HSBC bloquea la app por Bitwarden instalado desde F-Droid

 (mastodon.neilzone.co.uk)
2 puntos por GN⁺ 2026-01-01 | 1 comentarios | Compartir por WhatsApp
  • Se reportó un caso en el que la app móvil de HSBC bloqueó su ejecución debido a que Bitwarden estaba instalado mediante F-Droid
  • El usuario tenía Bitwarden instalado como compilación de F-Droid, no la versión oficial de Google Play
  • La app de HSBC lo identificó como un factor de riesgo de seguridad y bloqueó el acceso
  • Se confirmó que, incluso siendo la misma app de Bitwarden, las políticas de seguridad se aplican de forma distinta según el origen de instalación
  • Es un caso que muestra la tendencia a reforzar la verificación de apps de terceros y las políticas de seguridad en las apps financieras

Caso de bloqueo en la app de HSBC

  • La app de banca móvil de HSBC detectó Bitwarden instalado desde F-Droid y bloqueó su ejecución
    • Bitwarden es un administrador de contraseñas de código abierto, y F-Droid es una tienda de apps de código abierto
    • La app de HSBC clasificó esta combinación como un entorno riesgoso desde el punto de vista de seguridad
  • Aunque se trata de la misma app de Bitwarden, la versión de Google Play no es bloqueada
    • La política de seguridad se aplica de forma diferente por el hecho de que el origen de instalación es distinto

Diferencias en la política de seguridad

  • La app de HSBC parece incluir detección de root o detección de instalación de apps no oficiales
    • Como las apps de la versión de F-Droid tienen una clave de firma o una ruta de distribución diferente, no logran pasar la verificación de seguridad
  • Como resultado, el usuario enfrenta la molestia de ver restringido el uso normal de una app legítima

Significado e implicaciones

  • Revela que las apps de instituciones financieras tienden a no confiar en los canales de distribución de apps de código abierto
  • Tanto desarrolladores como usuarios necesitan reconocer las diferencias en el sistema de confianza según la firma de la app y la ruta de distribución
  • Es un caso que muestra la posibilidad de conflicto entre el ecosistema de código abierto y las políticas de seguridad financieras

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-01
Comentarios en Hacker News

  • Es un problema de SafeNet de Google. HSBC eligió cierto nivel y por eso pasa esto. Google gestiona la lista negra de apps
    Poco a poco estamos perdiendo libertad según la voluntad de las corporaciones. Aunque no esté prohibido por ley, si ellas no quieren, pueden bloquearlo
    En Suiza y la UE también ocurre el "debanking" por la presión de EE. UU., ya que los bancos que usan USD reciben sanciones. EE. UU. sanciona a personas en nombre de la libertad de expresión y, como resultado, hay quienes terminan perdiendo sus cuentas bancarias
    Según la ley suiza, Postfinance debe ofrecer una cuenta a cualquier persona, pero si te sancionan no puedes usar el sistema de transferencias, divisas, tarjetas de crédito ni Twint, así que en la práctica no sirve para nada. Ni siquiera puedes pagar el seguro médico o la renta

    • En Suiza puede que los bancos no usen Play Integrity, pero la mayoría no quiere hacerlo.
      Yuh, que era copropiedad de Postfinance y Swissquote, funciona sin Play Integrity y tiene soporte confirmado en GrapheneOS
      El problema es que la mayoría de los bancos tradicionales elige estas soluciones ineficientes para cumplir con la regulación. Al final, activar Google Play Integrity es lo más fácil, así que eso hacen
      Lo de las sanciones de EE. UU. también es real. Personas de países sancionados, como Rusia, sufren restricciones parecidas
      En Suiza, los ciudadanos estadounidenses tienen muchas dificultades para abrir una cuenta, debido a casos pasados en los que se evitó al IRS gracias al secreto bancario
    • Como ciudadano de la UE, nunca había oído de casos así. Es la primera vez que escucho que bancos de la UE expulsen clientes por presión de EE. UU. Me pregunto si hay artículos o fuentes al respecto
    • Desde este año uso dos teléfonos
      1. iPhone SE 2022 — solo para TOTP, banca y autenticación, normalmente en modo avión. Tendrá soporte de actualizaciones de seguridad hasta 2032
      2. Pixel + GrapheneOS — para el día a día (internet, llamadas, mensajes, etc.)
        En 2025, creo que esta combinación es la forma más práctica
    • Sobre eso de “perdemos libertad por la voluntad de las corporaciones”, no creo que sea solo problema de Google. Postfinance, Twint, las aseguradoras, los caseros y otros también deberían ofrecer maneras de operar sin terceros
      El gobierno también debería permitir que la ciudadanía haga comercio sin intermediarios
      Todos se escudan en que “solo seguimos las reglas” para evadir su responsabilidad. Al final Google recibe las críticas porque todos se acomodaron a la conveniencia
    • No pude encontrar esa función en la documentación de SafetyNet ni de la API de Play Integrity. Me gustaría conocer la fuente o detalles al respecto

  • En el Reino Unido hay muchos bancos que no tienen estas limitaciones. Por ejemplo, Monzo solo muestra una advertencia incluso en dispositivos con root y deja que el usuario decida
    Gracias a Current Account Switching Service, también es fácil cambiarse desde un banco tradicional como HSBC

    • Mi experiencia fue distinta. La mayoría de las apps bancarias principales no funcionaban en dispositivos con root
      Chip recomendó dejar de usarla diciendo que iba a reforzar la detección de root, pero en realidad siguió funcionando
      Barclaycard, Nationwide y otras bloquean el acceso por completo. Hay más apps bancarias, pero siento que la calidad del producto es peor
    • En el último año, las apps de Barclays y Lloyds dejaron de funcionar en mi teléfono.
      TSB todavía funciona, pero creo que solo porque va retrasado por falta de capacidad técnica
      Parece que al final Monzo será la única excepción

  • Si estás creando un sitio web móvil y no conoces las PWA (Progressive Web Apps), vale la pena aprender sobre ellas
    Con solo añadir dos archivos, manifest.json y service worker, ya se puede instalar desde el navegador y configurar caché offline
    Si no es una app muy compleja, puedes reducir muchísimo el costo de desarrollo. Se puede hacer solo con HTML, JS y CSS, y distribuirse sin pasar por una tienda
    Consulta este tutorial de MDN

    • Pero ni siquiera Firefox en escritorio soporta PWA, así que no diría que el panorama sea muy prometedor
    • Las PWA existen desde hace años, pero para el usuario general siguen siendo una tecnología que no termina de despegar. Son una alternativa para el problema de las tiendas de apps, pero les falta adopción masiva

  • Mi esposa quiso usar un teléfono plegable por nostalgia, pero aunque tiene Android Go 14, la app del banco no funciona por “detección de compartición de pantalla”
    La app de POSB muestra como causa “android system”. Supongo que el renderizado de la pantalla secundaria se detectó por error
    Contactamos a POSB, pero no se resolvió. En Singapur, la amenaza real para la seguridad financiera son las estafas tipo pig butchering, pero los bancos reaccionan en exceso frente a malware poco probable

  • HSBC todavía ofrece banca web normal
    Cuantos más usuarios usen la web, más señal será de que los clientes prefieren la web abierta a las apps móviles cerradas
    Yo todavía uso un token RSA físico en vez de 2FA basado en app

    • En el Reino Unido, para usar la banca web necesitas un token físico. No puedes tener app y token al mismo tiempo, así que si la app queda bloqueada, tienes que volver a pedir el token

  • Pensé que Google había eliminado la API que permite consultar otras apps

    • Todavía se puede. La app debe declarar qué paquetes quiere consultar. La app de HSBC usa el permiso <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
      Según la documentación de políticas de Google, las apps relacionadas con transacciones financieras pueden obtener este permiso con fines de seguridad
    • Las apps distribuidas en Google Play pueden solicitar este permiso para ciertos fines específicos. Probablemente HSBC fue aprobada bajo la categoría de "antivirus"
      Enlace a la documentación
    • Prácticamente todas las apps saben qué tienes instalado
      Mira este artículo y esta discusión en Hacker News

  • Algunas apps bancarias implementan su propio teclado virtual para impedir el uso de administradores de contraseñas

    • Mi banco también hace eso. A los bancos franceses les encantan especialmente los teclados numéricos mezclados. Tienes que hacer clic con el mouse en una contraseña numérica de 6 a 8 dígitos
      En vez de biometría, te piden la contraseña periódicamente, y es muy incómodo tener que introducirla en lugares públicos como el metro
      Este método era una respuesta antigua a los keyloggers, pero hoy ya no aporta seguridad y solo deja incomodidad
    • Mi banco anterior obligaba a usar una contraseña de 6 a 8 dígitos solo numéricos. No sé si eso ya cambió

  • Si el modo desarrollador está activado, la app de HSBC no funciona. Me parece una medida excesiva

    • La app de mygov.be en mi país funciona igual. Como desarrollador, uso adb y las opciones de desarrollador con frecuencia, y tener que desactivarlas cada vez es muy molesto
      Consulta el sitio de mygov.be
    • Varias apps bancarias de Singapur también tienen esta restricción con el modo desarrollador. En la mayoría de los casos es por frameworks de seguridad pensados para pasar auditorías, pero en la práctica son ineficientes

  • Irónicamente, mientras las apps bancarias obligan a estas funciones de "seguridad", la banca web sigue sin tener una forma confiable de generar confianza

    • Estos requisitos suelen venir de una checklist de consultores de seguridad. Una vez me señalaron que “las credenciales quedan en el keychain incluso después de borrar la app”, a un nivel de desconocimiento tal que ni sabían que una app no puede ejecutar código al ser eliminada

  • Hace poco conocí Open Web Advocacy (OWA), que resume muy bien los problemas de las plataformas móviles
    Sus objetivos centrales son los siguientes

    1. La prohibición de navegadores de terceros por parte de Apple es anticompetitiva
    2. Las web apps deben tratarse al mismo nivel que las apps nativas
    3. Eliminar las barreras artificiales creadas por los dueños de la plataforma
      Si se permitieran las web apps, podrían ofrecer mayor privacidad y seguridad
      Sitio oficial