Test de aplicaciones móviles

Test de aplicaciones móviles

Hoy en día, la telefonía móvil con acceso a internet se ha convertido en un nuevo canal de comunicación y promoción para las empresas. Las llamadas «apps», o aplicaciones para móviles, crecen de forma exponencial, y últimamente disponer de una aplicación para una comunicación inmediata entre la empresa y el cliente se ha convertido en una nueva forma de interacción obligatoria. Pero, ¿qué riesgos de seguridad informática entrañan estas «apps»?

A2SECURE ofrece servicio de Ethical Hacking orientados a la revisión en términos de seguridad de apps móviles y tablets.

“A2secure ha facilitado mucho el trabajo de auditar nuestra red. El equipo de A2 se encarga de esta pesadilla”

Director del departamento de IT de Azucarera Ebro

¿Por qué?

Cuando una empresa diseña este tipo de aplicaciones, lo hace pensando en sus funcionalidades, su valor a nivel de marketing, la cercanía que genera con sus clientes, las posibilidades de comercio electrónico que proporciona, etc. Pero la realidad es que también debe tenerse presente qué puede ocurrir si a través de la aplicación los usuarios sufren algún tipo de incidente en sus equipos. Los dispositivos móviles contienen información de valor que se debe proteger; como el listado de contactos, la agenda, documentos y códigos de acceso, así como otros datos personales. Además, la empresa debe proteger los activos que pone a disposición del usuario. Al implementar el uso de estas aplicaciones, la empresa proporciona un código que se instala en el equipo de un cliente y que le permite tener acceso a datos que un tercero podría manipular para un uso inadecuado.

¿Cómo?

A través de diversas técnicas de análisis de seguridad es posible evaluar la seguridad de las apps con el objetivo de garantizar tanto la seguridad de sus usuarios, como la comunicación con otros activos de seguridad de las empresas que las sustentan.
Estas técnicas van desde:

  • Análisis estático.
  • Análisis dinámico.
  • Revisión del código fuente.
  • Comprobación de la base de datos.
  • Utilización de un proxy para analizar las comunicaciones.
  • Análisis del manejo de archivos, memoria y red.
  • Estudio de la estructura de protección del almacenamiento de datos.
  • Control de los snapshots y keyloggers.
  • Decompilación de la aplicación.

En algunos casos, los métodos utilizados son exclusivos de un tipo de aplicación o a las necesidades específicas de nuestro cliente, pero en general se despliega una combinación personalizada para obtener un análisis completo y relevante de la aplicación móvil.

Siempre trabajamos estrechamente con el cliente informándole en todo momento de nuestras acciones y de nuestros descubrimientos. Para nosotros, más cerca, significa mejor para entender y ayudar a nuestros clientes.

Beneficio

Los servicios de mobile app security testing son proyectos hechos a medida para nuestros clientes.
De esta manera, nuestro trabajo empieza donde el cliente necesita y termina del mismo modo, ya sea con:

  • Presentación de informes de resultados.
  • Reuniones/workshop de resultados.
  • Presentación de informes ejecutivos.
  • Sesiones de formación orientadas a entender los fallos detectados.
  • Soporte en periodo de remediación.
  • Validación de remediaciones.

Esta actividad permite tener bajo control la seguridad de esas islas fuera de la propia infraestructura de la empresa que son las apps. Las apps están instaladas en el lado del cliente y un error de seguridad en ellas puede comprometer la seguridad de la empresa, así como la del propio usuario; por lo que su riesgo a nivel de daño a la imagen de la empresa es importante.

¿Qué nos hace diferentes?

A2SECURE cuenta con un equipo altamente cualificado para desarrollar actividades de hacking ético en concreto en el análisis de seguridad de aplicaciones móviles. Pero si algo nos caracteriza, es nuestra vocación de hacer entender nuestros resultados.

Una actividad de Pentesting/test de intrusión resulta realmente útil cuando el cliente es capaz de entender lo encontrado, los riesgos que supone y cómo ha sido posible llegar hasta ahí. En este último punto está la clave, conocer cómo ha sido posible un ataque exitoso, entender si es necesario implementar un control extra y/o cambiar un proceso interno que está generando lagunas. En definitiva sacar partido al ejercicio transformándolo en una opción de mejora para la empresa.

Consulta a un experto

Si quiere contratar alguno de nuestros servicios o hablar con un experto que le aconseje sobre nuestras soluciones, aquí encontrará nuestros datos para contactar con nosotros.