{"id":14954,"date":"2023-01-25T09:50:00","date_gmt":"2023-01-25T09:50:00","guid":{"rendered":"https:\/\/cl.abstracta.us\/blog\/?p=14954"},"modified":"2023-02-07T22:25:46","modified_gmt":"2023-02-07T22:25:46","slug":"testing-seguridad-aplicaciones-moviles-estandares-owasp","status":"publish","type":"post","link":"https:\/\/es.abstracta.us\/blog\/testing-seguridad-aplicaciones-moviles-estandares-owasp\/","title":{"rendered":"C\u00f3mo llevar la seguridad de tus apps m\u00f3viles al siguiente nivel de OWASP"},"content":{"rendered":"\n

\u00bfQu\u00e9 es OWASP y por qu\u00e9 es cada d\u00eda m\u00e1s relevante en la industria IT? \u00bfQu\u00e9 m\u00e9todos existen para completar las validaciones seg\u00fan sus est\u00e1ndares de seguridad? Ent\u00e9rate de todo en este art\u00edculo. \u00a1Y no te olvides! Puedes conectarte con Apptim para sumergirte de modo eficiente en el universo de OWASP y la seguridad en mobile.<\/strong><\/h3>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Recientemente, publicamos un\u00a0art\u00edculo<\/a>\u00a0en el que contextualizamos y explicamos brevemente por qu\u00e9\u00a0es tan relevante hacer foco en seguridad en mobile a la hora de desarrollar aplicaciones de calidad.<\/strong><\/p>\n\n\n\n

Es muy importante tener en cuenta que todas o la gran mayor\u00eda de las apps utilizan un backend de servicios que debe ser testeado siguiendo los est\u00e1ndares de Open Web Application Security Project (OWASP). Y no es posible realizar una evaluaci\u00f3n de la parte m\u00f3vil sin considerar el backend.<\/p>\n\n\n\n

\u00bfPor qu\u00e9 OWASP es tan importante en este camino?<\/strong><\/h2>\n\n\n\n

Se trata de una organizaci\u00f3n y comunidad referente en temas de seguridad web y ahora tambi\u00e9n m\u00f3vil. Propone una metodolog\u00eda de c\u00f3digo abierto y colaborativa para auditor\u00edas de seguridad que permiten garantizar la revisi\u00f3n regular de un proyecto para minimizar errores y riesgos.<\/strong><\/p>\n\n\n\n

Tiempo atr\u00e1s, solo exist\u00eda el est\u00e1ndar ASVS (Application Security Verification Standard). M\u00e1s adelante, se cre\u00f3 el MASVS, que agreg\u00f3 la M de Mobile. Actualmente, resulta crucial aplicar el MASVS para toda la parte web, y no olvidarse del ASVS para todo el backend.<\/p>\n\n\n\n

\u00bfC\u00f3mo funciona OWASP con relaci\u00f3n a Mobile?<\/strong><\/h2>\n\n\n\n

En mobile, tenemos la Mobile Application Security<\/a> (OWASP MAS), que centraliza las iniciativas del \u00e1rea. Dentro de OWASP MAS, contamos con:<\/p>\n\n\n\n

\u2705 MASVS \u2014 Mobile Application Security Verification Standard (MASVS)<\/strong><\/h3>\n\n\n\n

Actualmente, se encuentra en la versi\u00f3n 1.4.2. En el MASVS se establecen los requerimientos de seguridad para una app, lo cual puede resultar \u00fatil en diferentes escenarios<\/strong>:<\/p>\n\n\n\n

    \n
  1. Como m\u00e9trica<\/strong>: proporciona un est\u00e1ndar de seguridad con el que los desarrolladores y propietarios de aplicaciones m\u00f3viles pueden comparar las aplicaciones existentes. No tiene un valor num\u00e9rico. Puede ser usado como medida de avance en el nivel de seguridad de la app bas\u00e1ndonos en los niveles de requerimientos que se vayan cumpliendo.<\/li>\n\n\n\n
  2. Como orientaci\u00f3n<\/strong>: brinda una gu\u00eda adecuada durante todas las fases del desarrollo y las pruebas de las aplicaciones m\u00f3viles. Se puede acceder a gu\u00edas de testing<\/a> y a otros recursos interesantes<\/a>.<\/li>\n\n\n\n
  3. Durante la adquisici\u00f3n<\/strong>: ofrece una l\u00ednea de base para la verificaci\u00f3n de la seguridad de las aplicaciones m\u00f3viles.<\/li>\n<\/ol>\n\n\n\n

    Existen requerimientos de MASVS<\/strong> para cada uno de los siguientes aspectos de la app:<\/p>\n\n\n\n