OWASP Mobile Top 10

API keys, passwords o tokens hardcodeados directamente en el código fuente de la app móvil — fácilmente extraíbles al decompilar el bundle.

SDKs vulnerables, librerías nativas desactualizadas o módulos de terceros comprometidos introducen riesgos de seguridad desde tus dependencias.

Apps móviles con autenticación débil — guardando sesiones de forma insegura, sin refresh de tokens o checks de autorización solo en el cliente.

Apps móviles que no validan input de usuario o sanitizan output son vulnerables a ataques de inyección, corrupción de datos y comportamiento inesperado.

La app móvil transmite datos sensibles por HTTP en vez de HTTPS, o acepta certificados SSL inválidos — habilitando ataques man-in-the-middle en WiFi público.

La app móvil recolecta, almacena o transmite información personal (PII) sin consentimiento adecuado, encriptación o prácticas de minimización de datos.

La app móvil carece de ofuscación de código, anti-tampering o protecciones anti-debugging — facilitando ingeniería inversa, modificación y redistribución.

La app móvil sale con modo debug habilitado, permisos excesivos, activities exportadas o backup permitido — exponiendo datos y funcionalidad a otras apps.

Datos sensibles como tokens, passwords o información personal guardados en texto plano en el dispositivo — en AsyncStorage, SharedPreferences o bases de datos locales sin encriptación.

La app móvil usa algoritmos de encriptación débiles, keys hardcodeadas o implementa criptografía custom — dejando datos encriptados efectivamente desprotegidos.