保護DataHogo
Enciclopedia de Seguridad/OWASP Mobile Top 10
mediumCWE-327M10:2024

Criptografía Insuficiente

La app móvil usa algoritmos de encriptación débiles, keys hardcodeadas o implementa criptografía custom — dejando datos encriptados efectivamente desprotegidos.

Cómo Funciona

La criptografía insuficiente en apps móviles incluye usar algoritmos deprecados (DES, MD5, SHA1), hardcodear keys de encriptación en el código fuente (fácilmente extraíbles por decompilación), usar modo ECB, IVs estáticos, o crear tu propia crypto. Aunque los datos estén encriptados, usar crypto débil es equivalente a no tener encriptación porque los atacantes la pueden romper rápido. Las keys hardcodeadas son el problema más común — la key está ahí mismo en el código decompilado.

Código Vulnerable
// Hardcoded key + weak algorithm
const key = 'mySecretKey12345';
const cipher = crypto.createCipher('des', key);
let encrypted = cipher.update(data, 'utf8', 'hex');
encrypted += cipher.final('hex');
Código Seguro
// Secure: AES-256-GCM with random key from Keystore
import { generateSecureRandom } from 'react-native-securerandom';
const iv = await generateSecureRandom(16);
const cipher = crypto.createCipheriv('aes-256-gcm', keyFromKeystore, iv);

Ejemplo Real

En 2016, investigadores encontraron que la app móvil de Ashley Madison encriptaba datos con una key hardcodeada idéntica en todas las instalaciones. Después de la brecha, todos los datos 'encriptados' fueron trivialmente desencriptables.

Cómo Prevenirlo

  • Usa AES-256-GCM para encriptación simétrica
  • Guarda keys de encriptación en el Keystore/Keychain de la plataforma, nunca hardcodees
  • Usa generadores de números aleatorios seguros para IVs y nonces
  • Nunca implementes algoritmos criptográficos custom

Tecnologías Afectadas

MobileReact NativeFlutter

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Uso Incorrecto de Credenciales

critical

API keys, passwords o tokens hardcodeados directamente en el código fuente de la app móvil — fácilmente extraíbles al decompilar el bundle.

CWE-798M1:2024

Seguridad de Cadena de Suministro Móvil

medium

SDKs vulnerables, librerías nativas desactualizadas o módulos de terceros comprometidos introducen riesgos de seguridad desde tus dependencias.

CWE-1395M2:2024

Autenticación/Autorización Insegura

high

Apps móviles con autenticación débil — guardando sesiones de forma insegura, sin refresh de tokens o checks de autorización solo en el cliente.

CWE-287M3:2024

Validación Insuficiente de Input/Output

medium

Apps móviles que no validan input de usuario o sanitizan output son vulnerables a ataques de inyección, corrupción de datos y comportamiento inesperado.

CWE-20M4:2024