SixHack Academy Formación ofensiva
ES Español EN English
Entrar
Activo MXS

Mobile eXploitation Specialist

99.90
⬇ Descargar índice (PDF) Volver al catálogo

Sobre este curso

Sobre esta certificación

MXS (Mobile eXploitation Specialist) es la certificación de SixHack Academy para aprender auditoría ofensiva de aplicaciones móviles desde cero. El objetivo es que entiendas cómo funciona una app Android o iOS por dentro, aprendas a interpretar su comunicación con APIs y seas capaz de detectar vulnerabilidades frecuentes, validarlas con una prueba reproducible y documentarlas de forma profesional.

Durante la certificación trabajaremos con una forma de hacer auditoría práctica y ordenada. Primero aprenderás a montar tu laboratorio y a mapear la aplicación, después a identificar entradas, flujos y puntos sensibles, y a partir de ahí a plantear hipótesis y confirmarlas con evidencia clara. Esto es clave porque muchas apps dependen de llamadas a APIs y gran parte del riesgo real está en cómo el backend valida lo que la app pide.

¿Para quién es MXS?

MXS está pensado para personas que quieren empezar en pentesting móvil sin experiencia previa y llegar a un nivel donde puedan auditar una app completa con criterio. También encaja muy bien si vienes de seguridad web y quieres trasladar tu metodología a mobile, o si estás estudiando y quieres una base sólida para empezar a auditar aplicaciones reales. Y si vienes de desarrollo móvil o backend, te ayudará a entender por qué ocurren los fallos, cómo se verifican y cómo se corrigen con criterio.

Lo que aprenderás

Empezaremos por los fundamentos que de verdad se usan cuando auditas una aplicación móvil. Verás cómo se organiza un entorno de pruebas con emuladores o dispositivo, cómo se analiza tráfico y cómo se construye un mapa real de la API a partir de las llamadas de la app.

Después entraremos en comunicaciones de forma práctica. Rutas, parámetros, sesiones, autenticación, tokens, TLS y los detalles que suelen marcar la diferencia cuando algo “parece raro” pero todavía no sabes por dónde tirar. Aprenderás a detectar patrones de control de acceso y a probar autorización con método, porque en móvil es muy común que los fallos más críticos estén en la parte de API.

Trabajarás con herramientas de auditoría manual como se usan en el mundo real, y las acompañaremos con utilidades de apoyo para análisis estático y triage como jadx y MobSF para ganar velocidad sin perder control ni rigor. También aprenderás a pensar como auditor, dónde mirar primero, cómo priorizar, qué señales importan de verdad y cómo evitar conclusiones por intuición cuando todavía no hay pruebas.

Vulnerabilidades que aprenderás a detectar y validar

A lo largo de la certificación aprenderás a detectar y validar casos típicos como exposición de información y configuraciones inseguras, manipulación de parámetros y estados, fallos de autenticación y problemas de lógica de negocio. Verás en profundidad el control de acceso y escenarios de IDOR o autorización rota, además de pruebas sistemáticas sobre sesiones y tokens. También trabajarás superficies específicas de móvil como exposición de datos sensibles en almacenamiento local, deep links y universal links, WebViews, comunicación entre componentes y riesgos habituales derivados de SDKs de terceros. El objetivo será siempre llegar a una prueba reproducible con evidencia clara.

Cómo convertir el trabajo técnico en un informe profesional

No solo se trata de encontrar fallos, sino de saber explicarlos. Aprenderás a dejar evidencia reproducible con request y response, a describir impacto y riesgo de forma clara tanto para perfiles técnicos como no técnicos, y a priorizar hallazgos con recomendaciones realistas y verificables.

Qué te llevarás al finalizar

Terminarás con la capacidad de enfrentarte a una aplicación nueva, entenderla, mapearla, probarla con método y documentar resultados como en una auditoría real. Te llevarás el hábito de trabajar con evidencia ordenada, pasos reproducibles y conclusiones defendibles. Y tendrás una base sólida para avanzar hacia niveles intermedios y avanzados en seguridad móvil con criterio, no solo siguiendo listas.

Marco ético y uso responsable

MXS se imparte con un propósito estrictamente formativo. Las técnicas aprendidas deben aplicarse solo en laboratorios, sistemas propios o sistemas con permiso explícito. El objetivo es aprender a auditar y mejorar la seguridad, no causar daño ni acceder a información sin autorización.