OWASP Mobile Application Security Verification Standard (Español)

Con el tiempo, la industria ha conseguido un mejor control del panorama de amenazas móviles. Resulta que la seguridad móvil tiene que ver con la protección de los datos: las aplicaciones almacenan nuestra información personal, imágenes, grabaciones, notas, datos de cuentas, información empresarial, ubicación y mucho más. Actúan como clientes que nos conectan con los servicios que utilizamos a diario, y como centros de comunicación que procesan todos y cada uno de los mensajes que intercambiamos con otros.

Por lo tanto, un estándar de seguridad para aplicaciones móviles debe centrarse en la forma en
que las aplicaciones móviles manejan, almacenan y protegen la información sensible. A pesar de que los sistemas operativos móviles modernos como iOS y Android ofrecen buenas APIs para el almacenamiento y la comunicación de datos seguros, éstas deben ser incluidas en las aplicaciones y usadas correctamente para ser efectivas.

El Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS) es un esfuerzo comunitario para establecer un marco de requisitos de seguridad necesarios para diseñar, desarrollar y probar aplicaciones móviles seguras en iOS y Android.

El objetivo general del MASVS es ofrecer una línea de base para la seguridad de las aplicaciones móviles (MASVS-L1), mientras que también permite la inclusión de medidas de defensa en profundidad (MASVS-L2) y protecciones contra las amenazas del lado del cliente (MASVS-R). El MASVS está pensado para lograr lo siguiente:

• Proveer requerimientos para arquitectos y desarrolladores de software que buscan desarrollar aplicaciones móviles seguras;
• Ofrecer un estándar para que la industria pueda utilizar en las revisiones de seguridad de aplicaciones móviles;
• Clarificar el rol de los mecanismos de protección de software en la seguridad móvil y
• proporcionar requerimientos para verificar su efectividad;
• Proporcionar recomendaciones específicas sobre el nivel de seguridad que se recomienda para los diferentes casos de uso.

Esta traducción de MASVS al español de Martín Marsicano (@MarsicanoMartin) es la culminación del esfuerzo de la comunidad y la retroalimentación con la industria.

Los documentos se pueden descargar desde aquí

• Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS) [PDF]
• https://github.com/OWASP/owasp-masvs/tree/master/Document-es
• https://owasp.slack.com/messages/project-mobile_omtg/details/
• http://owasp.herokuapp.com/

Secciones del documento

• Prefacio
• Frontispicio
• Uso de MASVS
• Evaluación y Certificación
• V1: Requisitos de Arquitectura, Diseño y Modelado de Amenazas
• V2: Requerimientos en el Almacenamiento de datos y la Privacidad
• V3: Requerimientos de Criptografía
• V4: Requerimientos de Autenticación y Manejo de Sesiones
• V5: Requerimientos de Comunicación a través de la red
• V6: Requerimientos de Interacción con la Plataforma
• V7: Requerimientos de Calidad de Código y Configuración del Compilador
• V8: Requerimientos de Resistencia ante la Ingeniería Inversa
• Apéndice A: Glosario
• Apéndice B: Referencias

Esperamos que este estándar evolucione con el tiempo y agradecemos la retroalimentación de la comunidad.