Aprende ¡Muy fácil! a crear un entorno para las pruebas de penetración (pentesting) móvil para Android. Sólo necesitas Virtual Box junto con Santoku.

Para analizar y explotar vulnerabilidades en aplicaciones de Android, primero tenemos que configurar un entorno para las pruebas, a continuación crearemos un laboratorio de Pentesting móvil.

1. Requisitos para el entorno Pentesting Android

  • Virtual Box o VMware
  • Santoku OS (que viene con SDK preinstalados)
  • GenyMotion (para crear un dispositivo virtual Android (AVD))
  • Puede realizar pruebas con una aplicación vulnerable para Android  como InsecureBankv2



Comencemos …

Así que primero descargas Santoku OS desde el enlace de abajo. Santoku OS está diseñado especialmente para pruebas de penetración móvil e investigación forense. Santoku viene con SDK preinstalados y otras utilidades.

Descargar Santoku Community Edition

También será necesario descargar Virtual Box, muy recomendable para que funcione GenyMotion. Les dejo el enlace de descarga:

Descargar Virtual Box

2. Configuración de Laboratorio Pentesting para Android: VirtualBox

  • Después de descargar Santoku abra Virtual Box y cree una nueva máquina virtual para él.
Santoku OS en VirtualBox

Santoku OS en VirtualBox

  • Luego, seleccione la cantidad de RAM para Santoku, se recomienda 786MB pero tomé 2GB, puede seleccionar según sus propias necesidades y hacer clic en Next
  • En la siguiente sección, seleccione el tipo de disco duro según su necesidad o seleccione VMDK (Disco de máquina virtual)
VirtualBox Tipo de disco duro

VirtualBox: Tipo de disco duro

  • Ahora, para instalar Santoku, haga clic derecho en Santoku VM e ir a la configuración de Almacenamiento luego seleccione y haga clic en el icono del disco justo delante de la unidad óptica en la sección de atributos. Posteriormente navegue y seleccione el archivo ISO descargado y haga clic en Aceptar
VirtualBox - Almacenamiento selección ISO

VirtualBox – Almacenamiento selección ISO

  • También puede seleccionar el tamaño del disco duro que desee. (puede ver más detalle en el tutorial de la sección final)
  • Finalmente, inicie esa máquina virtual y, luego de algunos segundos, aparecerá el menú de arranque de Santoku, seleccione “Install- start th installer directly
Instalación de Santoku OS en VirtualBox

Instalación de Santoku OS en VirtualBox

3. Configuración de Laboratorio Pentesting para Android: Santoku

  • Ahora comenzará el proceso de instalación de Santoku, seleccione su idioma preferido y luego haga clic en Continuar
Santoku OS: Idioma Preferido

Santoku OS: Idioma Preferido

  • Seleccione su idioma preferido para el teclado. En el Tipo de Instalación elija “Borrar disco e Instalar Santoku

Borrar disco e Instalar Santoku

  • ¿Quién es usted?, nombre su máquina virtual y establezca una contraseña segura para el acceso de inicio de sesión. También puede seleccionar Iniciar sesión automáticamente, pero no es una buena opción.

Quién es usted en Santoku OS

  • Ahora Santoku comenzará a copiar archivos e instalar. Siéntese y espere unos minutos después de que se reinicie.
  • En la imagen de abajo está nuestro Santoku instalado, eso significa que nuestra primera parte está completa.
Cómo instalar Santoku OS

Cómo instalar Santoku OS

4. Configuración de Laboratorio Pentesting para Android: GenyMotion

Ahora puedes descargar Genymotion desde el siguiente enlace:

Descargar Genymotion Web Oficial


Básicamente, Genymotion es un emulador de Android relativamente rápido que viene con Android pre-configurado con aceleración de hardware OpenGL adecuada para la prueba de aplicaciones.

  • Después de instalar Genymotion, vaya a https://www.genymotion.com/account/create/ y cree una cuenta gratuita allí y verifique su ID de correo electrónico. A continuación, regrese al software de escritorio genymotion e inicie sesión con las credenciales creadas.
Genymotion: Inicio de Sesión

Genymotion: Inicio de Sesión

  • Ahora, para crear un AVD, haga clic en “Add“, aparecerá un nuevo menú donde podrá seleccionar dispositivos Android de acuerdo con las marcas de los dispositivos y los números de versión.


  • Seleccione el dispositivo de acuerdo a su necesidad y haga clic en Next. Luego, en esta sección, revise la configuración del dispositivo móvil Android y finalmente cree un dispositivo virtual.
Genymotion: Virtual Device

Genymotion: Virtual Device

  • Ahora el dispositivo comenzará a descargar los datos y desplegar el dispositivo Android virtual. (Tendrá que esperar unos minutos de acuerdo a su velocidad de internet)
  • Aquí puede ver que creé 1 dispositivo virtual. Ahora selecciona el dispositivo y ejecútalo (Clic en Start).
Start Virtual Device Genymotion

Start Virtual Device Genymotion

  • Finalmente, aquí está nuestro Dispositivo Virtual Android.
Dispositivo Virtual Android Google Nexus

Dispositivo Virtual Android: Google Nexus

5. Creando un Laboratorio de Pentesting para Android

Para probar nuestra aplicación en busca de cualquier tipo de vulnerabilidad, necesitamos Android SDK porque en nuestra fase de prueba usaremos la línea de comando ADB (Android Debugger Bridge) casi siempre. Y Android SDK está preinstalado en Santoku OS. Entonces, ahora vamos a conectar Santoku a nuestro Dispositivo Virtual Android.

Dispositivo Virtual y su IP

Puede comprobar la IP del dispositivo virtual Android en la imagen anterior.
  • Ahora abra la línea de comando en Santoku y escriba:
adb connect <IP del dispositivo virtual Android>
  • Puede verificar si el dispositivo está conectado o no, escriba:
adb devices

Entonces, podemos ver que esa lista muestra que hay 1 dispositivo conectado.

Conexión de Santoku a Genymotion

Conexión de Santoku a Genymotion

Y aquí también puede ejecutar shell para ingresar en el móvil Android escribiendo:

adb shell

Así que aquí se completa la creación de un laboratorio de pruebas de penetración para la aplicación de Android. Estén atentos ahora a los próximos artículos sobre penetration testing y hacking en aplicaciones de Android.

6. Tutorial: Lab Pentesting con VirtualBox, Santoku y GenyMotion

¡Mantente actualizado!

Suscríbete a nuestro boletín semanal...

Suscríbete a nuestro boletín electrónico para recibir artículos útiles y ofertas especiales. No te perderás absolutamente de nada!

Enviaremos solamente boletines al email y no compartiremos su email.