Programas / Seguridad ofensiva / Diplomado en Auditoría de aplicaciones móviles y APIs REST

Auditoría de aplicaciones móviles y APIs REST

Audita la app y su backend a la vez: del análisis dinámico con Frida a los fallos BOLA en las APIs.

Duración

280 Horas

Módulos

16 Módulos

Dificultad

Curso

Modalidad

Online

mobileapi@isecd:~/audit

# Auditoría móvil + API — instrumentación

$frida -U -f com.cliente.salud -l hook.js

✓ SSL pinning desactivado en runtime

# Fase 1 — Interceptación de la API

$mitmproxy → GET /api/v2/patient/{id}

⚠ BOLA: acceso a pacientes ajenos

# Fase 2 — Tokens

$jwt → alg:none bypass

→ escalada a rol administrador

# Fase 3 — Almacenamiento

→ token y datos clínicos sin cifrar en el device

✓ cadena de impacto confirmada

✓ Auditoría app+API documentadaBOLA · JWT

Auditoría de app y API aplicada a casos reales

FORMACIÓN PROFESIONAL

Domina la auditoría de aplicaciones móviles y APIs REST

Seis pilares que estructuran una auditoría móvil y de APIs de nivel profesional.

El Diplomado en Auditoría de aplicaciones móviles y APIs REST es una formación de 280 horas diseñada para auditar la app y el backend que la sostiene. Combina análisis estático y dinámico con Frida, ataques a APIs REST y GraphQL y gestión de tokens JWT y OAuth para que demuestres qué datos del usuario quedan expuestos desde el primer día.

No te formamos solo en la app, sino en el conjunto app más API: el lugar donde de verdad viven y se filtran los datos.

Cuatro pasos para comenzar tu formación

Un proceso claro y sin complicaciones diseñado para profesionales que valoran su tiempo. En cuatro pasos sencillos pasas de la primera consulta a empezar a estudiar.

Solicita información

Formaliza tu matrícula

Accede al campus virtual

Comienza tu formación

COMPETENCIAS DEL PROGRAMA

Qué dominarás al finalizar el programa

Cada barra refleja el nivel de dominio real que alcanzarás. Habilidades concretas, niveles honestos.

Auditar apps móviles con el estándar OWASP MASVS

Avanzado 88%

Auditar APIs REST y GraphQL

Experto 90%

Interceptar tráfico y romper el certificate pinning

Avanzado 84%

Atacar autenticación y tokens JWT y OAuth

Avanzado 82%

Hacer ingeniería inversa de aplicaciones móviles

Intermedio 76%

¿TIENES DUDAS?

Habla con un asesor especializado

Te ayudamos a valorar si este programa encaja con tu perfil profesional y tus objetivos. Resolvemos dudas sobre el contenido, la dedicación necesaria y las salidas profesionales, sin compromiso.

Auditoría móvil y de APIs aplicada a apps reales del sector

No te formamos solo en la app, sino en el conjunto app más API: instrumentas con Frida, rompes el pinning y demuestras un BOLA en la API que expone los datos de todos los usuarios.

Contactanos

Email: contacto@isecd.com

La app y su backend, juntos

Auditas las dos caras: la aplicación y la API que la alimenta. Es donde de verdad se filtran los datos, y donde un análisis aislado de la app se queda corto.

Las herramientas reales de la auditoría

Frida, Objection, jadx, proxies de interceptación y herramientas de API, sobre los estándares OWASP MASVS y API Security Top 10.

Apps con datos sensibles en todo el sector

Clínicas, banca y e-commerce exponen datos críticos a través de apps y APIs. Auditarlas en conjunto es una necesidad creciente y poco cubierta.

Aprende auditando apps y APIs reales, no solo teorizando

La seguridad móvil y de APIs no se domina leyendo el MASVS. Por eso cada módulo combina contenido técnico, laboratorios de auditoría guiados y casos reales del sector para que adquieras competencia aplicable desde el primer día.

Contenido técnico estructurado

Vídeos cortos, lecturas dirigidas y material descargable para asimilar los conceptos clave de cada bloque sin perder tiempo en relleno académico.

Laboratorios de app y API

Aplicaciones con su backend donde instrumentas con Frida, interceptas el tráfico y explotas fallos BOLA y de tokens en la API, en un entorno seguro y controlado.

Casos reales del sector

Escenarios basados en apps de clínicas, banca y e-commerce: datos de pacientes, de pago y de sesión, y APIs como las que auditarás en un encargo real.

Temario del Diplomado en Auditoría de aplicaciones móviles y APIs REST

Módulo 01 — Fundamentos de seguridad móvil y de APIs

1.1 Superficie de ataque móvil y de backend
1.2 Relación entre app y API
1.3 Modelo de amenazas

Módulo 02 — OWASP MASVS y API Security Top 10

2.1 El estándar OWASP MASVS
2.2 OWASP API Security Top 10
2.3 Cobertura de una auditoría

Módulo 03 — Arquitectura Android e iOS

3.1 Sandbox y permisos
3.2 Estructura de APK e IPA
3.3 Componentes y superficies locales

Módulo 04 — Laboratorio móvil y de APIs

4.1 Emuladores y dispositivos
4.2 Proxies e instrumentación
4.3 Herramientas base

Módulo 05 — Análisis estático de apps

5.1 Decompilación y revisión de código
5.2 Secretos hardcodeados
5.3 Configuraciones inseguras

Módulo 06 — Análisis dinámico e instrumentación

6.1 Instrumentación con Frida
6.2 Automatización con Objection
6.3 Hooking y manipulación

Módulo 07 — Interceptación de tráfico y pinning

7.1 Configuración del proxy
7.2 Bypass de certificate pinning
7.3 Análisis de las llamadas a la API

Módulo 08 — Almacenamiento inseguro

8.1 Bases de datos y preferencias
8.2 Datos sensibles sin cifrar
8.3 Gestión insegura de credenciales

Módulo 09 — Autenticación y autorización en APIs

9.1 Mecanismos de autenticación
9.2 Controles de autorización
9.3 Fallos de control de acceso

Módulo 10 — Ataques a APIs REST

10.1 Enumeración de endpoints
10.2 BOLA y BFLA
10.3 Inyecciones y validación

Módulo 11 — Ataques a APIs GraphQL

11.1 Introspección de GraphQL
11.2 Abuso de queries y mutaciones
11.3 Controles de autorización

Módulo 12 — Gestión de tokens (JWT y OAuth)

12.1 Ataques a tokens JWT
12.2 Fallos en flujos OAuth
12.3 Gestión insegura de sesiones

Módulo 13 — Backend móvil y lógica de negocio

13.1 Auditoría del backend
13.2 Fallos de lógica de negocio
13.3 Validación de impacto

Módulo 14 — Ingeniería inversa móvil

14.1 Lectura del código de la app
14.2 Modificación y reempaquetado
14.3 Análisis de binarios nativos

Módulo 15 — Reporting de auditoría móvil y API

15.1 Informe técnico
15.2 Pruebas de concepto
15.3 Recomendaciones de remediación

Módulo 16 — Caso final integrador

16.1 Auditoría completa de una app y su API
16.2 Análisis estático, dinámico y de backend
16.3 Elaboración y defensa del informe

¿Listo para dar el siguiente paso?

Has llegado hasta aquí porque la formación te interesa de verdad. Cuéntanos sobre tu perfil profesional y un asesor especializado te contactará en menos de 24 horas.

Solicita mas información

Programas destacados de Seguridad ofensiva

Cursos especializados en pentesting, hacking ético y análisis de vulnerabilidades en entornos reales. Cada programa combina técnica ofensiva avanzada con la mentalidad del atacante para fortalecer cualquier sistema.

Seguridad ofensiva

Máster en Ingeniería inversa y exploit development

PREGUNTAS FRECUENTES

Resolvemos tus dudas sobre el programa

¿Necesito conocimientos previos?

Te recomendamos manejar la línea de comandos y entender APIs y HTTP a nivel básico. No necesitas experiencia móvil previa: partimos de la arquitectura de Android e iOS de forma progresiva.

¿Hay práctica real o solo teoría?

El diplomado es muy práctico. Auditas apps con su backend donde instrumentas, interceptas tráfico y explotas fallos de API en un entorno preparado y legal.

¿Qué herramientas voy a aprender?

Frida y Objection para instrumentación, jadx para análisis estático, proxies de interceptación y herramientas de auditoría de APIs REST y GraphQL. Todo bajo OWASP MASVS.

¿Cuánto tiempo tengo que dedicarle?

El diplomado son 280 horas de formación. Con una dedicación de entre 12 y 15 horas semanales lo completas en unas 22 semanas, aunque al ser online y sin horarios fijos marcas tú el ritmo.

¿Encaja con mi sector?

Si tu organización tiene una app con backend (clínicas, banca, e-commerce o asesorías), este diplomado te capacita para auditar el conjunto y demostrar qué datos quedan expuestos.

¿Tendré apoyo de un tutor?

Sí. Cuentas con un tutor especializado que resuelve tus dudas técnicas, revisa tu progreso en los laboratorios y te orienta cuando un ejercicio se atasca. No estudias en solitario.

¿Qué titulación obtengo?

Al superar el programa recibes el título de Diplomado en Auditoría de aplicaciones móviles y APIs REST, que acredita las 280 horas de formación y las competencias prácticas adquiridas.

¿Puedo pagar en cuotas?

Sí. Ofrecemos pago fraccionado sin intereses para que distribuyas el importe de la matrícula en cómodas mensualidades. Tu asesor te explica las opciones disponibles según tu caso.