Pentest Móvil: iOS, Android y Apps Híbridas
Análisis estático + dinámico + comunicación + plataforma + API + lógica de negocio. OWASP MASVS/MASTG, MASVS-L2 para apps con datos sensibles.
Por qué ahora
El dolor real
El pentest móvil es la categoría con mayor índice de "scan disfrazado" del mercado. Muchos proveedores entregan MobSF corrido por practicante y lo llaman pentest. Apps de fintech, salud y gobierno necesitan validación manual real — certificate pinning, secrets en release, IDOR en endpoints mobile-only, detección de root/jailbreak. Sin eso, el auditor reprueba y el cliente termina filtrado.
Marcos aplicables
/superficie-de-ataque
Pentest Mobile
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Análisis estático (APK/IPA)
Secrets en release, manifiesto, claves embebidas, ofuscación, jadx/class-dump.
Análisis dinámico (runtime)
Comportamiento en ejecución, SQLite local, SharedPreferences/UserDefaults, caché, logs en logcat/Console.
Comunicación y certificate pinning
TLS, validación de hostname, downgrade attack, MitM con Burp, bypass con Frida/Objection.
Plataforma y almacenamiento seguro
Keystore/Keychain, biometría, intent injection (Android), URL scheme hijacking (iOS), WebView.
API consumida por el app
Todos los endpoints, IDOR/BOLA, autorización granular, validación server-side, rate limit, JWT.
Lógica de negocio
Registro/KYC, login/biometría, transacción, recuperación de contraseña, flujos críticos.
Root/jailbreak y anti-tamper
Detección, bypass con Magisk Hide / Liberty Lite / Shadow, integridad del binario.
Stack híbrido (RN/Flutter)
Análisis del bundle JS, bridges nativos, dependencias de terceros.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Apps móviles bancarios, healthtech y fintech regulados por BACEN y ANS. MASVS L2 entregado en ciclo PCI-DSS 4.0.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Pentest Mobile
¿Cuánto cuesta un pentest móvil en Brasil?
App Android nativo simple (1 plataforma, 3-4 flujos críticos): R$ 8-18k. Android + iOS sin regulación: R$ 18-40k. App fintech regulado por BACEN: R$ 60-120k.
¿Prueban React Native y Flutter?
Sí. Stack híbrida tiene peculiaridades de bundle JS y bridges nativos. Cubrimos el bundle, secrets en release, comunicación JS-nativa y dependencias.
¿Necesitan build firmado o sirve APK debug?
El build de release (firmado) es fuertemente recomendado — el comportamiento difiere del debug. TestFlight, Firebase App Distribution, link interno o MDM corporativo sirven.
¿Certificate pinning es obligatorio?
Para apps que procesan dato sensible o transacción financiera, sí. Es control exigido por PCI-DSS, BACEN y SOC 2. Auditamos la implementación e intentamos bypass con Frida/Objection.
¿El pentest móvil cubre la API?
Cubre lo que el app consume. Para cobertura completa de API con endpoints no-mobile, lo ideal es alcance combinado mobile + API.
/contacto
Cotizar pentest móvil
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.