VENTAJAS DE LAS PENETRATION TESTING DE APLICACIONES WEB Y MÓVILES

Las aplicaciones móviles tienen múltiples usos en los sectores minorista, financiero y sanitario. Están siempre a un solo toque de distancia y pueden incluir funciones específicas para cada dispositivo, algo de lo que carecen las aplicaciones web. Sin embargo, algo que tienen en común con las aplicaciones web es la necesidad de prestar mucha atención a su seguridad. Las penetration testing para aplicaciones móviles son tan importantes como las penetration testing para aplicaciones web.

Comparación entre aplicaciones web y móviles

Una aplicación web se ejecuta en un servidor y los usuarios acceden a ella a través de un navegador. Puede ser algo tan simple como un conjunto de formularios que inician acciones, o tan complicado como un juego de acción rápida o un sistema ERP. Una aplicación móvil se ejecuta como una aplicación independiente en el lado del cliente, pero a menudo se basa en código de navegador que accede a un único sitio. Algunas aplicaciones móviles son, en realidad, navegadores de una sola página, mientras que otras añaden funcionalidades nativas.

También hay aplicaciones móviles que son totalmente nativas y que también tienen problemas de seguridad. Pero son más variadas y cada una debe considerarse en función de su propia funcionalidad. Para este debate, nos centramos en las aplicaciones que consisten principalmente en el acceso a un servidor web, ya sean independientes o utilicen un navegador normal.

Las diferencias en cuanto al riesgo

Las aplicaciones web y móviles tienen sus propios riesgos distintivos. Una aplicación web coexiste en el navegador con otros sitios. Tiene menos control sobre su entorno y sobre lo que el usuario puede hacer en comparación con una aplicación móvil. Puede ejecutarse en un navegador obsoleto y sin parches. Podría encontrarse en un navegador desconocido con el que nunca se ha probado. Probar la aplicación en suficientes entornos diferentes para estar seguro de su funcionamiento es una tarea laboriosa, pero necesaria.

Una aplicación móvil viene con su propio navegador, por lo que tiene control total sobre el cliente y el servidor. Sin embargo, tiene suficientes riesgos propios como para que el Open Web Application Security Project (OWASP) haya recopilado una lista de riesgos de los dispositivos móviles. Algunos de ellos son especialmente relevantes para los desarrolladores y los evaluadores de seguridad.

  • Comunicación insegura. Las aplicaciones que envían datos confidenciales deben hacerlo de forma segura. En un navegador, solo hay que configurar un servidor HTTPS y utilizar las URL adecuadas en el navegador. Una aplicación móvil necesita hacer más trabajo. Algunas lo hacen mal, ignorando los errores de validación. Otras no lo utilizan en absoluto, enviando contraseñas y números de tarjetas de crédito por aire como texto sin cifrar.
  • Validación de formularios inadecuada. Los formularios de las aplicaciones móviles son vulnerables a datos maliciosos si no comprueban sus entradas con suficiente cuidado. Los desarrolladores móviles, a veces, se descuidan porque no consideran sus aplicaciones como aplicaciones web.
  • Almacenamiento de datos inseguro. Una aplicación móvil normalmente necesita almacenar algunos datos del usuario. Algunas aplicaciones almacenan información confidencial sin protegerla, de forma que otras aplicaciones pueden leerla.
  • Contraseñas y claves codificadas. Solo un desarrollador web muy imprudente pondría una contraseña o clave sin disfrazar en el JavaScript de una página, pero los desarrolladores de aplicaciones móviles tienen una mayor sensación de seguridad. Extraer esa información de una aplicación móvil es más difícil que sacarla de un navegador, pero sigue siendo un riesgo peligroso.
  • Acceso a las funciones del dispositivo. Una aplicación móvil puede solicitar acceso al micrófono, la cámara, el correo electrónico y la libreta de direcciones del usuario. La mayoría de los usuarios lo concederán sin pensarlo dos veces. Si se ve comprometida, tendrá acceso a información a la que una aplicación web no puede acceder fácilmente e incluso espiar al usuario.

Irónicamente, los problemas de seguridad en una aplicación móvil suelen ser el resultado de un exceso de confianza. Al ser autónoma, los desarrolladores no siempre piensan en los problemas con el mismo cuidado que lo harían con un sitio web.

La importancia de las penetration testing

Cualquier tipo de aplicación que acceda al código del servidor y maneje información privada necesita someterse a pruebas para garantizar su seguridad. Las penetration testing para aplicaciones móviles presentan algunas diferencias con respecto a las penetration testing para aplicaciones web. Las aplicaciones móviles no tienen barra de direcciones, por lo que los usuarios no pueden introducir URL arbitrarias. Se necesitan herramientas de prueba diferentes. Los ataques reales o simulados pueden implicar la simulación de la aplicación y la replicación de sus solicitudes al servidor.

Cuando las personas conceden acceso a sus datos financieros o médicos personales, tienen derecho a que estos estén protegidos. Los desarrolladores deben ganarse la confianza sometiendo sus aplicaciones a pruebas rigurosas. Orenda Security se especializa en penetration testing, DAST y evaluaciones de aplicaciones. Prestamos servicios a los sectores sanitario, financiero y minorista.

¡Póngase en contacto con nosotros hoy mismo y solicite un presupuesto!