comunidad
evento
comunidad
hacking ético

SecLabs Mobile Edition: 40 profesionales aprenden hacking ético móvil en Digitaliza Madrid

Secra y Secur0 reúnen a 40 profesionales en Digitaliza Madrid para una jornada de hacking ético móvil con casos prácticos reales sobre aplicaciones de startups.

Javier Paradelo25 de abril de 20268 min de lectura

Cuando empezamos a darle vueltas al SecLabs Mobile Edition teníamos una idea muy clara: queríamos montar el tipo de evento al que nos hubiera gustado ir cuando estábamos empezando en este sector. Sin entrada de pago, sin filtros artificiales, sin powerpoints vacíos. Una jornada en la que cualquiera con ganas de aprender pudiera sentarse, abrir el portátil y hackear cosas de verdad junto a gente que se dedica a esto profesionalmente.

El 25 de abril de 2026, 40 personas se reunieron en el Centro de Innovación Digitaliza Madrid para hacer exactamente eso. Y lo que pasó esa mañana y esa tarde nos confirmó que la comunidad de ciberseguridad en Madrid tiene mucho más recorrido del que parece desde fuera.

Foto de grupo de los asistentes al SecLabs Mobile Edition en Digitaliza Madrid

Por qué esta formación

La formación seria en ciberseguridad ofensiva sigue siendo, en 2026, mayoritariamente cara, en inglés y orientada a quienes ya están dentro. Eso deja fuera a un montón de gente con potencial real: estudiantes de últimos cursos, perfiles de IT con curiosidad, profesionales que quieren reconvertirse, gente que se ha sacado certificaciones por su cuenta y no encuentra dónde aplicarlas en un entorno controlado.

SecLabs nació con esa idea: crear espacios gratuitos, presenciales y técnicos donde la gente que está aprendiendo pueda trabajar codo con codo con gente que ya está dentro. La edición de este abril la dedicamos a seguridad móvil (Android e iOS), con Secur0 como co-organizadores.

Que la Comunidad de Madrid cediera el espacio del Centro de Innovación Digitaliza Madrid fue clave. Es un sitio pensado para esto: para que la innovación pase fuera de las oficinas habituales y entre con público real. Nosotros pusimos el contenido técnico y los formadores, ellos pusieron una sala que tiene auditorio, salas de trabajo y mesas con corriente para 40 portátiles encendidos seis horas seguidas.

La apertura: Alejandro Las Heras

Que un evento gratuito de hacking ético abra con el Consejero Delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid no es algo que pase todos los días. Y francamente, hasta el día anterior, no teníamos del todo claro cómo iba a salir.

Salió bien. Alejandro Las Heras Vázquez dedicó los primeros minutos del evento a hablar de lo que ve desde su posición: una región que ha pasado de tratar la ciberseguridad como un coste a tratarla como una capacidad estratégica, y un ecosistema de empresas locales que está creciendo más rápido de lo que la mayoría de la gente percibe. No fue una intervención de cumplido. Hubo datos, hubo posicionamiento y hubo una invitación clara a que la comunidad técnica empuje desde abajo lo que las instituciones intentan empujar desde arriba.

Alejandro Las Heras Vázquez, Consejero Delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid, durante la apertura del SecLabs Mobile Edition

Para los que estábamos organizando, fue un recordatorio incómodamente útil de que estos eventos no son sólo "actividades de comunidad". Forman parte de algo más grande: el músculo técnico que una región necesita si quiere tener cualquier tipo de soberanía digital.

La mañana: hacking ético de aplicaciones móviles

Después del café arrancó la parte técnica. Tres horas largas de pentesting de aplicaciones Android e iOS, con metodología, herramientas y demostraciones reales. Nada de slides genéricas: el contenido era el mismo (ajustado al formato del evento) que utilizamos en proyectos de cliente cuando auditamos apps móviles para empresas.

Cubrimos los bloques que de verdad importan en este tipo de auditorías:

  • Configuración del laboratorio sobre AVD rooteado con Magisk, e instalación del certificado de Burp a nivel system. Si te interesa el paso a paso completo, lo publicamos en otro post: cómo rootear un AVD de Android para pentesting con Burp Suite.
  • Análisis estático: extracción de APKs, decompilación con jadx, búsqueda de secretos hardcodeados, análisis del manifest y revisión de los componentes exportados.
  • Análisis dinámico: interceptación HTTPS, bypass de SSL pinning con Frida y Objection, instrumentación en tiempo de ejecución, detección y evasión de controles anti-root y anti-debugging.
  • Aproximación a iOS: diferencias prácticas frente a Android, Frida sobre dispositivos jailbreak, herramientas como Cycript y Objection en el ecosistema de Apple.

Javier Paradelo impartiendo la formación técnica de hacking ético móvil durante el SecLabs Mobile Edition

Lo que más me gustó, y esto lo digo desde la silla del que estaba al frente, fueron las preguntas. Eran buenas. No del tipo "y eso para qué sirve", sino del tipo "vale, pero si la app valida la integridad del binario antes de ejecutarse, ¿cómo lo abordas?". Cuando recibes ese tipo de preguntas en una sala de 40 personas que en teoría está aprendiendo, sabes que el nivel medio del sector está subiendo.

La tarde: Hackeando Startups

La parte que de verdad nos diferenciaba, y que es por la que un montón de gente se apuntó, era la sesión "Hackeando Startups" de la tarde. La idea es sencilla de contar y muy difícil de ejecutar: trabajar sobre aplicaciones reales de startups, con autorización previa de las empresas, en un entorno controlado, buscando vulnerabilidades reales en código que está en producción.

Esto no se hace en formaciones normales. La mayoría de cursos de pentesting móvil te ponen una app vulnerable de juguete (DVNA, InsecureBank, MobSecurity Lab) que está hecha precisamente para que encuentres lo que el autor del curso ha escondido ahí. Es útil para aprender la mecánica, pero no se parece en nada a lo que pasa cuando abres una app que alguien ha programado para ganar dinero, no para ser auditada.

Asistentes trabajando sobre aplicaciones reales de startups durante la sesión Hackeando Startups del SecLabs Mobile Edition

Coordinar esto fue lo más complicado del evento. Hubo que cerrar acuerdos con startups dispuestas a someter sus apps a una sesión de auditoría grupal, definir muy bien el scope (qué se podía tocar y qué no), preparar entornos de pruebas aislados y dejar todo blindado a nivel legal antes de que nadie lanzase la primera petición.

El resultado mereció la pena. Los asistentes se llevaron, sin exagerar, la experiencia más cercana a un día de trabajo real de pentester móvil que se puede tener en cuatro horas. Algunas de las cosas que salieron en sala:

  • Endpoints de API expuestos sin autenticación adecuada que devolvían datos de otros usuarios cambiando un id en la URL.
  • Tokens de sesión almacenados en shared preferences sin cifrado adicional.
  • Comprobaciones de root y debug que se podían anular con un hook de tres líneas en Frida.
  • Comunicación con servicios de terceros donde el secreto de cliente viajaba en el binario.

Todo, recordemos, con autorización explícita y dentro de un entorno controlado. La parte importante de un evento así no es sólo encontrar fallos: es entender cómo se reportan, cómo se priorizan y cómo se traducen a un informe que la empresa pueda accionar el lunes siguiente.

El balance

40 personas. Nivel técnico medio-alto. Cero incidencias. La proporción de gente con preguntas concretas vs. gente que estaba sólo "viéndolo desde fuera" fue altísima. Hubo intercambios entre asistentes durante las pausas que en muchos casos arrancaron colaboraciones, ofertas o simplemente conexiones útiles para sus carreras.

Para nosotros, organizadores, el aprendizaje principal es uno: hay demanda real de este formato. Hay gente que quiere aprender en serio y que no encuentra dónde hacerlo a un precio razonable o, directamente, gratis. Y la combinación de "ponentes que trabajan en esto a diario" + "casos reales con autorización" + "espacio físico decente" + "comunidad presente" funciona.

Si te lo perdiste

Va a haber más ediciones de SecLabs. No tenemos calendario fijo (preferimos que cada edición tenga sentido por su contenido antes que cumplir un cronograma artificial), pero ya estamos trabajando en la siguiente. Las próximas ediciones tocarán probablemente cloud, web moderna y red team, en ese orden o en otro.

Si quieres enterarte cuando abramos inscripciones del próximo SecLabs:

  • LinkedIn de Secra Solutions: ahí sale el aviso oficial primero.
  • Web de Secra y nuestro blog: mantenemos un anuncio durante las semanas previas a cada edición.
  • Contáctanos si representas a una empresa que quiere ofrecer su app para una futura sesión de "Hackeando" o si quieres que el equipo de Secra imparta una formación cerrada para tu organización.

Gracias a todas las personas que se pasaron por Digitaliza Madrid el día 25, a la Agencia de Ciberseguridad de la Comunidad de Madrid por la apertura, a Secur0 por co-organizar y a las startups que dieron la cara para que se pudiera hacer una tarde como la de "Hackeando Startups". Nos vemos en el próximo.

Sobre el autor

Javier Paradelo

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →

Compartir artículo

👋¡Hola! ¿Tienes alguna duda? Escríbenos, respondemos en minutos.

Abrir WhatsApp →