⚠️¡ATENCIÓN!⚠️ Se realizarán otras actividades simultáneamente a esta, consulta la agenda.
Pentesting Android en claro: del Manifest al hallazgo
28/2/2026 9:30-11:30
Aula: 001 – Aulario II
Nivel intermedio
Carolina Gómez Uriarte
Fundadora & Offensive Security Engineer en Cyber0asis
Carolina Gómez es una profesional de la ciberseguridad con más de 9 años de experiencia, especializada en hacking ético e ingeniería social. Actualmente trabaja en una multinacional del sector de las telecomunicaciones, participando en proyectos de auditoría, pentesting y mejora de la seguridad corporativa. Es fundadora de Cyber0asis, una empresa dedicada a la formación y divulgación en ciberseguridad para startups y pymes, enfocada en la creación de entornos digitales seguros. Es también coautora del libro “Social Hunters: Hacking con ingeniería social en el Red Team” (0xWord). Ha sido directora de Sh3llCON durante tres ediciones y ponente en eventos nacionales e internacionales como Navaja Negra, Mundo Hacker Day y C1b3rWall Academy. Además, colabora como docente en distintos programas de formación en ciberseguridad. Cuenta con certificaciones como CEH, eJPT, CRTP, PMPA, CASA, CiAPT, CAAPT y Auditor Interno ISO 27001:2022.
Resumen de la actividad
Taller 100% práctico para que el asistente salga con una guía clara y repetible de auditoría Android. Partiremos de un APK de laboratorio y, usando OWASP MAS/MSTG como marco, cubriremos: análisis estático exprés (Manifest: componentes exportados, permisos, flags; búsqueda de credenciales/URLs y trazas de depuración; señales de ofuscación) y dinámico esencial (ADB básico, proxificar con Burp, verificación de almacenamiento y logs —tokens/datos en SharedPreferences y WebView— y chequeo de autenticación/sesión como JWT). Revisaremos superficies típicas con WebView y deeplinks/intents. Si el tiempo lo permite, breve demo de Frida/Objection para entender el pinning.