terminar de instalar
el software aplicación en nuestro terminal móvil.

¿para qué nos solicita permiso a nuestra lista de contactos una aplicación de
Linterna?, existen alternativas que automatizan el chequeo de nuestro móvil
celular.

En definitiva; necesitamos “algo o alguien” que nos supervise los permisos a la

hora de instalar cualquier aplicación en nuestro teléfono o tableta por muy
“inocente” que esta parezca.Clueful Privacy Advisor de BitDefender. Esta
aplicación examina los permisos que nos solicitan las aplicaciones a instalar y
nos informa cuales de ellas solicitan permisos sospechosos al revisarlos con
una lista contrastada por la compañía de seguridad.

Consejos para mantener la privacidad en nuestro móvil celular

Si la privacidad es un tema que te preocupa en especial te presentamos una

serie de herramientas, aplicaciones e inclusive ciertas ROMs que están
particularmente diseñadas para velar por tu seguridad en tus terminales
móviles.

Antivirus
En verdad muchos antivirus ofrecen funcionalidades como una lista negra y
blanca de llamadas o advierten sobre webs maliciosas que efectúan
seguimiento de por dónde navegamos.
Por poner un ejemplo AVG Antivirus en su versión Free, deja asimismo matar
aplicaciones o bien efectuar un borrado recóndito de tu dispositivo caso de que
lo hayas perdido o bien te lo hayan robado. No es el único que realiza esto,
otros softwares como AVAST, Norton o bien ESET asimismo ofrecen
funcionalidades afines y del mismo estilo.
Aconsejamos no buscar cualquier antivirus en la tienda, incluso en las oficiales
como PLAY STORE tenemos que tener cuidado; hay antivirus falsos o bien de
incierta reputación.
 Gestores de claves de acceso
De forma personal cuento con que reconocer que no podría vivir si no existiese
la opción “Recordar contraseña” de muchos servicios y aplicaciones. El gran
número de webs que visitamos, servicios on-line y plataformas web que
requieren clave de acceso complican la tarea de rememorar exactamente las
mismas.

Conclusión
Es esencial que los auditores de TI trabajen con todos los equipos dentro de la organización
responsables por el desarrollo de aplicaciones móviles-negocio, desarrollo TI, Seguridad TI,
legal y Cumplimiento. Los auditores deben facilitar el proceso de vigilancia de los esfuerzos de
desarrollo de aplicaciones móviles e implementar un marco básico robusto que determine un
mínimo de controles de seguridad que permitan a las aplicaciones móviles a soportar el operar
en un ambiente móvil vulnerable. Además del marco básico de auditoria definido en este
articulo, se recomienda utilizar un marco de pruebas de penetración que aplique a todas las
aplicaciones móviles antes de su liberación. Además, las pruebas de penetración deben ser
efectuadas según la aplicación móvil es actualizada y nuevas tecnologías se implementen para
dar soporte a la aplicación. Esto reduce el riesgo de vulnerabilidades internas como externas
que pueden resultar en el compromiso de los datos.

Las aplicaciones móviles tienen cada vez una mayor entrada en el mundo
empresarial, donde se realizan desarrollos a medida para interactuar con las
aplicaciones de negocio. La auditoría de aplicaciones móviles es necesaria para
garantizar la confidencialidad de la información gestionada por las aplicaciones
internas y por las aplicaciones comerciales.

Debido a la información que manejan y a los recursos que acceden es necesario

realizar una auditoría de seguridad de las app móviles utilizadas en la empresa sobre
cualquiera de las plataformas móviles existentes: IOS, Android , Windows phone y
Blackberry contratando una auditoría de seguridad.

A la hora de planificar una revisión de seguridad de una app móvil se debe identificar
qué recursos gestiona la aplicación móvil, qué información se almacena en el
teléfono móvil o en la tablet, y qué información se transmite. Dependiendo de los
requisitos de seguridad de la aplicación y de su criticidad entran en juego diferentes
técnicas de análisis de seguridad de la aplicación móvil que pueden englobar las
siguientes tareas: auditoría de aplicaciones móviles –Revisión de la app móvil,
Seguridad en la transmisión de datos de aplicación móvil y revisión de seguridad de
EndPoint.