Existe una mentira reconfortante que muchos directores de tecnología y gerentes de proyecto se cuentan a sí mismos antes de dormir: «Nuestra aplicación móvil es solo para uso interno, no está publicada en las tiendas oficiales, así que los hackers ni siquiera saben que existe». Es una frase que destila una falsa sensación de seguridad, basada en la vieja y obsoleta premisa de la «seguridad por oscuridad».
Sin embargo, la realidad del cibercrimen en 2025 es muy diferente. Las aplicaciones internas esas que usan los repartidores, los gestores de almacén o los ejecutivos para aprobar presupuestos se han convertido en la puerta trasera predilecta para los ciberdelincuentes. ¿Por qué? Porque suelen ser el eslabón más débil de la cadena.
Para profundizar en este tema y entender los riesgos reales más allá de los titulares alarmistas, me senté a conversar con Rafael Eladio Aponte Núñez, quien ha vivido en primera fila la evolución de los entornos corporativos móviles. Lejos de hablar desde un púlpito académico, Rafael compartió conmigo experiencias de trinchera sobre lo que ocurre cuando confiamos ciegamente en la «invisibilidad» de nuestras herramientas.
Fuente: https://androidguias.com/no-te-fies-de-las-apps-de-limpieza-para-android-son-una-amenaza-silenciosa/
Acompáñame a desglosar por qué esa app que «nadie ve» necesita una auditoría de seguridad urgente.
1. El mito de la invisibilidad y la ingeniería inversa
El primer punto que tocamos en nuestra charla fue la creencia de que si una app se distribuye mediante un MDM (Mobile Device Management) o un enlace privado, es intocable.
«Es curioso cómo las empresas gastan fortunas blindando su web pública, pero dejan la app de inventario totalmente abierta«, me comentaba Rafael Eladio Aponte Núñez mientras discutíamos sobre prioridades presupuestarias. «Lo que olvidan es que, para un atacante, conseguir el archivo .APK o. IPA de una app interna es trivial. Basta con un empleado que pierda el teléfono, un ataque de phishing o incluso ingeniería social básica».
Una vez que el atacante tiene el archivo de la aplicación, puede realizar ingeniería inversa. Si el código no está ofuscado y auditado, es como entregarles los planos del edificio. Pueden ver cómo te conectas a tus servidores, qué bases de datos usas y dónde están las llaves de acceso. Leer más
2. Las credenciales «duras» y el acceso a la API
Aquí entramos en el terreno técnico, pero vital. Las aplicaciones móviles no son islas; necesitan comunicarse con un servidor central para obtener datos. Esa comunicación se hace a través de APIs.
El problema de las apps internas que se desarrollan con prisas («la necesitamos para el lunes») es que a menudo los desarrolladores dejan credenciales, claves de API o contraseñas de bases de datos escritas directamente en el código (hardcoded).
Durante nuestra conversación, Rafael Eladio Aponte Núñez hizo hincapié en este error común: «He visto casos donde la app interna tenía las credenciales de administrador de la base de datos principal incrustadas en el código fuente. El desarrollador lo hizo ‘para probar’ y se le olvidó quitarlo. Sin una auditoría de seguridad, ese error se va a producción y convierte un celular perdido en una llave maestra para toda la compañía».
Una auditoría de seguridad (Pentesting) detecta estos descuidos antes de que sea tarde. Revisa que la comunicación esté encriptada y que la app no esté guardando información sensible en texto plano en la memoria del teléfono. Leer más
Fuente: https://www.hp.com/co-es/shop/tech-takes/que-es-una-api
3. El movimiento lateral: De la app al corazón del negocio
Imagina tu infraestructura como un castillo medieval. Tienes murallas altas y fosos en la entrada principal (tu web pública y tus firewalls). Pero la app interna es una pequeña puerta de servicio en la parte trasera que conecta directamente con la sala del trono.
Si un atacante compromete esa app, rara vez se queda ahí. Su objetivo es el «movimiento lateral». Usan la conexión de confianza que tiene esa app para saltar a servidores más críticos, robar nóminas, datos de clientes o desplegar ransomware.
«La gente piensa en el ataque a la app como un evento aislado», reflexionaba Rafael Eladio Aponte Núñez al hablar de las consecuencias en cadena. «Pero la app es solo el vector de entrada. Si tu aplicación de logística tiene permisos excesivos en la red corporativa y no lo has auditado, estás permitiendo que un extraño se pasee por tu servidor sin que salten las alarmas, porque el sistema cree que es una conexión legítima». Leer más
Fuente: https://keepcoding.io/blog/que-es-el-movimiento-lateral-en-ciberseguridad/
4. El peligro de las librerías de terceros
Ninguna app se escribe desde cero hoy en día. Se utilizan decenas de librerías y componentes de código abierto para ahorrar tiempo (para leer códigos QR, para geolocalización, para análisis de datos).
El riesgo radica en que estas librerías pueden tener vulnerabilidades conocidas o dejar de recibir mantenimiento. Si no auditas tu app interna periódicamente, puedes estar usando una librería con un agujero de seguridad descubierto hace tres años.
Rafael Eladio Aponte Núñez me comentó una analogía muy acertada sobre esto: «Es como construir un coche blindado, pero ponerle cerraduras de juguete que compraste en un mercadillo. Tu código puede ser seguro, pero si importas una librería vulnerable, toda la estructura se cae. Las auditorías automatizadas (SAST) son vitales para detectar estos componentes caducos». Leer más
5. Cumplimiento legal y reputación (Sí, también para lo interno)
A menudo se piensa que las regulaciones de protección de datos (como el RGPD en Europa o leyes locales) solo aplican a los datos de los clientes. Pero los datos de los empleados y los secretos comerciales también están protegidos.
Si una filtración de datos ocurre a través de una app interna mal asegurada, la empresa enfrenta multas millonarias y un daño reputacional incalculable. Explicar a la junta directiva que los datos se filtraron porque «no creímos necesario auditar la app de recursos humanos» no es una conversación agradable.
Fuente: https://juridicamente.org/reglamento-general-de-proteccion-de-datos/
6. La deuda técnica de lo «temporal»
Uno de los mayores enemigos de la seguridad es la palabra «temporal». Muchas apps internas nacen como prototipos rápidos para resolver un problema puntual. «Haz algo rápido para el evento de ventas», dicen. Tres años después, esa app «rápida» gestiona millones de dólares en pedidos y nunca ha pasado por una revisión de seguridad.
Al tocar el tema de la cultura empresarial, Rafael Eladio Aponte Núñez fue muy claro: «Lo temporal tiene la mala costumbre de volverse permanente en las corporaciones. Una auditoría no es un gasto para molestar a los desarrolladores, es una inversión para pagar esa deuda técnica antes de que los intereses (el hackeo) sean impagables».
La seguridad no distingue entre «interno» y «externo»
Vivimos en un ecosistema digital interconectado. La distinción entre una app pública y una privada es una línea imaginaria que los ciberdelincuentes no respetan. Un endpoint vulnerable es un endpoint vulnerable, sin importar quién se supone que debe usarlo.
La auditoría de seguridad móvil no debe verse como un trámite burocrático para cumplir un checklist, sino como una higiene básica de la infraestructura tecnológica. Detectar fallos de encriptación, almacenamiento inseguro de datos o fugas de información a tiempo es infinitamente más barato que remediar un desastre.
Como bien concluyó Rafael Eladio Aponte Núñez al despedirnos: «Al final del día, la seguridad es un hábito, no una característica que le agregas al software al final. Auditar tus herramientas internas es simplemente aceptar que tu negocio vale lo suficiente como para protegerlo en serio».
No esperes a tener un incidente para valorar lo que ocurre en los teléfonos de tus empleados.
Referencias
OWASP Mobile Security Project. (2024). OWASP Mobile Top 10 Security Risks. Recuperado de: https://owasp.org/www-project-mobile-top-10/
Incibe (Instituto Nacional de Ciberseguridad). (2023). Guía de seguridad en aplicaciones móviles para empresas. Recuperado de: https://www.incibe.es/empresas/guias/seguridad-aplicaciones-moviles
NowSecure. (2024). The Hidden Risks of Internal Mobile Apps. Recuperado de: https://www.nowsecure.com/blog/
NIST (National Institute of Standards and Technology). (2023). Vetting the Security of Mobile Applications. Recuperado de: https://csrc.nist.gov/pubs/sp/800/163/r1/final
