En el mundo digital actual, donde gestionar los activos crypto de forma segura es más importante que nunca, Tangem destaca por ofrecer una cartera móvil que es tanto altamente segura como fácil de usar. Una parte clave de la fortaleza de Tangem radica en su enfoque único para la seguridad de aplicaciones móviles, uno que ni siquiera requiere una pantalla en el hardware mismo.
Veamos cómo Tangem garantiza una seguridad de primer nivel en toda su aplicación de cartera móvil.
Una filosofía que prioriza la seguridad
Tangem está dedicado a crear la cartera móvil más segura de la industria. Nuestro enfoque para la seguridad de la aplicación se basa en las mejores prácticas reconocidas globalmente de organizaciones como OWASP y sigue las últimas directrices de seguridad y privacidad publicadas por Google y Apple.
Utilizamos técnicas avanzadas y tecnologías modernas para asegurar que estamos a la vanguardia de la seguridad móvil, ofreciendo a los usuarios confianza y protección al gestionar sus activos digitales.
Tangem utiliza herramientas de seguridad móvil integradas de última generación, incluyendo DexProtector de Licel, que es utilizado por aplicaciones bancarias y de pago líderes.
DexProtector es la primera herramienta de protección de software aprobada por EMVCo tanto para Android como para iOS. Se evalúa regularmente para garantizar que puede resistir las amenazas más recientes.
Cinco pilares de la seguridad de aplicaciones móviles
Tangem tiene un conjunto integral de medidas de seguridad establecidas para proteger los datos del usuario y mantener la aplicación a salvo de posibles amenazas. Estas medidas se dividen en cinco categorías principales:
1. Protección de datos y privacidad
Cifrado de datos Para prevenir el acceso no autorizado a información sensible durante el tiempo de ejecución de la aplicación, Tangem cifra todos los datos. Este enfoque se alinea con las recomendaciones del OWASP MSTG (Grupo de Amenazas de Seguridad Mínima), minimizando el riesgo de ataques automatizados y acceso no autorizado a los datos.
Almacenamiento local seguro Tangem no almacena datos sensibles en texto plano en el dispositivo. Todo el almacenamiento local está cifrado y limitado al entorno seguro de la aplicación, haciéndolo inaccesible para otras aplicaciones y resistente a manipulaciones, incluso en dispositivos con root o jailbreak.
Manejo de datos sensibles
Cuando un usuario copia información sensible como direcciones de wallet o códigos de seguridad, Tangem asegura que estos datos se manejen de forma segura tanto en plataformas Android como iOS. En Android, los datos copiados se marcan como privados en el sistema, evitando que otras aplicaciones accedan a ellos en segundo plano.
En iOS, la aplicación utiliza protecciones a nivel del sistema y evita el uso innecesario del portapapeles para minimizar la exposición. Estas salvaguardas ayudan a prevenir posibles fugas de información sensible a través del portapapeles, un vector de ataque común pero a menudo pasado por alto.
Depuración de registros y reestructuración de registros de red
Los registros de nuestra aplicación se depuran minuciosamente para eliminar u ocultar información sensible. También reestructuramos cuidadosamente nuestros registros de red para excluir detalles confidenciales, lo que reduce significativamente el riesgo de fugas de información.
2. Integridad de la aplicación y del tiempo de ejecución
Verificaciones de integridad
La aplicación incluye mecanismos integrados que verifican su código y contenido para detectar cualquier cambio no autorizado. Estas verificaciones aseguran que la aplicación sea genuina y previenen la ejecución de versiones potencialmente dañinas o no autorizadas.
Las verificaciones de integridad son una parte crucial de la Protección Propia de Aplicaciones en Tiempo de Ejecución (RASP) y son recomendadas por el OWASP MSTG como clave para mantener la confianza y seguridad de las aplicaciónes.
Medidas anti-depuración y anti-emulación La aplicación Tangem tiene mecanismos especiales que pueden detectar si se está ejecutando en modo de depuración o en un entorno emulado. Los atacantes comúnmente utilizan herramientas de depuración y emuladores para analizar el comportamiento de la aplicación dinámicamente, identificar vulnerabilidades o realizar ingeniería inversa de la lógica de la aplicación.
Al detectar y prevenir la ejecución bajo estas condiciones, la aplicación reduce significativamente el riesgo de explotación, ataques en tiempo de ejecución y extracción de datos no autorizada.
Detección de root y jailbreak
La aplicación monitorea continuamente signos de rooting o jailbreaking y puede limitar o bloquear el acceso a operaciones sensibles en dispositivos comprometidos. Esto ayuda a asegurar que la funcionalidad crítica solo se ejecute en entornos seguros y confiables.
3. Comunicación segura
Transparencia de certificados
Todas las comunicaciones de red utilizan Transparencia de Certificados para prevenir la emisión y uso de certificados fraudulentos. Esto asegura conexiones seguras y mejora la confianza.
Al registrar públicamente los certificados emitidos por las Autoridades de Certificación (CAs), la Transparencia de Certificados ayuda a mitigar ataques de intermediarios (man-in-the-middle).
Los propietarios de dominios y terceros pueden detectar rápidamente certificados no autorizados, minimizando el riesgo de compromiso.
Seguridad de red y anclaje de certificados Todo el tráfico de red se transmite a través de conexiones TLS seguras (TLS 1.2 o superior). La aplicación verifica minuciosamente las identidades del servidor para asegurar que la comunicación solo ocurra con servidores confiables. Esto ayuda a reducir el riesgo de ataques de intermediarios y mantener una red segura y confiable.
4. Interfaz de usuario y seguridad de entrada
Protección contra scripts entre aplicaciones y WebView
Tangem ayuda a prevenir ataques de scripts entre aplicaciones verificando todas las interacciones entre aplicaciones, especialmente aquellas dentro de componentes WebView. Estos componentes son un objetivo común para exploits de aplicaciones móviles.
La aplicación restringe la ejecución de JavaScript, gestiona cuidadosamente la validación de certificados SSL y asegura que el contenido cargado en el WebView provenga de fuentes seguras y esté depurado. Estas medidas ayudan a prevenir una amplia gama de ataques potenciales, incluyendo cross-site scripting (XSS), inyección de JavaScript y exploits de intermediarios (MITM).
Tangem sigue prácticas de seguridad reconocidas por la industria descritas en OWASP MSTG y las directrices de seguridad WebView de Google para Android.
Protección contra tapjacking
La aplicación tiene mecanismos robustos para detectar y prevenir tapjacking—un tipo de ataque de redirección de UI—donde una aplicación maliciosa superpone elementos de UI invisibles o engañosos sobre la aplicación legítima, engañando a los usuarios para que ejecuten acciones involuntariamente.
Tangem verifica activamente las vistas oscurecidas durante la interacción del usuario para asegurarse de que ninguna superposición de UI invisible pueda secuestrar los toques del usuario en partes sensibles de la aplicación, como acceder a acciones críticas de seguridad. El tapjacking es una amenaza bien documentada en el OWASP Mobile Top 10 y las mejores prácticas de seguridad de Android.
Manejo seguro de entrada
Tangem adopta un enfoque multicapa para asegurar los campos de entrada sensibles en su aplicación. Detecta el uso de teclados personalizados cuando los usuarios ingresan datos sensibles, ayudando a protegerlos de keyloggers y monitoreo de entrada no autorizado.
Además, las funciones a nivel del sistema como autocompletar, corrección ortográfica, guardado de contraseñas, autocorrección y entrada predictiva están deshabilitadas para campos críticos. Estos mecanismos, aunque convenientes en el uso cotidiano, pueden almacenar o sugerir inadvertidamente información sensible, creando un riesgo de exposición involuntaria de datos.
Tangem también utiliza configuraciones de campo de entrada seguras que señalan al sistema operativo que el contenido es privado y no debe ser almacenado en caché, registrado o expuesto a servicios de accesibilidad.
Capturas de pantalla y grabación de pantalla deshabilitadas
Las capturas de pantalla y grabaciones de pantalla están prohibidas en áreas de la aplicación donde se muestra información sensible, como frases de recuperación o claves privadas. Esto ayuda a prevenir tanto la captura intencional como accidental de información confidencial, especialmente en entornos donde el contenido de la pantalla podría ser grabado sin el conocimiento del usuario.
Esta medida también se alinea con las recomendaciones de OWASP MSTG y es especialmente crítica en aplicaciones que manejan activos financieros o criptográficos.
5. Arquitectura y seguridad operacional
Gestión de sesiones y protección de tokens
Nos tomamos muy en serio la seguridad de los tokens de autenticación y los identificadores de sesión, garantizando una experiencia segura y estable tanto en plataformas Android como iOS.
Los tokens se almacenan utilizando mecanismos de almacenamiento seguro proporcionados por las plataformas y nunca se almacenan ni transmiten en texto plano. Las sesiones caducan automáticamente después de un período específico de inactividad, lo que ayuda a reducir el riesgo de acceso no autorizado si un dispositivo se pierde o se ve comprometido.
Proceso de revisión y auditoría de código
Antes de ser publicado, todo el código integrado en la aplicación móvil de Tangem pasa por múltiples capas de revisión. Los componentes críticos se marcan explícitamente y se someten a una revisión adicional por pares para garantizar la corrección, seguridad y estabilidad.
Además de los controles previos al lanzamiento, Tangem realiza auditorías internas regulares para evaluar la integridad y seguridad del código base. También se utilizan herramientas automatizadas durante todo el ciclo de desarrollo para mantener la calidad del código y minimizar el riesgo de vulnerabilidades.
Permisos minimizados
Tangem sigue el principio de privilegio mínimo, solicitando solo los permisos que son absolutamente necesarios para que la aplicación funcione. Este enfoque ayuda a reducir la superficie de ataque y proteger los datos del usuario al prevenir el acceso a funciones del dispositivo que no son cruciales para la funcionalidad principal de la aplicación.
Al minimizar los permisos, Tangem también mejora la transparencia y la confianza. Esto se alinea tanto con las recomendaciones de OWASP como con las directrices específicas de privacidad de Google y Apple.
Estas medidas exhaustivas están diseñadas para garantizar el más alto nivel de seguridad y privacidad para nuestros usuarios.
¿Por qué no tiene pantalla?
Al trasladar los procesos clave a la aplicación móvil segura, el hardware wallet de Tangem no necesita una pantalla. La aplicación segura maneja todas las interacciones críticas y está protegida por las robustas capas de seguridad descritas anteriormente. Esto simplifica la experiencia del usuario mientras mantiene seguros sus activos digitales.
Reflexiones finales
Tangem está estableciendo nuevos estándares para la seguridad de carteras crypto al combinar protección avanzada con un diseño cuidadoso. Cada aspecto de la aplicación está construido pensando en la seguridad del usuario, desde el almacenamiento cifrado hasta el manejo seguro de entradas y la protección en tiempo de ejecución.
Para los usuarios que valoran la seguridad por encima de todo, pero no quieren sacrificar la comodidad, Tangem proporciona tranquilidad, respaldada por estándares líderes en la industria e innovación continua.
Preguntas frecuentes: Seguridad de la aplicación Tangem Wallet
¿Cómo asegura Tangem la aplicación móvil Tangem?
La aplicación móvil de Tangem maneja todas las interacciones críticas y está construida con medidas de seguridad en capas —incluyendo cifrado, manejo seguro de entradas y detección de amenazas en tiempo real— haciendo innecesaria una pantalla en el hardware. El resultado es una experiencia de usuario más simple y segura.
¿Qué tipo de datos cifra Tangem?
Tangem cifra todos los datos sensibles, incluida la información de la wallet y los tokens de sesión, para protegerlos del acceso no autorizado durante el tiempo de ejecución de la aplicación y el almacenamiento local. Nunca se almacenan datos en texto plano en tu dispositivo.
¿Mi información está segura si mi teléfono se pierde o se ve comprometido?
Sí. Tangem detecta dispositivos con root o jailbreak y limita el acceso a operaciones sensibles. Además, las sesiones caducan automáticamente después de un período de inactividad, y todos los tokens se almacenan de forma segura utilizando almacenamiento seguro específico de la plataforma.
¿Cómo protege Tangem contra ataques de portapapeles?
En Android, Tangem marca los datos copiados como privados para que otras aplicaciones no puedan acceder a ellos en segundo plano. En iOS, evita por completo el uso innecesario del portapapeles, ayudando a prevenir fugas a través de uno de los vectores de ataque móvil más comunes.
¿Pueden los hackers modificar o manipular la aplicación Tangem?
Tangem incluye verificaciones de integridad de la aplicación para detectar modificaciones no autorizadas. La aplicación no se ejecutará si ha sido manipulada, asegurando que solo las versiones oficiales y sin alteraciones puedan operar.
¿Qué protecciones existen durante la comunicación con los servidores?
Toda la comunicación de red está protegida por TLS (1.2 o superior) y utiliza anclaje y transparencia de certificados para prevenir ataques de intermediarios (MITM) o certificados falsos.
¿Permite Tangem capturas de pantalla o grabaciones de pantalla?
No. En áreas de la aplicación donde se muestra información sensible —como frases de recuperación o claves privadas— las capturas de pantalla y grabaciones de pantalla están completamente deshabilitadas para prevenir la captura accidental o maliciosa de datos.
¿Cómo previene Tangem el keylogging o el seguimiento no autorizado de entradas?
Tangem desactiva el autocompletado, la corrección ortográfica y la entrada predictiva en campos sensibles. También detecta cuando se está utilizando un teclado personalizado, protegiendo contra keyloggers e interceptación de datos.
¿Qué es el tapjacking y cómo lo previene Tangem?
El tapjacking es un tipo de ataque donde superposiciones invisibles engañan a los usuarios para que toquen cosas que no tenían intención de tocar. Tangem detecta elementos de UI oscurecidos y bloquea acciones en partes sensibles de la aplicación para detener este tipo de amenaza.
¿Qué permisos requiere la aplicación Tangem?
Tangem sigue el principio de privilegio mínimo, lo que significa que solo solicita los permisos necesarios para realizar las funciones básicas de la wallet. Esto limita la exposición y mejora la privacidad y transparencia.
