¿Sabes qué permisos pide la app de tu banco en Android o iPhone/iPad? Las apps de los bancos ofrecen cada vez más funciones y, consecuentemente, solicitan permisos a ciertas informaciones de los smartphones y tabletas, como por ejemplo ubicación o contactos ¿Es realmente necesario? ¿Qué supone conceder esos permisos desde el punto de vista de privacidad para cada uno de los tipos?
Hasta hace poco, instalar una app de un banco en España era algo opcional, pero con la entrada de la PSD2 en septiembre de 2019, algunas entidades bancarias obligan a instalar la app de su banco con ciertas funciones para acceder, aunque sea vía web u operar (otras envían un SMS con un código a modo de autenticación adicional para proporcionar más seguridad).
¿Qué permisos solicitan las apps de Caixabank, ABANCA, Santander, BBVA, Bankinter, Sabadell, ING y Bankia?
¿Supone algún problema de seguridad o privacidad instalar las apps de los bancos? ¿Qué ventajas e inconvenientes tiene?
Tabla de contenidos
Como decía, hasta septiembre de 2019, la instalación de las diferentes apps de las entidades bancarias en España en tu smartphone o tableta era voluntaria (y lo sigue siendo en muchos casos).
Disponer de la app instalada eliminaba (y elimina) en algunos casos ciertas validaciones o solicitudes de datos tras la configuración inicial y permite acceder a la banca online de forma rápida, segura y cómoda, ya que solo hay que abrir la aplicación en cuestión, introducir algún dato o código (incluso utilizando recursos biométricos como la huella dactilar o el reconocimiento facial¸ algo que con el acceso web es mucho más complicado de conseguir) y, a continuación, ya se pueden consultar saldos, hacer operaciones, etc.
En los últimos años, con la popularización de los smartphones sobre todo, y también tabletas con Android o iPad, parece que hay una carrera por ver qué banco tiene la mejor app, la que ofrece más servicios e información a sus usuarios, entiendo que en un intento de diferenciarse y de adquirir un carácter innovador y de parecer que están “on”.
El problema de que las apps en general, y las de los bancos en particular, sean cada vez más funcionales conlleva la necesidad inherente de que van a solicitar más y más permisos al usuario para acceder a información del terminal y a sus funciones.
Esto, que de por sí no tiene por qué ser malo si la app es legítima (pensemos en el problema que puede ocurrir si no lo es y que una app maliciosa acceda a nuestra agenda de contactos y envía a un servidor remoto nuestra lista de contactos, sus números de teléfono, etc.), conlleva un riesgo para la privacidad de nuestros datos (y de nuestros conocidos).
Cada vez que instalamos una app, ya sea en la Apple App Store o Google Play, ésta nos va a pedir la primera vez permiso para acceder a ciertas funciones e informaciones del dispositivo (smartphone o tableta).
Pensemos por ejemplo en el caso de WhatsApp: solicita (lógicamente) acceso a la lista de contactos para saber quiénes de ellos tienen cuenta en la popular aplicación de mensajería instantánea. Esto es normal, lógico e incluso bueno ya que permiten enriquecer las funciones del smartphone o tableta con nuevos servicios o características.
El problema viene de los casos en los que los permisos de las apps solicitados son excesivos o innecesarios y se usan o bien por desconocimiento del desarrollador, o porque se quieren recopilar más datos de los estrictamente necesarios con algún ¿oscuro? fin.
No es ningún secreto que hay un auténtico negocio basado en la explotación de los datos que diariamente generamos y que ciertas empresas se encargan de recopilar y vender. Una de las fuentes es, por supuesto, las apps.
Es importante destacar y recordar que, aunque se haya concedido un permiso a una app en un terminal con Android o en el iPhone/iPad o iPod touch, en los ajustes de privacidad o de permisos (dependiendo del sistema) es posible revocarlos; eso sí, si el permiso es necesario, puede que la app no funcione.
Aunque varía algo con las diferentes versiones, en general se pueden ajustar en:
Ajustes > Aplicaciones > Opciones avanzadas o configurador de aplicaciones
Suelen estar en Ajustes > Privacidad > y luego revisar permiso por permiso (localización, contactos, calendarios, recordatorios, fotos, micrófono, cámara, etc.).
¿Qué supone cada permiso que se solicita desde el punto de vista de la privacidad o seguridad de nuestros datos?
Hay que recordar que conceder un permiso puede ser revocado, pero si la app ha enviado esos datos a servidores externos, puede que la información recopilada no se elimine.
Permisos frecuentes a los que solicitan permiso las apps (hay más y también dependen de la plataforma Android o iOS -iPhone, iPad y iPod touch-):
La app en este caso (realmente la empresa/desarrollador que está detrás) solicita permiso a tu ubicación para saber dónde estás ahora físicamente, utilizando un A-GPS, capaz de determinar dónde te encuentras y, por tanto, poder conocer información de lo que hay a tu alrededor, por ejemplo, un cajero, una oficina bancaria o saber cuánto falta para llegar a un destino si lo utilizamos como navegador GPS.
En malas manos, esta información puede recopilarse para saber si estás o no en casa, venderla a terceros, etc. En general, creo que es evidente que no es bueno que “cualquiera” sepa dónde estás en cada momento e incluso pueda registrar nuestras ubicaciones y, de manera automatizada, guarden todo el historial de sitios que visitamos y cuándo lo hacemos (e incluso cuánto tiempo se permanece en cada uno).
Muchas empresas desarrolladoras de apps solicitan permisos para acceder al registro de llamadas y a los mensajes (enviados y recibidos, lo que puede suponer un riesgo a la privacidad). En el caso de Android, hay varias aplicaciones que permiten recibir y enviar SMS por ejemplo.
Además, al permitir acceder al estado del teléfono, se puede llegar a conocer el mismo, ver el histórico de llamadas, redireccionar llamadas, etc.
Si la app es maliciosa, puede enviar a números premium o incluso llamar sin quererlo el usuario.
Si se concede el permiso de acceso de la app a los contactos, ésta puede evidentemente ver quiénes son, consultar, editar e incluso borrar (o crear nuevos), lo que supone poner en peligro la privacidad de los datos que tenemos registrados, ya que en malas manos, por ejemplo, podría usarse para hacer spam.
Si en la “ficha” de cada contacto además tenemos no solo el nombre, apellidos, correo electrónico y teléfono sino que añadimos por ejemplo enlaces a sus perfiles sociales, cumpleaños u otros datos en el campo de notas, podemos llegar a proporcionar valiosa información.
En ciertos casos, acceder a los contactos permite conocer también la frecuencia con la que interactuamos con ellos (llamadas, correos electrónicos, etc.).
Es importante también recordar que es posible que si la app recibe el permiso de acceder a los contactos inicialmente y envía la información a través de Internet a los servidores de los desarrolladores de la aplicación, aunque se revoque, puede ser que mantengan la información ya que está ya guardada en sus sistemas.
Mediante este permiso se posibilita que la app conozca el calendario (lea sus citas privadas) e incluso que pueda crear o borrar entradas en el calendario.
Conceder permiso de acceso a las fotos (y vídeos) de la galería puede suponer que la app pueda ver, modificar, borrar, enviar a Internet,… contenidos existentes que quizá no queramos que salgan del smartphone o tableta.
Además, al poder acceder a las fotos y vídeos, una aplicación puede llegar a conocer (y guardar) los metadatos que tienen asociados, como por ejemplo dónde (físicamente) y cuándo se hicieron, con qué dispositivo, etc. y de esta manera conocer un poco las costumbres del usuario.
Conceder permiso de acceder a las cámaras una cierta app lógicamente posibilita que ésta, con o sin nuestro conocimiento, haga fotos o grabe vídeos.
Si una app puede acceder al micrófono puede, potencialmente, escuchar todo lo que decimos cuando está activa e incluso grabar conversaciones, etc. Sería como tener un espía siempre al lado que todo lo oye.
Hay que tener cuidado con el permiso de acceso al almacenamiento o memoria del dispositivo (que solo está disponible en Android), ya que depende mucho del sistema y de las medidas de seguridad, pero en el peor de los casos podría llegar a permitir acceder a información que no le corresponde.
Imagina el caso de que una app maliciosa cifra todos los datos a los que tiene acceso y a cambio de la clave para recuperarlos te pide un “rescate” económico. Esto es perfectamente posible y ocurre en ordenadores, pero también en móviles. Es el llamado ransomware (ransom es rescate en inglés).
En general, las apps solo deberían acceder a los datos propios.
Este permiso posibilita a la app que conozca y registre la información del dispositivo (modelo, versión de sistema operativo, estado, características, etc.) pudiendo además en algunos casos intentar averiguar datos adicionales que pueden llegar a resultar sensibles.
Varias de las apps por ejemplo pueden consultar qué programas se encuentran en ejecución, por lo que pueden llegar a conocer información adicional importante (intereses, aficiones, etc.) sobre el usuario.
Una app que solicita acceso total a Internet quiere obviamente enviar y recibir datos. Hay que pensar si realmente es necesario que tenga este permiso, pensando por ejemplo en un juego que no interactúa ni guarda datos en Internet, no procedería tenerlo. Una app de mensajería o de un banco, por ejemplo, sí.
En línea con el punto anterior, acceder a la Wi-Fi permite que la app se conecte a Internet de esta manera, algo que casi todas las apps solicitan de una u otra manera.
Por todas estas razones, lo recomendable es que:
A continuación, indico los permisos que, cada una de las apps de bancos mejor valoradas en Google Play según Statista (evidentemente hay muchísimos más bancos que pedirán más o menos información, pero por citar algunos con apps bien valoradas), solicitan en su versión de Android extraídos de Google Play, que son:
La app de Caixabank en Google Play (Android) solicita los siguientes permisos (son los permisos de todas las versiones de la app):
Esta aplicación puede acceder a:
Cámara
Micrófono
Contactos
Información sobre la conexión Wi‑Fi
Identidad
Historial de aplicaciones y del dispositivo
Almacenamiento
Fotos/multimedia/archivos
Ubicación
Otro motivo
La app de ABANCA en Google Play (Android) solicita los siguientes permisos (son los permisos de todas las versiones de la app):
Esta aplicación puede acceder a:
Identidad
Contactos
Ubicación
Teléfono
Fotos/multimedia/archivos
Almacenamiento
Cámara
Micrófono
Información sobre la conexión Wi‑Fi
ID de dispositivo e información de llamada
Otro motivo
La app de Santander en Google Play (Android) solicita los siguientes permisos (son los permisos de todas las versiones de la app). En el caso del Santander tengo muy presente cierta experiencia con su ausente servicio de atención al cliente.Desatención al cliente en Bershka, Cortefiel, Bimba y Lola, Comodynes, Santander, Mediamarkt y Apple.
Esta aplicación puede acceder a:
Identidad
Información sobre la conexión Wi‑Fi
Ubicación
Fotos/multimedia/archivos
Teléfono
Contactos
Almacenamiento
Cámara
ID de dispositivo e información de llamada
Otro motivo
La app de BBVA en Google Play (Android) solicita los siguientes permisos (son los permisos de todas las versiones de la app):
Esta aplicación puede acceder a:
Contactos
Información sobre la conexión Wi‑Fi
Cámara
Ubicación
Micrófono
Fotos/multimedia/archivos
ID de dispositivo e información de llamada
Identidad
Teléfono
Almacenamiento
Otro motivo
La app de Bankinter Móvil en Google Play (Android) solicita los siguientes permisos (son los permisos de todas las versiones de la app):
Historial de aplicaciones y del dispositivo
Contactos
Almacenamiento
Fotos/multimedia/archivos
Identidad
Ubicación
SMS
Otro motivo
La app del Banco Sabadell en Google Play (Android) solicita los siguientes permisos (son los permisos de todas las versiones de la app):
Esta aplicación puede acceder a:
Teléfono
ID de dispositivo e información de llamada
Ubicación
Cámara
Almacenamiento
Fotos/multimedia/archivos
Contactos
Información sobre la conexión Wi‑Fi
Identidad
Otro motivo
La app de ING en Google Play (Android) solicita los siguientes permisos (son los permisos de todas las versiones de la app):
Esta aplicación puede acceder a:
Cámara
Micrófono
Contactos
Información sobre la conexión Wi‑Fi
Identidad
Almacenamiento
Fotos/multimedia/archivos
Ubicación
Teléfono
ID de dispositivo e información de llamada
Otro motivo
La app de Bankia en Google Play (Android) solicita los siguientes permisos (son los permisos de todas las versiones de la app):
Esta aplicación puede acceder a:
Información sobre la conexión Wi‑Fi
Cámara
Historial de aplicaciones y del dispositivo
Contactos
Fotos/multimedia/archivos
Teléfono
Almacenamiento
ID de dispositivo e información de llamada
Micrófono
Ubicación
Otro motivo
Con la entrada en vigor de la directiva PSD2, la exigencia es pedir un código adicional al clásico usuario y contraseña al iniciar sesión o al hacer una operación, eliminando las tarjetas de coordinadas y otro tipo de elementos adicionales de seguridad, sustituyéndolos en buena parte por un código enviado por SMS (un servicio que no es necesariamente seguro) o por notificación de la app del banco, por lo que el smartphone (o teléfono) se convierte en algo imprescindible para realizar operaciones bancarias e incluso hacer compras online.
La principal cuestión es que el móvil se convierte en un elemento clave y sin él (extraviado, sin batería, roto…), ya no se puede usar la banca online o hacer compras por Internet (por ejemplo, para comprar otro smartphone que no esté roto) y éstas se pueden hacer desde cualquier sitio, lo que es bueno (libertad de ubicación) pero también supone un riesgo (llevo siempre encima todo lo necesario para hacer una compra online o una operación desde el banco como por ejemplo una transferencia). Antes, con la tarjeta de coordenadas, esto solo podía hacerlo en la ubicación física en la que guardaba esta tarjeta de plástico con letras y números.
Sí que es cierto que la directiva permite que no se vuelva a pedir el código inmediatamente, concediendo un plazo de 90 días tal y como hacen algunas entidades bancarias en sus accesos a la banca online.
Lo que personalmente no encuentro muy correcto (por no decir otra cosa) es que algunas entidades bancarias como ING obliguen a sus clientes a instalar la app bajo pena de no poder acceder a su cuenta bancaria. Es más, hasta me parece un poco un abuso: se debe tener un móvil relativamente reciente (7-8 años y es que, aunque parece mucho, no es vital cambiar de terminal cada pocos años) pero sobre todo instalar la app con ciertos permisos como ya hemos visto, algunos de los cuales, si solo se quiere para recibir un código para entrar en la web de la banca online, son excesivos.
Exigen además en ING tener activadas las notificaciones de la app en el móvil (para que salte el aviso al recibir la información), algo que en mi caso solo hago en raras excepciones con las apps que tengo instaladas.
Por contextualizar, en España hay alrededor de 25 millones de usuarios de WhatsApp, lo que sin duda parece mucho, pero es algo más de la mitad de los españoles; es decir, casi la mitad de España no tiene cuenta de WhatsApp, la app intergeneracional (baby boom, generación X, milenials, generación Z,…) más extendida y popular me atrevería a decir.
Por otra parte, hay más líneas de móvil en España que ciudadanos, lo que permite suponer que una buena parte de ellos no tienen un smartphone (al menos, con WhatsApp). ¿Por qué iban a querer tener que instalar obligatoriamente una app de un banco?
En definitiva, tener apps maravillosas que permitan hacer de todo con el banco: sí, que recopilen información sobre mí y mis contactos: no, ni por supuesto que me hagan fotos o escuchen (dudo que lo hagan las apps legítimas de bancos) y que me obliguen (dame la opción de SMS aunque no sea lo más seguro del mundo) a instalar una app, tampoco me gusta nada e incluso me genera recelo.
Carlos Pascual, desarrollador de apps en Android y iOS desde hace años confirma: «Son exagerados los permisos y pasa con más apps, por ejemplo la de Vodafone para iOS te pide la localización y es algo que no necesitan para mostrarte tus facturas y consumos. Con las apps de los bancos y los permisos que solicitan pasa lo mismo: de acuerdo con que si quieres localizar una oficina tengas que activar la localización, pero en el momento que lo uses, no antes«.
Veremos qué pasa con los permisos de las apps de los bancos conforme más y más personas deban utilizarlas.
Brutal y real el post. Soy cliente de ING desde hace mucho y ahora tengo muchos problemas con su servicio y la web y no dan soluciones al problema y me mandan un mensaje que dice que me tengo que instalar la aplicación si o si si quiero seguir operando online y vaya mi sorpresa cuando veo que la app te pide permisos para acceder incluso al número de zapatos.. en serio… esto que es? Para qué necesitáis mi ubicación, poder hacer fotos y videos, mis contactos, grabar sonido, identidad del teléfono… esto es un abuso.
Deberíamos ser mas conscientes de lo que descargamos e instalamos y que alguien vigile lo que nos exigen. Somos como vacas en el matadero de las grandes empresas y ni sabemos que lo somos.
A mí no me deja entrar en ING tampoco porque dice que el teléfono está rooteado cuando no es verdad y ni mi mujer ni yo podemos entrar en las cuentas del banco es alucionante que pidan todos esos permisos si pero también que no pueda ver mis propias cuentas.
Cierto, Rogelio.
Gracias, Iván. Hace poco creo que han dicho que temporalmente seguirán enviando mensajes por SMS.
Muy bueno como siempre. Instalamos como tontos todo lo que nos ponen por delante sin pensar en que estamos permitiendo y que no y así nos va que hacen negocio con todo lo que hacemos o decimos. Gran post para explicar incluso para tontos lo que piden y dejan de pedir. Magnífico trabajo semana a semana.
Gracias, Juan.
Muy claro y dices lo que hay que decir y nadie dice y voy a hablar con mi banco para recomendarles que hagan apps más simplificadas que no me quieran espiar todo el día. Tengo android y tenía todos los permisos activados proque le di si si sisis.
A ver si lo consigues…
Muy impresionante y buen trabajo como siempre!
Muchas gracias :)
Gracias por el post. Muy buen trabajo recopilando todos estos datos.
Gracias.
Me ha parecido estupendo, yo confiaba en todo lo que tenía que aceptar, a partir de ahora andaré con más cuidado.
Estupendo.
Muy interesante. Como Guillermina pensaba que tenía que aceptar todo pero ahora ya estoy limitando los permisos como nos explicas. Muy claro todo.
Estupendo.
La de ing funciona además muy mal y encima ahora ponen las notificaciones como obligatorias cuando sobran si no son para el acceso. Tengo un iphone con face id y es complicado complicado que salga la pregunta para poder entrar en la cuenta. Menos pedir permisos y hacer que vaya mejor lo que tienen que funcinoar.
Vaya, Pedro.
Buenas Christian, como siempre, un artículo muy interesante. Soy uno de los sufridores de la vida moderna por no tener teléfono móvil. Actualmente hemos perdido otro poco más de libertad, ya no podemos elegir si queremos tener o no tener teléfono móvil: o lo tienes o estás fuera. Por no tener teléfono móvil ya no puedo operar con mis bancos, tengo las cuentas literalmente bloqueadas y no puedo pagar ni siquiera el alquiler de casa salvo que vaya en persona a la oficina.
Con todo lo que solicitan los bancos van a tener un control absoluto de nuestras vidas: qué compramos, dónde compramos, por dónde nos movemos, pueden escucharnos si quieren… Sinceramente me parece una vergüenza y algo alucinante que poco a poco hayamos ido transigiendo con este tipo de cosas y hayamos puesto nuestra privacidad y nuestras vidas en manos de una colección de empresas privadas. Pero claro, con la excusa de «es cómodo», tragamos con todo.
Por desgracia, el dinero físico es realmente nuestra libertad, el poder operar anónimamente sin que haya una empresa detrás espiando qué compramos o qué hacemos en nuestras vidas. El día que tengamos que pagar todo con dinero electrónico (que está la vuelta de la esquina) habremos perdido la poca libertad que nos queda y estaremos totalmente en manos de estas empresas, no podremos hacer nada sin que seamos espiados. Tu banco sabrá todo lo que haces en tu vida, y por supuesto esa información la venderán a otras empresas como llevan haciendo años (he trabajado en uno y lo que he podido ver desde dentro es una vergüenza…)
La informática y la tecnología por desgracia hace tiempo que han dejado de estar al servicio de las personas para pasar a ser herramientas de control de las personas. Es por lo que cada vez detesto más la tecnología y la informática, a pesar de dedicarme profesionalmente a ello. Lo que fue mi vocación durante muchos años se ha ido convirtiendo en mi frustración.
Qué lastima…
Scherzo
Hola, Scherzo
Tienes toda la razón, pero entre todos creo que tenemos todavía algo que decir y de hecho este artículo es para concienciar un poco sobre el tema.
Saludos y gracias por el comentario.
Buenísimo. Gracias por abrirnos los ojos
Gracias.
asi es scherzo… ya no podemos decir que no queremos un movil, porque ahora es esto, pero dentro de 2 años será otra cosa… yo tengo un modelo de movil antiguo, y por supuesto ing me OBLIGA a comprarme uno nuevo si quiero tener acceso a mi cuenta… una verguenza, y todo el mundo a tragar. ES lo que hay, encima pretenden hacernos creer que es por seguridad… si claro. lo j-od-i-do es que no hay nadie que les pueda decir NO, pero si por lo menos la mitad de sus clientes se fueran con sus cuentas a otra parte seguro que rectificarian y darian opciones, pero eso no va a pasar, porque es demasiada molestia para la gente; son como borregos y y de eso se aprovechan, ahora te obligan a salir con el movil siempre encima, aunque no quieras, hasta para ir a comprar el pan. que asco de sociedad. asi nos va. he decidido ir a la oficina personalmente y retirar todo mi dinero y llevarlo a otro banco. aunque solo ganare tiempo, pues seguro que el resto acabaran pidiendote lo mismo. Llevare la pasta en efectivo cuando quiera dejar el telefono en casa ; apagado, por supuesto, y sin bateria, porque MOVIL= gran hermano.
Buen comentario, Rosa.
LA PREGUNTA IMPORTANTE ES POR QUÉ LAS APPS DE BANCOS Y ENTIDADES «CONFIABLES» DESEAN TENER ACCESO A MI CAMARA, MICRÓFONO, GALERÍA, CONTACTOS ETC??? ESO NO COMENTAN NO?
Exacto.
Soy cliente de BBVA y hasta ahora no me habían pedido permiso para acceder a mis archivos de mi móvil. Perdona? Para que cono quiere BBVA acceder a mis fotos y por qué estoy obligado a darles permiso para consultar mi saldo,hacer una transferencia , un bizum o lo que quiera hacer con esa app? No tiene sentido alguno hasta el micrófono o la cámara puedo entender la escusa de que a través de la app se puede hacer una llamada la cual normalmente de hecho se recibe vía telefónica y no desde la app. Pero a mis fotos y archivos privados guardados en mi almacenamiento privado? Con qué clase de fin habría yo de permitirte dicho acceso? Se pasan 4 pueblos.
Y como bien indicas tu , les podré revocar el permiso y probar si funciona sin el . Pero ya habrán tenido ocasion de ver y extraer todo lo que les de la gana
Ya…