completely

Protegerse contra la Manipulación de Datos (Tampering)
Puedes proteger el código base aún más detectando los
intentos de manipulación en la aplicación y respondiendo a
esos ataques. El código criptográfico siempre debe utilizar
algoritmos de cifrado estándar relativamente seguros (como
AES o ECC) pero, ¿qué pasa si un atacante puede encontrar las
claves de cifrado en tu archivo binario o en memoria en tiempo
de ejecución? Esto podría resultar en que el atacante tenga
acceso a contenido valioso. Incluso si utilizas criptografía de
clave pública y solo se expone una parte del par de claves,
todavía tienes que considerar lo que ocurriría si un atacante
intercambiara esa clave por otra de la que él conociera la otra
mitad. Necesitas una técnica para detectar cuándo el código ha
sido manipulado. Hay herramientas disponibles que encriptan/
desencriptan código sobre la marcha, llevan a cabo sumas de
verificación contra el código para detectar su manipulación, y
reaccionan cuando el código ha cambiado.
Las comunicaciones entre la aplicación móvil y los servicios
de backend pueden ser monitorizadas y pirateadas. Incluso
cuando se utiliza HTTPS, un proxy web interceptor (como
Paros) puede ser configurado en una conexión WiFi para
que inspeccione el tráfico encriptado. Los atacantes pueden
entonces manipular los datos en tránsito, con fines de lucro o
entretenimiento. Así que, si se están enviando datos realmente
sensibles a través de HTTPS, considera encriptar/desencriptar
datos en la aplicación móvil y en el servidor, de modo que los
rastreadores de red solamente puedan ver datos cifrados.
Protegiendo Algoritmos Criptográficos
Una herramienta activa contra la manipulación puede ayudar
a detectar o prevenir algunos ataques a claves criptográficas,
pero no permitirá que las claves permanezcan siempre ocultas.
La criptografía de caja blanca tiene por objeto aplicar los
Seguridad
188