Fintonic y otras apps de finanzas personales: ¿son seguras?

La proliferación de aplicaciones móviles para todo tipo de usos es inevitable. Las gestión de las finanzas personales es uno de ellos y en los últimos años han salido al mercado algunas como MoneyWiz, Mooverang, MyValue o Fintonic, que ofrecen al usuario un control desglosado de sus gastos e ingresos. 

De hecho, esta última fue elegida a finales del año pasado como la más innovadora en la categoría de finanzas de los Premios Start Ups Innovación Móvil que otorga Google. Pero, aunque los beneficios que ofrecen estas empresas pueden resultar muy suculentos, todavía son muchos los que tienen más reticencias que tentación por instalarse estas apps. 

En primer lugar, porque para que el ‘software’ tenga acceso a nuestro banco hay que proporcionarle información sensible, como la clave de acceso a nuestro número de cuenta. Y, aunque desde estas empresas garantizan que con estos datos la aplicación opera únicamente en ‘modo lectura’ y que imposibilita cualquier tipo de acción, distintos expertos han valorado los riesgos y coinciden en que las garantías ofrecidas no son 100% invulnerables. Discrepan, sin embargo, en la utilidad y ventajas frente a los peligros a los que se expone el usuario y algunos son más partidarios de utilizarlas que otros. 

Protección de los datos

Los sistemas de estas aplicaciones disocian la información en dos. Por un lado, los movimientos (ingresos, gastos, liquidez, transferencias, etc.) y, por otro, los datos personales del usuario y su número de cuenta, tal y como explica Alfonso Franco, CEO de All4Sec. 

Franco añade que el número de cuenta se cifra con un “alias”, por lo que sólo se ven los últimos dígitos, y que el mayor de los riesgos es que alguien “acceda a los movimientos bancarios, sin que pueda relacionarlos con el usuario”. Incide también en que estas aplicaciones “realizan auditorías periódicas y tienen certificados de seguridad”. 

Las comunicaciones "van cifradas con un nivel de seguridad bancaria de 256 bits"

Además, una de las garantías que ofrece Fintonic y que publica en su página web es las comunicaciones entre el usuario y la aplicación “van cifradas con un nivel de seguridad bancaria 256 bits, la misma que los bancos más avanzados del país” para que no haya robo de datos. Un tipo de cifrado que se extiende a la mayoría de apps similares. 

A pesar de ello, Jesús Yago, de Security By Default y responsable de la plataforma eGarante, considera que utilizar estas aplicaciones supone “sacar datos de un entorno seguro”, como es el sistema bancario, y llevarlos a otro distinto, multiplicando así los riesgos. Valora la medida del cifrado, pero insiste en que “no hay que olvidar que, si el servidor de destino está comprometido, no sirve para nada” y que, la férrea seguridad que ofrecen los bancos, “no es extensible a aplicaciones de terceros”. 

Lorenzo Martínez, CEO de Securízame y ponente internacional de cursos de ciberseguridad, hace hincapié en que “es el banco quien pone las medidas de seguridad” para garantizar que las aplicaciones sólo pueden ser de lectura y no para operar, ya que cuenta con “una clave de firma”, que no recibe la app, y que “es quien manda un factor de autenticación con un SMS para las transacciones”. 

Amenazas en el móvil

Los tres expertos recalcan la importancia de la seguridad del propio teléfono móvil o dispositivo para que estas aplicaciones no se conviertan en un problema adicional para el usuario. “El móvil de una persona tiene la seguridad que ésta se ha preocupado por darle; alguien descuidado, que no parchea su teléfono, descarga apps de entornos inseguros y tiene una mala política de uso, no puede ser mitigado por un tercero”, expone Jesús Yago. 

"si alguien coge el móvil y éste no tiene código de bloqueo y tampoco la app, puede ver todos tus datos"

Por otra parte, “el riesgo está en que alguien acceda al dispositivo” ya sea a través de un ‘hackeo’ o físicamente, explica Alfonso Franco, que lamenta que “en estas apps es voluntario decidir si quieres poner un código o no”, por lo que, “si alguien coge el móvil y éste no tiene código de bloqueo y tampoco la app, puede ver todos tus datos”, aunque no el número de cuenta. 

Lorenzo Martínez recalca en que el peligro potencial está en el alta de la aplicación. “Si te das el alta en la app desde una red insegura, los datos de usuario y contraseña al banco podrían verse comprometidos”, expone. 

"El producto eres tú"

Como la mayoría de las aplicaciones gratuitas, sus beneficios derivan de la información de los movimientos del usuario, aunque cumpliendo en todo momento con la Ley Orgánica de Protección de Datos (LOPD). 

“En Fintonic hacemos recomendaciones de ahorro a los usuarios. Entre éstas, habrá ofertas dirigidas en función de su perfil de gasto” y, de estas ofertas que se muestran, “Fintonic se podrá llevar una comisión”, explican desde la app en el blog de su página web.

Todos coinciden en que hay que leer detenidamente las políticas relacionadas con el uso de datos, ya que es una de las cuestiones que menos hacen los usuarios a la hora de instalar una nueva aplicación. 

Martínez insiste en que esa información “vale dinero” y que puede ser peligroso que alguien externo (en caso de fallar algún protocolo de seguridad) acceda a datos de gastos o ingresos del cliente, ya que podría sumarlo a la información de su perfil en redes sociales, por ejemplo, y utilizarlo incluso para chantajear.

También puede ocurrir, expone Yago, que después de acceder maliciosamente a estos datos del usuario, “alguien llame al afectado asegurando ser del banco y solicitando una clave de la tarjeta de coordenadas; y, para tranquilizar a su interlocutor, le habla de un extraño cargo hecho un día, que se corresponde además con un cargo real, por lo que el afectado puede creer la historia y facilitar la información”. 

División de opiniones

 El experto de eGarante y el de Securízame se muestran abiertamente contrarios al uso de estas aplicaciones, al contrario que el de All4Sec, que reconoce que tiene una de ellas y le parece útil. “El mercado va hacia este mundo; es una aplicación que facilita el día a día y la relación con el banco”, asegura, pero recuerda que, igual que en cualquier otra aplicación, por más medidas que se tomen, “el riesgo está siempre ahí y tenemos que vivir con él”. 

“Yo no soy usuario de absolutamente ninguna. Me pareció una aberración desde que vi que una app me podía decir cuánto he cobrado; las cuentas me las administro yo”,  critica, por su parte, Lorenzo Martínez.

Independientemente de su opinión, todos aconsejan al usuario en protegerse con las medidas de seguridad adecuadas, no sólo en su propio teléfono móvil, sino en las contraseñas de la aplicación.

“El sistema tiene una política demasiado relajada, porque normalmente pide contraseñas de, al menos, seis caracteres y por lo menos un número. Estas contraseñas son débiles; debería tener, por lo menos, un mínimo de 8 o 10 caracteres con letras, números, mayúsculas, minúsculas y caracteres especiales para que sea difícil de averiguar”, detalla Franco.