Guía de OWASP MAS para la seguridad en aplicaciones móviles

OWASP MAS: Guía Práctica para la Seguridad de Aplicaciones Móviles

Al desarrollar aplicaciones móviles, ¿de qué fuentes obtienes información sobre la seguridad que debes considerar? A diferencia de las aplicaciones web, la situación actual se caracteriza por la escasez de bibliografía reciente y de sitios web que divulguen ..

Conceptos y Glosario
febrero 23, 2026
81
Views

Al desarrollar aplicaciones móviles, ¿de qué fuentes obtienes información sobre la seguridad que debes considerar? A diferencia de las aplicaciones web, la situación actual se caracteriza por la escasez de bibliografía reciente y de sitios web que divulguen información sobre este tema.

En este contexto, una fuente de información sistemática es el proyecto OWASP Mobile Application Security (MAS), uno de los proyectos de OWASP.

Con la proliferación de los smartphones y el aumento de las aplicaciones móviles como objetivo de ataques, el proyecto OWASP MAS desempeña un papel indispensable en la protección de los usuarios y sus datos.

En este artículo te explicaré los aspectos generales del framework OWASP MAS. Este material continuará siendo una referencia de alto valor y confianza para que los desarrolladores construyan aplicaciones móviles seguras.

Diagrama de la estructura de OWASP MAS
OWASP MAS integra estándares (MASVS), guías de pruebas (MASTG) y enumeración de debilidades (MASWE) para una cobertura completa.
Tabla de Contenido

¿Qué es OWASP?

Es el acrónimo de Open Worldwide Application Security Project, una organización sin fines de lucro dedicada a mejorar la seguridad del software, comenzando por las aplicaciones web. Para el desarrollo de software seguro, proporciona código, documentación y estándares a través de múltiples proyectos.

Dentro de los proyectos de OWASP, el más conocido es el “OWASP Top 10”, una lista que enumera las diez deficiencias de seguridad más comunes en aplicaciones web. Es seguro afirmar que cualquier persona interesada en el campo de la seguridad conoce este documento sobre qué es el OWASP Top 10.

Además, OWASP ha expandido su enfoque más allá de las aplicaciones web, publicando numerosos materiales especializados. Entre ellos, “OWASP Mobile Application Security” se ha consolidado como una guía fundamental para la seguridad de aplicaciones móviles.

Este recurso no solo incluye una lista detallada de las amenazas de seguridad comunes que enfrentan las aplicaciones móviles, sino que también propone técnicas y herramientas concretas para que los desarrolladores protejan sus aplicaciones.

¿Qué es OWASP MAS y cómo funciona?

El proyecto OWASP Mobile Application Security (MAS) es un framework integral de OWASP para mejorar la seguridad en aplicaciones móviles. Proporciona estándares (MASVS), guías de pruebas (MASTG) y una clasificación de debilidades (MASWE) para ayudar a desarrolladores y testers a construir y verificar apps seguras de forma sistemática.

Este proyecto ha evolucionado mucho en los últimos años. Actualmente se basa en MASVS v2.1 (incluyendo la categoría de privacidad), MASWE en desarrollo activo y mantenimiento continuo; y MASTG en proceso de refactor hacia una estructura más modular. Todo esto hace que las pruebas sean más claras y eficientes, y reduce el tiempo de aprendizaje para quien empieza.

El proyecto OWASP MAS incluye los siguientes recursos de gran utilidad:

  • MASVS (Mobile Application Security Verification Standard): Proporciona un estándar para la verificación de la seguridad de las aplicaciones.
  • MASWE (Mobile Application Security Weakness Enumeration): Lista de debilidades y exposiciones comunes en seguridad móvil, actuando como puente entre MASVS y MASTG.
  • MASTG (Mobile Application Security Testing Guide): Una guía para realizar pruebas de seguridad de aplicaciones móviles de forma sistemática.

Estructura de OWASP MAS

La refactorización y el desarrollo de OWASP MAS avanzan con el objetivo de mejorar la interrelación entre sus distintos contenidos. Dado que el proyecto agrupa estándares, guías y enumeraciones que evolucionan de forma independiente, comprender cómo se relacionan entre sí resulta clave para su uso correcto.

  1. MASVS está compuesto por controles de seguridad de alto nivel, independientes de la plataforma, organizados en grupos funcionales. Estos grupos sirven como eje común para estructurar el resto de los contenidos del proyecto.
  2. MASWE enumera debilidades de seguridad que pueden manifestarse en aplicaciones móviles cuando dichos controles no se aplican correctamente. Estas debilidades se relacionan directamente con los controles de MASVS y permiten clasificar riesgos de forma más precisa.
  3. MASTG recopila los casos de prueba necesarios para identificar y verificar estas debilidades en aplicaciones móviles reales. Dado que las técnicas de prueba dependen de la plataforma, el contenido se divide por sistemas como Android e iOS, e incluye tanto metodologías de testeo como herramientas y aplicaciones de demostración.

Estos materiales proporcionan estándares y procesos para las pruebas de seguridad de aplicaciones móviles, constituyendo una ayuda valiosa para que los desarrolladores mejoren la seguridad de sus aplicaciones.

Además, el proyecto MAS analiza las amenazas de seguridad que enfrentan las aplicaciones móviles y presenta contramedidas específicas en áreas como:

  • Cifrado de datos: Técnicas para una protección de datos segura.
  • Control de acceso: Mecanismos para prevenir el acceso no autorizado.
  • Establecimiento de un ciclo de vida de desarrollo seguro: Métodos para mantener la seguridad a lo largo de todo el proceso de desarrollo.

El proyecto OWASP MAS nació en respuesta a la creciente demanda de seguridad móvil y continúa evolucionando para reflejar las amenazas emergentes y las últimas tecnologías de seguridad.

Adicionalmente, organizaciones de renombre en los sectores de seguridad y aplicaciones móviles (como Oversecured) han contribuido al proyecto, lo que ha mejorado la precisión y la aplicabilidad práctica de sus documentos.

OWASP Mobile Top 10 2024: Puntos Destacados

Transcurrieron ocho años entre la versión de 2016 del Mobile Top 10 y su actualización en 2024. Durante este tiempo, los desafíos en la seguridad en aplicaciones móviles cambiaron drásticamente, y la nueva lista incluye numerosas modificaciones importantes.

Comparativa del OWASP Mobile Top 10: 2016 vs 2024
La actualización de 2024 del Mobile Top 10 refleja un cambio de enfoque hacia la autenticación y la cadena de suministro.

Principales cambios en la lista Top 10 de 2024:

  • Adición de nuevos elementos:
    • Se agregaron cuatro nuevos elementos: M1, M2 (Inadequate Supply Chain Security), M4 y M6.
  • Fusión de elementos:
    • M3: Se fusionaron los antiguos M4 y M6 para crear un elemento más completo.
    • M7: Se fusionaron los antiguos M8 y M9 para mejorar la concisión y la aplicabilidad práctica.
  • Promoción de elementos:
    • M8 (antiguo M10): Ascendió en el ranking gracias a la ampliación de su contenido.
  • Degradación de elementos:
    • El antiguo M3 fue degradado a M5.
    • El antiguo M2 fue degradado a M9.
    • El antiguo M5 fue degradado a M10.

Estos cambios indican un cambio significativo en el enfoque de la mobile application security.

Evolución del Enfoque de Seguridad: Comparativa 2016 vs. 2024

En la versión de 2016 del Top 10, los elementos relacionados con la interacción entre la aplicación y el sistema operativo ocupaban las primeras posiciones. En ese momento, la aplicación misma debía asumir una gran parte de la responsabilidad de la seguridad.

Sin embargo, en la versión de 2024, el enfoque de la seguridad ha cambiado significativamente. La lista actual sitúa en los primeros puestos áreas como la autenticación, la gestión de autorizaciones y la comunicación entre componentes. Este cambio refleja que los desafíos de seguridad en las aplicaciones móviles se han vuelto más avanzados y diversificados.

Es especialmente notable que “Insecure Data Storage” (Almacenamiento inseguro de datos) haya descendido del antiguo M2 al M9. Aunque este elemento sigue siendo importante, ya no se considera un desafío tan crítico como antes.

Esto se debe a que las aplicaciones móviles modernas emplean métodos más cuidadosos y tecnologías de cifrado al almacenar datos en el dispositivo. También indica que el énfasis de la seguridad móvil se está desplazando del lado del cliente al lado del servidor.

Este cambio ilustra cómo ha evolucionado el enfoque de seguridad a medida que las aplicaciones móviles continúan avanzando. Los desarrolladores y profesionales de la seguridad deben utilizar esta nueva lista para implementar medidas de seguridad más adecuadas.

Inadequate Supply Chain Security (M2)

El recién añadido “Inadequate Supply Chain Security” (M2) refleja el uso extensivo de servicios de terceros, bibliotecas y código de fuente abierta en las aplicaciones móviles. Si bien estos recursos externos mejoran la eficiencia del desarrollo, también introducen nuevos riesgos de seguridad.

En los últimos años, los ataques dirigidos a la cadena de suministro han aumentado drásticamente, convirtiendo a muchas aplicaciones móviles en objetivos. Por ejemplo, el uso de bibliotecas no confiables o la adopción de componentes de terceros sin una validación adecuada pueden comprometer la seguridad de toda la aplicación.

La inclusión de M2 en el Top 10 demuestra la creciente importancia del riesgo de la cadena de suministro en el fortalecimiento de la seguridad de aplicaciones móviles. Abordar adecuadamente este problema es esencial para mejorar la seguridad general de la aplicación y prevenir futuros ataques.

¿Qué es MASWE y cuál es su función?

MASWE (Mobile Application Security Weakness Enumeration) es un recurso añadido por OWASP al proyecto MAS y cumple un rol fundamental como sistema de clasificación de debilidades de seguridad en aplicaciones móviles. Actúa como nexo entre MASTG y MASVS.

MASWE proporciona una lista de vulnerabilidades de seguridad y riesgos potenciales que pueden manifestarse como vulnerabilidades reales si el proceso de desarrollo de la aplicación no se gestiona adecuadamente.

Características y función de MASWE

La función de MASWE es análoga a la de CWE (Common Weakness Enumeration) en el ámbito general de las aplicaciones. Específicamente, presenta las siguientes características:

  • Amplia lista de elementos: Actualmente, MASWE contiene 118 debilidades listadas que cubren una amplia gama de vulnerabilidades y riesgos específicos en aplicaciones móviles. La lista está en desarrollo activo y sigue incorporando nuevas debilidades.
  • Compatibilidad por plataforma: Cada categoría indica claramente las plataformas aplicables (Android, iOS), lo que facilita a los desarrolladores la identificación de riesgos relevantes para su proyecto.
  • Clasificación por nivel de seguridad: Cada elemento especifica el nivel de seguridad al que se refiere el riesgo, proporcionando una guía para priorizar las acciones correctivas.
  • Vinculación con MASVS ID: Cada vulnerabilidad está asociada a un MASVS ID correspondiente, sirviendo como guía para que los desarrolladores construyan aplicaciones seguras de acuerdo con el Mobile Application Security Verification Standard.

¿Qué es MASTG y para qué sirve?

MASTG (Mobile Application Security Testing Guide) es una guía crucial para quienes realizan pruebas de seguridad de aplicaciones móviles (mobile application security testing). Proporciona información actualizada y práctica sobre pruebas de seguridad, sirviendo como base para verificar la seguridad de las aplicaciones móviles.

Evolución e importancia del MASTG

La Mobile Application Security Testing Guide ha evolucionado significativamente desde sus primeras versiones. Aunque v1.0 fue una base sistemática, carecía de orientación detallada y su cobertura era limitada.

Con el refactor progresivo en curso, MASTG se está consolidando como una guía más práctica y accionable. La versión actual, documentada en su repositorio de GitHub, ha fortalecido los siguientes puntos:

  • Adición de procedimientos de prueba detallados.
  • Explicación de riesgos específicos y sus contramedidas en cada área de seguridad.
  • Listado de herramientas y recursos útiles para pruebas reales, como los que puedes encontrar en guías de escáneres de vulnerabilidades.

Gracias a esto, usuarios de todos los niveles pueden realizar pruebas de seguridad en aplicaciones móviles de manera eficiente y efectiva, incluyendo técnicas avanzadas como la ingeniería inversa para identificar debilidades de seguridad.

Principales mejoras y características actuales del MASTG

En la versión actual de MASTG (en refactor hacia estructura modular), se han corregido muchas deficiencias de v1.x y se está evolucionando hacia un recurso más práctico e integral. Ofrece ya cosas como:

  • Tests atómicos y casos de prueba más específicos y modulares.
  • Herramientas recomendadas por caso (aunque algunas siguen necesitando actualización).
  • Técnicas detalladas y orientación clara.
  • Aplicaciones demo y laboratorios de práctica (cada vez más completos, ideales para principiantes).

Estado actual y perspectivas de los casos de prueba

Actualmente MASTG ofrece decenas de casos de prueba (con el refactor progresivo hacia tests atómicos), y el número crece progresivamente. Un solo control MASVS puede mapearse a múltiples tests, lo que permite una cobertura más granular de riesgos. Puedes consultar los releases oficiales para seguir su avance.

Recomendaciones para usuarios experimentados

Para quienes deseen profundizar sus conocimientos, en mi experiencia, recomiendo participar en eventos CTF (Capture The Flag) recientes, especialmente los celebrados en los últimos uno o dos años, como HTB CTF o NaHamCon CTF.

Estos eventos incluyen desafíos de seguridad de Android y son una excelente oportunidad para perfeccionar habilidades prácticas relacionadas con el hacking ético.

MASTG es un recurso clave para pruebas de seguridad móvil. Su uso sistemático ayuda a construir aplicaciones más seguras y confiables.

Etiquetas:
· · ·
Categorías:
Conceptos y Glosario
Angel Mentor https://cybermentor.net

Angel Mentor es un profesional certificado en ciberseguridad cuya misión en CyberMentor.net es simplificar el complejo mundo de la seguridad digital. Con experiencia práctica en el campo, te guía desde la protección de tus dispositivos y tu privacidad hasta el avance de tu carrera profesional en ciberseguridad.

Curso Ciberseguridad Advertisement

Artículos Relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *