CURSO 4. SEGURIDAD OFENSIVA E INGENIERÍA INVERSA EN APLICACIONES MÓVILES

DESCRIPCIÓN

Este módulo especializado capacita a los profesionales en la auditoría y
análisis de seguridad de aplicaciones móviles Android, abarcando desde la
arquitectura del sistema hasta la ingeniería inversa. Mediante un enfoque
totalmente práctico desarrollado en el Laboratorio de Ciberguerra, los
participantes dominarán técnicas de Análisis Estático (SAST) y Dinámico
(DAST) basadas en el OWASP Mobile Top 10. El programa destaca por su
actualización frente a tecnologías modernas, enseñando a auditar
aplicaciones desarrolladas en Flutter, interceptar tráfico cifrado, y utilizar
instrumentación dinámica avanzada (Frida y Objection) para evadir
mecanismos de protección como SSL Pinning y Root Detection

OBJETIVO GENERAL

  • Ejecutar auditorías móviles: Identificar y explotar vulnerabilidades críticas en aplicaciones Android siguiendo el estándar OWASP Mobile.
  • Aplicar Ingeniería Inversa (SAST): Decompilar archivos APK para analizar código fuente, identificar secretos hardcodeados y evaluar el AndroidManifest.
  • Intervenir tráfico dinámico (DAST): Configurar entornos para interceptar y manipular peticiones HTTP/HTTPS, incluso en aplicaciones con protecciones de red.
  • Auditar frameworks modernos: Superar los retos de análisis de tráfico y extracción de información en aplicaciones desarrolladas con Flutter.
  • Evadir controles de seguridad: Desplegar instrumentación dinámica con Frida y Objection para realizar bypass de protecciones nativas (SSL Pinning, Root Detection).

TEMARIO

1. Introducción y Laboratorio
  • Conceptos Base: ¿Qué es un APK? Estructura de Android (Linux Kernel, Dalvik/ART).
  • OWASP Mobile Top 10: Introducción a las vulnerabilidades más comunes.
  • Taller de Instalación (Paso a Paso):
  • Configuración de Java, Python y ADB (Android Debug Bridge).
  • Emuladores: Genymotion vs Android Studio (AVD).
  • Herramientas: Burp Suite, JADX-GUI, MobSF.
2. Análisis Estático (SAST) - "Caja Blanca"
     Ingeniería Inversa Básica:
  • Decompilación de APKs con APKTool y JADX.
  • Lectura del AndroidManifest.xml: Permisos peligrosos y componentes exportados.
     Análisis Automatizado:
  • Uso de MobSF (Mobile Security Framework): Instalación, escaneo y cómo leer el reporte (diferenciar falsos positivos).
      Búsqueda de Secretos:
  • Encontrando API Keys, contraseñas y URLs hardcodeadas en el código fuente.
  • Análisis de recursos (strings.xml, assets).
  • CTF: Auditar una app vulnerable (ej. Diva, InsecureBank).
3. Análisis Dinámico y Redes
    Intercepción de Tráfico HTTP/HTTPS:
  • Configuración del Proxy en Android.
  • Instalación del certificado de Burp Suite como System CA (en Android 10+).
     Manipulación de Peticiones:
  • Modificar parámetros en vuelo (Inyección SQL básica, IDORs en APIs móviles).
     Almacenamiento Inseguro en el Dispositivo:
  • Explorando directorios internos con adb shell.
  • Bases de datos SQLite y SharedPreferences en texto plano.
  • Logs del sistema (logcat) y fugas de información.
  • CTF en el laboratio Fisico de ciberguerra del INICTEL-UNI
4. El Reto de Flutter
    Flutter cambia las reglas del juego.
  • Arquitectura Flutter: ¿Por qué no veo código Java? Introducción a Dart y libapp.so.
     Análisis de Tráfico en Flutter:
  • Problema: Flutter ignora el proxy del sistema.
  • Solución práctica: Uso de ReFlutter o modificación de binarios para forzar el tráfico por Burp Suite.
  • Ingeniería Inversa en Flutter (Nivel Básico):
  • Extracción de cadenas de texto (Strings) del binario para encontrar endpoints ocultos.
  • Identificación de librerías de terceros vulnerables en Flutter.
  • CTF en el laboratio Físico de ciberguerra del INICTEL-UNI
5. Evasión de Controles y Manipulación
    Introducción a Frida y Objection sin programar scripts complejos:
  • Instalación del servidor Frida en el móvil.
  • Uso de Objection (la navaja suiza) para explorar la app sin escribir código.
    Bypass de Protecciones Comunes:
  • Root Detection: Cómo las apps saben si eres root y cómo ocultarlo (Magisk, Frida scripts públicos).
  • SSL Pinning: Qué es y cómo saltarlo usando scripts universales de Frida o módulos de Objection.

DURACIÓN

40 Horas

PROGRAMACIÓN

No hay programaciones disponibles.

REQUISITOS PARA LA CERTIFICACIÓN

  • Aprobar los cursos con una nota mínima de 14.
  • Tener el 75% de asistencia a los cursos.
  • No tener deudas pendientes con la institución.

INVERSIÓN

Curso: S/.1200.00
Curso Libre: S/.1200.00