- Más de la mitad de las aplicaciones para iOS y un tercio de las de Android filtran datos sensibles.
- Las herramientas de seguridad tradicionales no protegen contra ataques dentro de la propia aplicación.
- Los dispositivos móviles comprometidos incrementan significativamente el riesgo de explotación de APIs.
La investigación de Zimperium señala que las aplicaciones móviles son el principal campo de batalla para los ataques basados en APIs, generando serios riesgos de fraude y robo de datos para las empresas. La mitad de las aplicaciones para iOS y un tercio de las de Android filtran información sensible, ofreciendo a los atacantes acceso directo a sistemas críticos para el negocio.
A diferencia de las aplicaciones web, las apps móviles envían puntos finales de API y lógica de llamada a dispositivos no confiables, exponiéndolos a manipulación y ingeniería inversa. Esto permite a los atacantes interceptar tráfico, modificar la aplicación y hacer que las llamadas API maliciosas parezcan legítimas. Las defensas tradicionales, como firewalls o validación de claves API, no pueden proteger completamente contra estas amenazas internas. La protección de las APIs requiere ahora defensas dentro de la propia aplicación que aseguren el lado del cliente.
Además de la exposición de APIs, muchas aplicaciones manejan incorrectamente datos sensibles en los dispositivos, como el registro de consola, almacenamiento externo y almacenamiento local inseguro. Casi un tercio de todas las aplicaciones y el 37% de las 100 principales envían información personal identificable (PII) a servidores remotos, a menudo sin cifrado adecuado. Algunas aplicaciones incorporan SDKs capaces de exfiltrar datos en secreto, grabar interacciones de usuarios y capturar ubicaciones GPS. Para mantenerse seguro, se recomienda inspeccionar las aplicaciones en busca de registros inapropiados, verificar el cifrado del almacenamiento local, monitorizar el tráfico de red y revisar los permisos de las aplicaciones.