Cabecera blog ciberseguridad

Estándares de seguridad en aplicaciones móviles: qué son y cómo implementarlos

- Ciber 4 All Team
Implementar estándares de seguridad en aplicaciones móviles como los definidos por el MASVS es esencial en el desarrollo moderno

Enero del 2025. Salta a la luz pública que miles de aplicaciones móviles, entre las que figuraban algunas tan populares como Candy Crush o Tinder, recolectaban datos de los usuarios sin su consentimiento a través del ecosistema publicitario. El escándalo es mayúsculo. El ecosistema mundial de las apps se ve sacudido por varias preguntas: ¿Cuáles son en realidad los estándares de seguridad en aplicaciones móviles? ¿Qué se hace con los datos de los cientos de millones de usuarios?

El episodio recorre el planeta. Empresas como Gravy Analytics adquirían cientos de millones de datos personales para revendérselos posteriormente a empresas, gobiernos…

Seis meses antes, Duolingo, la popular plataforma de enseñanza de idiomas, veía volar los datos de 2,6 millones de clientes: mails, teléfonos, perfiles de redes sociales, así como los idiomas que estudiaban.

Google Chrome, MOVEit, Optus… A lo largo de los últimos años han sido incontables los episodios que han puesto negro sobre blanco los problemas de seguridad que acusan las apps.

Al calor de estos incidentes ha crecido el debate sobre la necesidad de impulsar estándares de seguridad en aplicaciones móviles. Con un protagonista muy especial, el MASVS (Mobile Application Security Verification Standard) desarrollado por OWASP, la Open Web Application Security Project.

1- ¿Qué son los estándares de seguridad en aplicaciones móviles?

En esencia, se trata de una suerte de hoja de ruta con especificaciones técnicas y recomendaciones de buenas prácticas con el objetivo de garantizar una adecuada protección de los datos y la operativa de la app ante amenazas de ciberseguridad.

Para los desarrolladores, estos estándares representan una guía a la que recurrir para robustecer sus soluciones. Para los usuarios, una pátina de confianza sobre la protección de sus datos personales.

Las consecuencias de cargar en una tienda una app poco robusta saltan a la vista: filtraciones de datos, pérdidas reputacionales, sanciones legales y, hoy más que nunca, la retirada de la app de las tiendas oficiales. El caso de la Play Store de Google es, seguramente, el más elocuente.

2- El papel de los MASVS en el desarrollo seguro de apps

El Mobile Application Security Verification Standard (MASVS) es un marco que define una serie de requisitos de seguridad que cualquier aplicación móvil debería reunir antes de desembarcar en el mercado.

El framework lanzado por OWASP no es una auditoría, tampoco una herramienta. Es, en realidad, un documento que fija niveles de seguridad para las apps en función de su complejidad y nivel de exposición.

El objetivo último de estos estándares de seguridad en aplicaciones móviles es proporcionar a los desarrolladores y a las empresas una base común verificable para evaluar la seguridad durante el ciclo de vida del desarrollo.

3- ¿Cuáles son los principales riesgos de seguridad en aplicaciones móviles?

A continuación, detallamos algunos de los riesgos de seguridad más recurrentes en el universo del desarrollo de apps:

3.1 Ingeniería inversa

La ingeniería inversa permite a los atacantes descompilar o analizar el código fuente de una aplicación para identificar vulnerabilidades explotables, descubrir algoritmos propietarios, o extraer secretos como claves API.

Esta técnica puede facilitar el desarrollo de versiones modificadas o maliciosas de la app. ¿Con qué consecuencias? Pues básicamente, con la posibilidad de que se vea comprometida tanto la seguridad como la propiedad intelectual del desarrollador.

3.2 Inyección de código malicioso

En este caso, la brecha de seguridad tiene su origen en la ejecución de código no verificado dentro de la app procedente de bibliotecas de terceros o entradas manipuladas.

A través de esta vía, un atacante puede inyectar scripts o código binario que altere el comportamiento normal de la aplicación, acceda a datos sensibles o tome el control del sistema. Esta técnica suele aprovechar errores en la validación de entrada o dependencias vulnerables.

3.3 Intercepción de datos

La interceptación de datos, también conocida como ataque “man-in-the-middle” (MITM), tiene lugar cuando un atacante accede a la información transmitida entre el dispositivo móvil y el servidor.

El origen de este riesgo suele estar en el uso de cifrado inadecuado o si se implementa incorrectamente, exponiendo credenciales, mensajes, datos bancarios y otra información privada.

3.4 Acceso no autorizado

En este caso, un atacante explota fallos de autenticación o autorización, como contraseñas débiles, tokens sin expiración o ausencia de validación de roles.

De esa forma, logra acceder a funciones restringidas o a datos sensibles bajo el radar.

3.5 Almacenamiento inseguro de datos sensibles

Guardar información sensible —como contraseñas, tokens, números de tarjetas o direcciones— en texto plano o en ubicaciones vulnerables del dispositivo (como el almacenamiento interno sin cifrar) pone en riesgo la seguridad del usuario.

Si el dispositivo se pierde o es comprometido, estos datos pueden ser fácilmente extraídos y utilizados de forma maliciosa. El pasado reciente ha acreditado la criticidad de este riesgo.

Los estándares de seguridad en aplicaciones móviles refuerzan el aterrizaje comercial de las apps en el mercado

4- MASVS, categorías, niveles e implementación

Los estándares de seguridad en aplicaciones móviles desarrollados por OWASP se estructuran a través de varias categorías, cada una de las cuales se centra en una variable específica de la seguridad de la app:

  • Arquitectura y diseño.
  • Gestión de datos y privacidad.
  • Autenticación y control de acceso.
  • Criptografía.
  • Interacción de código y plataforma.
  • Resistencia a la ingeniería inversa y el análisis dinámico.

Además, define tres niveles de verificación de seguridad:

  • MASVS-L1: Requisitos básicos aplicables a todas las apps.
  • MASVS-L2: Para apps que manejan datos sensibles o transacciones críticas.
  • MASVS-R: Requisitos de resistencia para apps que podrían ser objeto de ataques dirigidos (por ejemplo, apps financieras).

La principal recomendación de OWASP a la hora de implementar MASVS es incorporar sus recomendaciones desde el inicio del desarrollo siguiendo un enfoque Security by Design.

El documento lo deja muy claro a la hora de fijar las recomendaciones que cualquier desarrollador debería tener en cuenta en este proceso:

  • Análisis de amenazas. Identificar posibles vectores de ataque antes de codificar.
  • Pruebas de seguridad continuas. Utilizar herramientas de análisis estático (SAST) y dinámico (DAST).
  • Cifrado fuerte. Emplear algoritmos probados y evitar el almacenamiento en texto plano.
  • Control de acceso estricto. Autenticación multifactor, expiración de sesiones y protección contra ataques de fuerza bruta.
  • Integración de herramientas de seguridad en el CI/CD. Para automatizar el chequeo de vulnerabilidades.

5- Buenas prácticas y herramientas

El Mobile Application Security Verification Standard (MASVS) no es la única guía a tener en cuenta a la hora de desarrollar apps. Los expertos recomiendan seguir una serie de buenas prácticas que abundarán en ese proceso de robustecer la aplicación antes de que aterrice en el mercado.

Usar el almacenamiento del sistema operativo (Keychain en iOS, Keystore en Android), minimizar los permisos solicitados o evitar registros innecesarios que puedan exponer datos críticos son algunos de los más reiterados.

Ofuscar el código para dificultar la ingeniería inversa y monitorizar la app en tiempo real para detectar comportamientos anómalos o accesos no autorizados son otras dos buenas prácticas que todo desarrollador debería implementar.

En cualquier caso, con el paso de los años, los desarrolladores se han ido dotando de herramientas que ayudan a cumplir con los estándares del MASVS:

  • Mobile Security Framework (MobSF): Permite análisis estáticos y dinámicos de apps móviles.
  • OWASP Mobile App Security Testing Guide (MASTG): Complemento del MASVS con guías prácticas y pruebas detalladas.
  • Frida y Objection: Herramientas útiles para pruebas dinámicas y análisis de apps en tiempo de ejecución.
  • AppScan y Fortify: Soluciones comerciales para análisis de seguridad automatizado.

6- En conclusión

Implementar estándares de seguridad en aplicaciones móviles como los definidos por el MASVS es esencial en el desarrollo moderno. Y no solo para mantener a salvo la información y la infraestructura tecnológica de la app. También para ganar y mantener la confianza de unos usuarios cada vez más sensibles sobre la protección de sus datos personales.

En Tarlogic contamos desde hace años con un equipo altamente especializado en auditoría de aplicaciones móviles y hay una lección que hemos visto demostrada una y otra vez con el paso del tiempo. Cualquier aplicación que quiera pervivir hoy en el mercado debe poder acreditar los esfuerzos de sus creadores para mantener el pulso de la ciberseguridad.