¿Te imaginas descubrir los fallos de seguridad de una app sin tener acceso a su código fuente?

Ese fue precisamente el reto que asumieron los desarrolladores PRO de nuestra comunidad en el taller de ciberseguridad con Eduardo Sánchez, CEO de AllPentesting y uno de los grandes referentes en ciberseguridad a nivel nacional. Durante una sesión intensa, práctica y reveladora, nos metimos de lleno en el lado más técnico del desarrollo: ese que pocas veces se ve, pero que puede marcar la diferencia entre una app segura y una vulnerable.

Piensa como un atacante para defender como un experto

La sesión arrancó con una visión general sobre cómo se estructura el ecosistema Android: tipos de apps, niveles de seguridad y arquitectura interna del sistema. Eduardo explicó cómo los errores más comunes en ciberseguridad no están solo en el servidor o en la base de datos, sino en la propia lógica de las apps. Y que para verlos, hay que cambiar el enfoque: abandonar el rol de desarrollador y ponerse el gorro del atacante.

De ahí pasamos a la metodología de análisis que recomienda OWASP, centrada en tres enfoques clave: information gathering, análisis estático y análisis dinámico. A través de ejemplos reales, Eduardo nos enseñó a identificar permisos mal configurados, actividades exportadas sin control, credenciales almacenadas en texto plano o claves API hardcodeadas, entre otras perlas peligrosas. Todo con ejemplos reales, herramientas gratuitas y mucho código de por medio.

Tras entender la teoría, aprendimos a decompilar aplicaciones para obtener su código fuente y revisar su estructura interna con herramientas como APKTool, Dex2Jar y JD-GUI. El objetivo era localizar fallos en el AndroidManifest.xml, examinar actividades que pueden lanzarse desde fuera y detectar configuraciones inseguras o puntos de entrada críticos. Además, se utilizaron herramientas como Genymotion y ADB para montar entornos de análisis seguros en máquinas virtuales, y nos adentramos en el análisis de bases de datos SQLite y ficheros de preferencias donde muchas apps almacenan datos sensibles sin cifrado.

Casos reales: vulnerabilidades que cualquiera podría explotar

Para aterrizar todo lo aprendido, Eduardo analizó casos prácticos de vulnerabilidades reales en apps de uso cotidiano: aplicaciones mal configuradas que permitían acceder a pantallas internas sin pasar por el login, content providers abiertos a otras apps, almacenamiento inseguro de contraseñas, y validaciones client-side que un atacante puede saltarse con un par de clics.

También exploramos cómo detectar fugas de información en logs del sistema (cuando la app está en modo debug), cómo automatizar pruebas con herramientas como Drozer o MobSF, cómo hacer ingeniería inversa online con Decompiler.com, y cómo detectar strings sensibles, API Keys y contraseñas hardcodeadas con análisis estáticos.

El taller cerró con una idea clave: no hay que esperar a que ocurra una brecha para pensar en seguridad. Las apps seguras se construyen desde el principio, con conciencia, buenas prácticas y pruebas constantes. Como recordó Eduardo, “la suerte no se tiene, la suerte se busca”, y lo mismo aplica a la ciberseguridad: prepararse, formarse y auditar nuestras propias apps debe ser parte del proceso de desarrollo.

¡Nos vemos en el próximo taller!

Si esta vez no pudiste asistir, no te preocupes: este solo ha sido uno de los muchos encuentros que estamos preparando para seguir ampliando tu visión como desarrollador. Seguiremos contando con diferentes expertos para ofrecerte formación técnica de primer nivel, con ejemplos prácticos, herramientas reales y aprendizajes que puedas aplicar desde ya en tus propios proyectos.

Cada taller es una oportunidad para crecer, para ir un paso más allá, y para aprender con quienes están marcando la diferencia en el sector. Así que mantente atento. Porque aquí, el conocimiento no se guarda, se comparte. Y tú estás invitado.

Samsung Dev Spain es la comunidad oficial de Samsung para desarrolladores españoles. Si te das de alta, puedes conseguir entrar en nuestro programa de préstamos -y conseguir dispositivos para desarrollar apps para nuestro ecosistema-, acceder a material gratuito como la Guía de optimización de apps para foldables, participar en promociones como dispositivos por apps o acudir gratis a eventos formativos como Samsung Dev Day o disfrutar de ventajas exclusivas en Samsung PLUS.