EKOPARTY trainings Miami 2026
MOBILE APPLICATION EXPLOITATION: ADVANCED ANDROID & IOS HANDS-ON TRAINING
Explotación avanzada de aplicaciones móviles y APIs en escenarios reales
Trainers: Juan Urbano y Juan Martínez Blanco
🗣 Español e Inglés
🕒 Horario: a confirmar
📆 18 y 19 de mayo (2 días)
📍ON SITE Miami
Descripción general:
Entrenamiento intensivo de dos días, completamente hands-on, enfocado en la explotación avanzada de aplicaciones móviles Android e iOS.
Durante el training, los participantes trabajarán sobre aplicaciones vulnerables diseñadas para reproducir escenarios reales, abarcando técnicas de bypass de protecciones, abuso de componentes expuestos, deep links inseguros, WebViews vulnerables, escenarios de Account Takeover (ATO) asociados a estas debilidades y fallas críticas en APIs de backend.
El entrenamiento prioriza contenidos técnicos en profundidad y escenarios que reflejan desafíos reales de la industria, incluyendo:
- Explotación avanzada de aplicaciones móviles.
- Bypass de protecciones client-side.
- Abuso de componentes expuestos e IPC.
- Explotación de APIs móviles y lógica backend.
- Integración entre análisis de binario, tráfico y lógica de negoc
El programa combina técnicas actuales ampliamente observadas en auditorías de aplicaciones bancarias y fintech.
Hacé click aquí para ver el temario y los requisitos
Metodología
- Alta proporción de contenido práctico: laboratorios, simulaciones,
ejercicios guiados y desafíos. - Orientación a que los participantes apliquen el conocimiento de inmediato
en su entorno profesional. - Equilibrio entre teoría avanzada, discusión de casos y práctica intensiva.
Requerimientos y condiciones
Conocimientos previos: El training está orientado a perfiles técnicos con experiencia previa en
seguridad ofensiva. Se recomienda que los participantes cuenten con:
- Experiencia básica o intermedia en pentesting.
- Conocimientos generales de Linux y uso de línea de comandos.
- Conocimientos sólidos de HTTP, APIs REST, autenticación y
autorización. - Familiaridad general con el funcionamiento de aplicaciones móviles
Android e iOS (no se requiere experiencia como desarrollador full-
time).
Requisitos técnicos – Android (Día 1):
Los participantes deberán contar con:
● Conocimientos básicos de:
○ estructura de un APK,
○ decompilación y recompilación con apktool,
○ lectura y modificación simple de SMALI.
● Conocimientos básicos de JavaScript y Python, utilizados para
scripting y automatización.
● Manejo inicial de Frida para:
○ adjuntarse a procesos,
○ enumerar clases y métodos,
○ crear hooks simples,
○ modificar retornos y parámetros.
● Conocimiento del uso de ADB para invocar Activities y
Services.
● Manejo básico de Android Studio para:
○ abrir y compilar un proyecto existente,
○ entender la estructura de una app Android,
○ implementar código simple para disparar intents y
servicios maliciosos.
Requisitos técnicos – iOS (Día 2):
Los participantes deberán contar con:
● Dispositivo iOS con jailbreak funcional.
● Conocimientos básicos de Frida en iOS para:
○ hookear métodos en Swift y Objective-C,
○ modificar retornos,
○ observar parámetros y flujos internos.
● Uso de Objection para exploración rápida de:
○ clases,
○ storage local,
○ keychain.
● Capacidad de analizar Info.plist, URL Schemes, Universal
Links y configuraciones de WebView / WKWebView.
● Manejo de Burp para:
○ interceptar tráfico HTTPS,
○ modificar requests y responses,
○ reproducir ataques sobre APIs móviles.
● Conocimiento práctico de vulnerabilidades de API como:
○ enumeración de usuarios,
○ IDOR,
○ BOLA,
○ BFLA.
Requerimientos técnicos
Hardware mínimo
Notebook con:
● Procesador i5/i7 o equivalente,
● 16 GB de RAM (recomendado),
● Al menos 50 GB de espacio libre.
● Dispositivo Android físico o emulador compatible.
● Dispositivo iOS con jailbreak
Software y configuraciones previas:
● Sistema operativo: Linux o macOS.
● Android Studio instalado.
● Burp Suite.
● Python 3.
● Node.js.
● Frida y Objection instalados y funcionando.
● Herramientas auxiliares (apktool, adb, etc.).
Setup previo:
● Antes del training se enviará a los participantes un documento
detallado con:
● Pasos para preparar el entorno Android,
● Pasos para preparar el entorno iOS,
● Validaciones para comprobar que Frida y Burp funcionan correctamente.
Agenda de contenidos
Día 1 – Android: Explotación de aplicaciones móviles
● Configuración inicial Agentes IA y MCPs.
● Introducción práctica a Frida y creación de scripts de manera manual
y con agentes IA realizando ingeniería inversa.
● Bypass de root detection y emulator detection (estático y dinámico).
● Bypass de anti-Frida y SSL pinning.
● Deep links con redirección interna en WebView.
● Explotación de Activities exportadas.
● Explotación de Services exportados.
● Fragment Injection mediante intents o deep links.
● Task Hijacking mediante apps maliciosas.
Día 2 – iOS: Explotación de APIs y flujos móviles
● Configuración inicial Agentes IA y MCPs.
● Introducción práctica a Frida y creación de scripts de manera manual
y con agentes IA realizando ingeniería inversa.
● Bypass dinámico de jailbreak detection.
● Bypass dinámico de SSL pinning.
● Deep links / URL schemes inseguros usados como entrada a
WebView.
● Inyección de contenido y XSS interno en WebView.
● Exposición de API-keys sensibles en Info.plist.
● Enumeración de usuarios en APIs móviles.
● IDOR / BOLA en APIs backend.
● BFLA y bypass de controles de función en APIs
Metodología práctica
Laboratorios guiados paso a paso.
● Challenges incrementales con reutilización de técnicas.
● Escenarios de simulación basados en casos reales.
● Uso intensivo de herramientas profesionales como Frida, Objection, Burp
Suite, apktool y Android Studio.
● Discusión técnica de impacto y explotación realista.oitation.
Requisitos de equipamiento y producción
● Red aislada para prácticas.
● Acceso a internet.
● No se requieren dispositivos de hardware especiales.
● No se requiere infraestructura cloud adicional por parte del organizador agregado esperado.
Valor agregado esperado
Este training se diferencia por:
● Ser 100% práctico y orientado a escenarios reales.
● Combinar explotación móvil con fallas críticas de API backend.
● Evitar ejemplos artificiales y centrarse en vectores observados en auditorías
reales.
● Enseñar técnicas reutilizables que los participantes pueden aplicar
inmediatamente en su trabajo.
Al finalizar el training, los participantes podrán ejecutar evaluaciones avanzadas de
seguridad móvil, reproducir ataques reales sobre Android e iOS y mejorar
significativamente la profundidad técnica de sus auditorías.
Importante: es necesario contar con computadora portátil (laptop) al momento de asistir a los Trainings.
Inscribiendote a los Ekoparty Trainings tenés de regalo una entrada para Ekoparty Miami 2026.
Consultas: ¿Tenés alguna duda sobre el training o sobre los planes de pago?
Escribinos a: capacitacion@ekoparty.org
Trainer:
Juan Urbano
Founder justmobilesec.com
Es Fundador de Just Mobile Security, empresa dedicada al pentesting móvil y ciberseguridad de aplicaciones y Cybersecurity Research enfocado en Aplicaciones Móviles. Además, es especialista en ciberseguridad con más de 15 años de experiencia, con foco en apps móviles desde hace más de 8 años.
También es trainer en múltiples espacios, y organizador del Mobile Hacking Space en
Ekoparty. Actualmente, dentro del equipo de Just Mobile Security está desarrollando una herramienta para análisis estático, dinámico y de management de aplicaciones móviles junto a su equipo.
Juan Martinez Blanco
Security Consultant at justmobilesec.com
Es Consultor de Ciberseguridad con experiencia previa como desarrollador Android. Desde 2021 se dedica al análisis y explotación de aplicaciones móviles, realizando también evaluaciones en entornos web, redes y revisiones de código fuente.
Es trainer del curso Mobile Applications Penetration Test desde 2023 y colabora con el espacio Mobile Hacking Space en Ekoparty desde 2020, donde participó en la creación de challenges y actividades CTF.
Ha brindado charlas técnicas en Ekoparty y publica regularmente en el blog de Just Mobile Security, con artículos destacados como Deep Links & WebViews Exploitations y Magisk for Mobile Pentesting: Rooting Android Devices and Building Custom Modules.