¿Sabías que más del 60% de los ciberataques en 2025 tuvieron como objetivo dispositivos móviles? Smartphones y tablets almacenan información sensible: desde credenciales bancarias hasta datos personales, convirtiéndolos en un blanco atractivo para ciberdelincuentes. El pentesting (o prueba de penetración) en dispositivos móviles es una técnica para descubrir y corregir vulnerabilidades antes de que sean explotadas.
En este artículo, te explicaré qué es el pentesting móvil, cómo se configura el entorno paso a paso, y cuáles son las vulnerabilidades más conocidas, según el OWASP, para proteger tu información y aprender.
Modo Root en Android Studio usando Magisk
Para este ejemplo se usará AndroGoat es una aplicación vulnerable desarrollada en Kotlin. Sirve como herramienta de seguridad para comprender, y explotar las vulnerabilidades en la plataforma Android.
Se seleccionará el módulo de detección de root para probar que el dispositivo tiene o no habilitado esta sección.
Se da clic al check Root y en este caso muestra que no está habilitado el modo root.
Lo siguiente es clonar el repositorio de rootAVD y dependiendo del sistema operativo se debe utilizar en la el archivo rootAVD con la extension .sh o .bat
En este caso utilizaré él .bat para Windows, se ejecute él .bat para listar los ejemplos a instalar.
Utilizaré esta opción básica con Google Play Store
Una vez terminado el script de ejecutarse, nos aparecerá una nueva aplicación llamada Magisk, pasamos a ejecutarlo.
Aceptamos los nuevos requisitos de configuración.
Ahora pasamos a ejecutar de nuevo nuestro check de root dentro del AndroGoat, veremos un mensaje similar a este.
Además, esta charla de Anyway Security que dará más contexto sobre este tipo de Auditoria.