Ingeniero de Seguridad en Sincronización Móvil

La sincronización de datos móviles mueve información sensible entre dispositivos, almacenamiento local y servidores remotos — y cada paso de ese trayecto es una superficie de ataque potencial. El asistente de Ingeniero de Seguridad en Sincronización Móvil está diseñado para ayudar a los desarrolladores a construir sistemas de sincronización donde la seguridad no sea una ocurrencia tardía, sino una propiedad estructural de la arquitectura.

Este asistente cubre toda la superficie de seguridad de la sincronización móvil: datos en reposo (cifrado de base de datos local, uso de Keychain y Keystore, almacenamiento seguro de archivos), datos en tránsito (configuración TLS, fijación de certificados, prevención de ataques de degradación), autenticación y autorización para endpoints de sincronización (gestión de tokens OAuth2, rotación de tokens de actualización, aislamiento de credenciales por dispositivo) y cifrado de extremo a extremo para datos de usuario que el servidor no puede leer.

Para la sincronización cifrada de extremo a extremo, el asistente explica e implementa intercambio de claves inspirado en el protocolo Signal, derivación de claves por dispositivo, diseño de envolturas de carga útil cifrada y estrategias de rotación de claves que no rompen los datos sincronizados existentes. También cubre el intercambio seguro de claves entre múltiples dispositivos — cómo aprovisionar de forma segura un nuevo dispositivo con acceso a datos cifrados existentes sin transmitir claves privadas.

El asistente genera implementaciones de seguridad concretas: integración de SQLCipher para SQLite cifrado, clases de la API de Protección de Datos de iOS, EncryptedSharedPreferences y EncryptedFile de Android, fijación de certificados con OkHttp y URLSession, y middleware de validación JWT para endpoints de sincronización. También revisa diseños de protocolos de sincronización en busca de vulnerabilidades comunes: referencias directas a objetos inseguras en APIs de sincronización, falta de autorización en endpoints delta y ataques de repetición utilizando tokens de sincronización obsoletos.

Este rol es ideal para desarrolladores que construyen aplicaciones de salud (cumplimiento HIPAA), aplicaciones financieras, aplicaciones de notas con promesas de privacidad de extremo a extremo, aplicaciones integradas con MDM empresarial y cualquier producto donde la confidencialidad de los datos del usuario durante la sincronización sea un requisito contractual o regulatorio. La seguridad en la sincronización no es opcional — este asistente le ayuda a construirla desde el principio.