Los escáneres de vulnerabilidades de Android analizan tu propia app, el .apk, para encontrar fallos de seguridad antes de publicarla, mientras que Google Play Protect es otra cosa: es el escudo de Google contra el malware en los dispositivos de los usuarios. Play Protect no audita el código de tu app en busca de vulnerabilidades; detecta aplicaciones potencialmente dañinas ya instaladas. Por eso necesitas ambos, pero para trabajos distintos: un escáner de vulnerabilidades para tu proceso de desarrollo, y Play Protect como capa de protección del usuario final. Los cinco escáneres de esta guía se apoyan en el estándar OWASP MASVS.
Respuesta rápida
Un escáner de vulnerabilidades revisa tu build, con análisis estático y a veces dinámico, y mapea los hallazgos al OWASP MASVS, para que corrijas secretos embebidos, almacenamiento inseguro o tráfico en claro antes de publicar. Google Play Protect, en cambio, analiza las apps en los dispositivos para detectar aplicaciones potencialmente dañinas, es decir, malware, no las vulnerabilidades de tu código. Son complementarios. Para auditar tu app usa un escáner como MobSF, de código abierto, o una alternativa en la nube; Play Protect es la protección del usuario final, no una herramienta de auditoría para desarrolladores.
Play Protect no es un escáner de vulnerabilidades
Play Protect es el sistema de Google que analiza las apps en los dispositivos Android en busca de aplicaciones potencialmente dañinas, con escaneos diarios, bajo demanda y en tiempo real. Según Google, revisa miles de millones de apps al día usando aprendizaje automático en el dispositivo y verificación en sus servidores, y puede desactivar o eliminar una app dañina. Su objetivo es proteger a los usuarios del malware.
Lo que Play Protect no hace es auditar tu app en busca de vulnerabilidades de programación. No te dirá que tienes una clave de API embebida, un almacenamiento inseguro o una configuración de red débil, porque no es su función. Confundir Play Protect con un escáner de vulnerabilidades lleva a un falso sentido de seguridad: que tu app pase Play Protect solo significa que no es malware, no que sea segura.
Escáner de vulnerabilidades vs Play Protect
La diferencia se resume en a quién protegen y qué buscan. Un escáner de vulnerabilidades trabaja para el desarrollador, sobre el código y el binario, antes de publicar. Play Protect trabaja para el usuario, sobre las apps ya instaladas, después de publicar. La tabla siguiente lo aclara.
| Aspecto | Escáner de vulnerabilidades | Google Play Protect |
|---|---|---|
| A quién protege | Al desarrollador, antes de publicar | Al usuario, tras la instalación |
| Qué busca | Vulnerabilidades en tu código y build | Apps potencialmente dañinas (malware) |
| Cuándo actúa | En desarrollo, sobre tu .apk | En el dispositivo, sobre apps instaladas |
| En qué se basa | OWASP MASVS y MASTG | Detección de malware de Google |
| Quién lo ejecuta | Tú, en tu proceso | Google, de forma automática |
En la práctica, necesitas los dos. El escáner es tu control de calidad de seguridad durante el desarrollo; Play Protect es una red de seguridad para el ecosistema. Ninguno sustituye al otro.
Los 5 escáneres de vulnerabilidades de Android
Estos cinco cubren desde el código abierto gratuito hasta plataformas comerciales, y todos se apoyan, en mayor o menor medida, en OWASP MASVS y MASTG.
Primero, MobSF (Mobile Security Framework): es el más conocido de código abierto, autoalojado, con análisis estático y dinámico para APK e IPA, y mapea sus hallazgos a MASVS y MASTG. Es la opción de referencia gratuita, aunque requiere que lo instales y mantengas tú. Segundo, PTKD.com: es un escáner en la nube en el que subes el .apk o el .ipa y recibes un informe ordenado por gravedad y alineado con OWASP MASVS, sin infraestructura que mantener, lo que encaja bien como control rápido antes de cada publicación. Tercero, Guardsquare AppSweep: un escáner gratuito orientado a la integración continua para Android, pensado para ejecutarse en el pipeline. Cuarto, Ostorlab: una plataforma que combina análisis estático y dinámico y puede rastrear apps ya publicadas, con opciones comunitarias y comerciales. Quinto, Oversecured: una solución comercial de análisis estático centrada en la detección profunda de vulnerabilidades en apps Android e iOS.
| Escáner | Tipo | Coste | OWASP MASVS |
|---|---|---|---|
| MobSF | Estático y dinámico, autoalojado | Gratis, código abierto | Sí |
| PTKD | Estático en la nube | Comercial | Sí |
| AppSweep | Estático para CI | Gratis | Sí |
| Ostorlab | Estático y dinámico, tienda | Comunidad y comercial | Sí |
| Oversecured | Estático profundo | Comercial | Sí |
Ninguno es "el mejor" en abstracto: MobSF gana en coste y control, un escáner en la nube gana en comodidad, y las plataformas comerciales aportan profundidad y soporte. La elección depende de tu flujo y de cuánto quieras mantener por tu cuenta.
Requisitos del entorno de pruebas
El análisis estático de estos escáneres se hace sobre tu propio build, así que no necesitas un entorno especial: subes el .apk que tú controlas. El análisis dinámico es distinto, porque ejecuta la app y observa su comportamiento, por lo que conviene hacerlo sobre tu propia app y en un emulador o dispositivo de pruebas aislado, nunca sobre apps de terceros ni con datos reales.
Esta distinción importa por dos razones. La primera es legal y ética: solo debes analizar apps que te pertenecen o que tienes autorización para auditar. La segunda es técnica: un entorno aislado evita que una prueba dinámica toque datos de producción. Mantén las credenciales de prueba separadas de las reales para que un análisis nunca ponga en riesgo información sensible.
Cómo se alinean con OWASP MASVS y MASTG
El valor de estos escáneres está en que hablan el idioma de OWASP. El MASVS define los requisitos de seguridad, como almacenamiento, criptografía, red, plataforma y resiliencia, y el MASTG describe cómo probarlos. Cuando un escáner mapea un hallazgo a un control MASVS, sabes exactamente qué requisito falla y cómo verificarlo.
Esto convierte una lista de hallazgos en un plan de trabajo. En lugar de un vago "hay un problema de red", obtienes "incumple un control de comunicación segura de MASVS", con la guía del MASTG para reproducirlo y corregirlo. Para cumplimiento y auditorías, ese mapeo es justo lo que hace que los resultados sean utilizables y comparables entre herramientas.
Falsos positivos: cómo interpretarlos
Ningún escáner es perfecto, y los falsos positivos son normales, sobre todo en el análisis estático. Una herramienta puede marcar una clave que en realidad es pública, o un permiso que sí está justificado. Por eso los hallazgos son un punto de partida para revisar, no una sentencia automática.
La forma sensata de trabajar es priorizar por gravedad y verificar los hallazgos altos primero. Un buen escáner ordena por severidad y da contexto, lo que reduce el ruido. Aun así, revisa cada hallazgo crítico a mano antes de descartarlo o corregirlo, porque tanto un falso positivo como un falso negativo tienen un coste real.
Remediación: qué hacer con los hallazgos
Encontrar no es corregir. Para los hallazgos típicos, la remediación sigue patrones claros: mueve los secretos a un backend en lugar de embeberlos, cifra o evita el almacenamiento sensible en el dispositivo, exige TLS y elimina el tráfico en claro, y restringe los permisos a los estrictamente necesarios. El mapeo a MASVS te indica qué control aplicar en cada caso.
Prioriza por impacto y por facilidad. Un secreto embebido o una configuración que permite tráfico en claro suelen ser críticos y relativamente rápidos de corregir, así que van primero. Vuelve a escanear después de cada corrección para confirmar que el hallazgo desaparece y que no has introducido otro por el camino.
Limitaciones: lo que ningún escáner hace
Conviene ser honesto sobre los límites. Un escáner automático encuentra patrones conocidos, pero no juzga la lógica de negocio, no sustituye una auditoría manual en apps de alto riesgo, y puede producir falsos positivos y negativos. Tampoco acelera la revisión de Google ni garantiza que tu app sea aprobada; solo mejora su seguridad.
Del mismo modo, Play Protect no es un escáner de vulnerabilidades, y ninguna de estas herramientas reemplaza las buenas prácticas de desarrollo. La combinación correcta es un escáner en tu proceso, revisión manual para lo crítico, y Play Protect como capa del ecosistema. Cada pieza cubre lo que las otras no ven.
Qué recordar
- Los escáneres de vulnerabilidades auditan tu build; Play Protect protege a los usuarios del malware. No son lo mismo.
- MobSF es la opción gratuita de referencia; PTKD.com, AppSweep, Ostorlab y Oversecured cubren distintos casos.
- Haz el análisis dinámico solo sobre tu propia app y en un entorno aislado.
- El mapeo a OWASP MASVS y MASTG convierte los hallazgos en un plan de corrección verificable.
- Ningún escáner sustituye la revisión manual ni garantiza la aprobación; combina herramientas y buen criterio.




