Programas / Seguridad ofensiva / Curso de Pentesting de aplicaciones móviles Android e iOS

Pentesting de aplicaciones móviles Android e iOS

Audita aplicaciones Android e iOS de principio a fin, del análisis estático al bypass de protecciones en tiempo real.

Duración

85 Horas

Módulos

12 Módulos

Dificultad

Curso

Modalidad

Online

mobile-sec@isecd:~/app-pentest

# Extracción del paquete de la aplicación

$adb pull /data/app/com.cliente.bank.apk

→ APK 24.6 MB — minSdk 26, targetSdk 34

# Fase 1 — Análisis estático

$jadx -d out/ com.cliente.bank.apk

⚠ Clave API hardcodeada en strings.xml

# Fase 2 — Instrumentación dinámica

$frida -U -f com.cliente.bank -l bypass.js

✓ SSL pinning desactivado en tiempo de ejecución

# Fase 3 — Interceptación de tráfico

$mitmproxy → /api/v2/transfer

→ token JWT y datos de cuenta viajando en claro

→ almacenamiento local sin cifrar: prefs.xml

✓ Vulnerabilidades verificadasPINNING BYPASS

Pentesting móvil aplicado a apps reales

FORMACIÓN PROFESIONAL

Domina el pentesting de aplicaciones móviles Android e iOS

Seis pilares que estructuran una auditoría móvil de nivel profesional.

El Curso de Pentesting de aplicaciones móviles Android e iOS es una formación de 85 horas diseñada para profesionales que necesitan auditar apps en ambas plataformas. Combina análisis estático y dinámico, instrumentación con Frida y auditoría de APIs y almacenamiento para que detectes y demuestres fallos reales desde el primer día.

No te formamos con teoría de seguridad móvil, sino con auditorías guiadas sobre apps reales donde analizas, instrumentas y documentas cada vulnerabilidad como en un encargo.

Cuatro pasos para comenzar tu formación

Un proceso claro y sin complicaciones diseñado para profesionales que valoran su tiempo. En cuatro pasos sencillos pasas de la primera consulta a empezar a estudiar.

Solicita información

Formaliza tu matrícula

Accede al campus virtual

Comienza tu formación

COMPETENCIAS DEL PROGRAMA

Qué dominarás al finalizar el programa

Cada barra refleja el nivel de dominio real que alcanzarás. Habilidades concretas, niveles honestos.

Montar un laboratorio de pentesting móvil Android e iOS

Avanzado 86%

Realizar análisis estático y dinámico de aplicaciones

Avanzado 90%

Interceptar tráfico y romper el certificate pinning

Experto 88%

Aplicar el estándar OWASP MASVS en auditorías reales

Avanzado 82%

Hacer ingeniería inversa de binarios móviles

Intermedio 75%

¿TIENES DUDAS?

Habla con un asesor especializado

Te ayudamos a valorar si este programa encaja con tu perfil profesional y tus objetivos. Resolvemos dudas sobre el contenido, la dedicación necesaria y las salidas profesionales, sin compromiso.

Pentesting móvil aplicado a apps reales de sectores con datos sensibles

No te formamos con teoría de seguridad móvil, sino con auditorías sobre aplicaciones reales donde decompilas, instrumentas en tiempo real y demuestras qué datos del usuario quedan expuestos.

Contactanos

Email: contacto@isecd.com

Auditoría móvil en las dos plataformas

No te quedas en Android: trabajas también iOS, con sus protecciones y limitaciones. Cubres el ciclo completo de una auditoría sobre cada sistema operativo.

Las herramientas reales del pentesting móvil

Frida, Objection, jadx, apktool, adb y proxies de interceptación, todo enmarcado en el estándar OWASP MASVS y la guía MASTG que rigen las auditorías móviles serias.

Apps críticas en clínicas, banca y e-commerce

Clínicas con apps de pacientes, e-commerce con apps de compra y asesorías con apps de gestión manejan datos sensibles en el móvil. Auditarlas es una necesidad creciente y poco cubierta.

Aprende auditando aplicaciones móviles, no solo teorizando

La seguridad móvil no se domina leyendo el MASVS. Por eso cada módulo combina contenido técnico, laboratorios de auditoría sobre apps reales y casos del sector para que adquieras competencia aplicable desde el primer día.

Contenido técnico estructurado

Vídeos cortos, lecturas dirigidas y material descargable para asimilar los conceptos clave de cada bloque sin perder tiempo en relleno académico.

Laboratorios sobre apps reales

Aplicaciones Android e iOS preparadas donde decompilas el código, instrumentas con Frida, interceptas el tráfico y demuestras el almacenamiento inseguro en un entorno controlado.

Casos reales del sector

Escenarios basados en apps de clínicas, banca y e-commerce: tokens de sesión, datos de pacientes y de pago, y APIs como las que auditarás en un encargo real.

Temario del Curso de Pentesting de aplicaciones móviles Android e iOS

Módulo 01 — Fundamentos de seguridad móvil y modelo de amenazas

1.1 Panorama de amenazas en Android e iOS
1.2 El estándar OWASP MASVS y la guía de pruebas MASTG
1.3 Diferencias del modelo de seguridad de cada plataforma

Módulo 02 — Arquitectura de Android e iOS para el pentester

2.1 Sandbox de aplicaciones y modelo de permisos
2.2 Estructura de un APK y de un IPA
2.3 Componentes, IPC y superficies de ataque locales

Módulo 03 — Laboratorio: emuladores, dispositivos y acceso root

3.1 Montaje de emuladores y dispositivos de pruebas
3.2 Rooting de Android y jailbreak de iOS para auditoría
3.3 Herramientas base: adb, frida-server y proxies

Módulo 04 — Análisis estático de APK e IPA

4.1 Decompilación con jadx y apktool
4.2 Revisión de manifiestos, recursos y secretos hardcodeados
4.3 Búsqueda de claves API y configuraciones inseguras

Módulo 05 — Análisis dinámico e instrumentación

5.1 Instrumentación en tiempo real con Frida
5.2 Automatización de tareas con Objection
5.3 Hooking de funciones y manipulación de la lógica de la app

Módulo 06 — Interceptación de tráfico y certificate pinning

6.1 Configuración de proxy para tráfico móvil
6.2 Técnicas de bypass de SSL/certificate pinning
6.3 Análisis de las APIs que consume la aplicación

Módulo 07 — Almacenamiento inseguro de datos

7.1 Inspección de bases de datos, preferencias y ficheros
7.2 Detección de datos sensibles sin cifrar
7.3 Gestión insegura de credenciales y tokens en el dispositivo

Módulo 08 — Comunicaciones, APIs y backend móvil

8.1 Auditoría de las APIs REST del backend
8.2 Controles de autorización en endpoints móviles
8.3 Validación de impacto sobre datos de usuario

Módulo 09 — Ingeniería inversa en Android

9.1 Lectura de smali y reconstrucción de la lógica
9.2 Modificación y reempaquetado de APK
9.3 Análisis de bibliotecas nativas

Módulo 10 — Ingeniería inversa y protecciones en iOS

10.1 Análisis de binarios Mach-O
10.2 Bypass de protecciones y detección de jailbreak
10.3 Limitaciones y particularidades del análisis en iOS

Módulo 11 — Vulnerabilidades de plataforma y bypass de controles

11.1 Deep links, esquemas URL y componentes exportados
11.2 Bypass de controles biométricos y de seguridad local
11.3 Encadenado de fallos para demostrar impacto

Módulo 12 — Caso final integrador

12.1 Auditoría completa de una app bancaria móvil simulada
12.2 Análisis estático, dinámico y de tráfico encadenados
12.3 Redacción y defensa del informe siguiendo OWASP MASVS

¿Listo para dar el siguiente paso?

Has llegado hasta aquí porque la formación te interesa de verdad. Cuéntanos sobre tu perfil profesional y un asesor especializado te contactará en menos de 24 horas.

Solicita mas información

Programas destacados de Seguridad ofensiva

Cursos especializados en pentesting, hacking ético y análisis de vulnerabilidades en entornos reales. Cada programa combina técnica ofensiva avanzada con la mentalidad del atacante para fortalecer cualquier sistema.

Seguridad ofensiva

Máster en Ingeniería inversa y exploit development

PREGUNTAS FRECUENTES

Resolvemos tus dudas sobre el programa

¿Necesito conocimientos previos?

Te recomendamos manejar la línea de comandos y entender conceptos básicos de programación y de APIs. No necesitas experiencia previa en móvil: partimos de la arquitectura de Android e iOS y subimos el nivel de forma progresiva.

¿Hay práctica real o solo teoría?

Cada módulo incluye laboratorios sobre apps vulnerables reales. Decompilas, instrumentas con Frida, interceptas tráfico y explotas fallos de almacenamiento en un entorno preparado y legal.

¿Qué herramientas voy a aprender?

Frida y Objection para instrumentación, jadx y apktool para análisis estático, adb y frida-server para el dispositivo, y proxies para el tráfico. Todo bajo el estándar OWASP MASVS y la guía MASTG.

¿Cuánto tiempo tengo que dedicarle?

El curso son 85 horas de formación. Con una dedicación de entre 9 y 11 horas semanales lo completas en unas 9 semanas, aunque al ser online y sin horarios fijos marcas tú el ritmo.

¿Encaja con mi sector?

Si tu organización tiene una app para clientes o pacientes (clínicas, e-commerce, banca o asesorías), este curso te enseña a auditarla y a demostrar qué datos quedan expuestos antes de un incidente.

¿Tendré apoyo de un tutor?

Sí. Cuentas con un tutor especializado que resuelve tus dudas técnicas, revisa tu progreso en los laboratorios y te orienta cuando un ejercicio se atasca. No estudias en solitario.

¿Qué titulación obtengo?

Al superar el curso recibes el título de Especialista en Pentesting de aplicaciones móviles Android e iOS, que acredita las 85 horas de formación y las competencias prácticas adquiridas.

¿Puedo pagar en cuotas?

Sí. Ofrecemos pago fraccionado sin intereses para que distribuyas el importe de la matrícula en cómodas mensualidades. Tu asesor te explica las opciones disponibles según tu caso.