Gobierno de Vietnam prohíbe el uso de "todas las apps bancarias" en smartphones con root

 (xdaforums.com)
1 puntos por GN⁺ 2026-01-10 | 1 comentarios | Compartir por WhatsApp
  • La enmienda ‘77/2025/TT-NHNN’ anunciada por el banco central de Vietnam establece que se debe bloquear la ejecución de apps de banca móvil en entornos vulnerables de seguridad como dispositivos con root, bootloader desbloqueado o conexión ADB
  • La nueva norma entra en vigor el 1 de marzo, y si la app detecta estas señales, debe cerrarse automáticamente y notificar al usuario
  • Entre los casos sujetos a bloqueo están conexión de depurador, ejecución en emulador, inyección de código (hook), modificación o reempaquetado de la app
  • Usuarios del foro XDA señalan que esta medida excluye de los servicios financieros a todos los dispositivos con ADB o bootloader desbloqueado
  • En las comunidades de desarrolladores y root se considera parte de una tendencia global de endurecimiento de la seguridad, y ya se discuten posibles respuestas

Nueva normativa de seguridad del banco central de Vietnam

  • ‘77/2025/TT-NHNN’ es un documento que modifica la norma vigente ‘50/2024/TT-NHNN’, y especifica el refuerzo de la seguridad y la protección en los servicios financieros en línea
    • El artículo 5, apartado 2, modifica el artículo 8, apartado 4, para obligar a que las apps de banca móvil se cierren de inmediato e informen el motivo si detectan manipulación no autorizada
  • Las condiciones de bloqueo son las siguientes
    • Conexión de depurador o ejecución en emulador o máquina virtual, activación de ADB (Android Debug Bridge)
    • Inyección de código externo (hook), monitoreo de llamadas API, modificación o reempaquetado de la app
    • Estado de rooting o jailbreak, bootloader desbloqueado
  • Esta disposición exige que las apps de banca móvil integren por sí mismas funciones de detección y bloqueo

Reacciones de usuarios en el foro XDA

  • Un usuario comentó que “las apps bancarias quedaron prohibidas en dispositivos con ADB y bootloader desbloqueado” y mencionó que la medida se aplica desde el 1 de marzo
  • Otro usuario dijo que “es triste, pero no sorprende”, y evaluó que la tendencia global es hacia regulaciones de seguridad más estrictas
  • Algunos mostraron intención de responder diciendo “buscaremos una forma de saltarlo”, mientras que otro comentó que “planea usar un dispositivo aparte solo para banca

Contexto técnico y debate en la comunidad

  • Ese hilo era originalmente un espacio de discusión sobre Magisk, Play Integrity y evasión de detección de root, donde se compartían experimentos técnicos sobre
    evitar la detección de root, falsificación de fingerprint y prevención del robo de keybox
  • La nueva normativa de Vietnam llama la atención como un caso que choca directamente con estos intentos de evadir la detección de root
  • Algunos desarrolladores compartieron métodos para resolver problemas, como inicializar la caché con comandos ADB y revisar configuraciones de spoofing, pero
    se plantea que, tras la entrada en vigor de la norma, la propia app bancaria podría dejar de poder ejecutarse

Debate adicional dentro de la comunidad

  • Los usuarios interpretan esta medida como un bloqueo total de entornos con ADB, root y bootloader desbloqueado
  • Algunos expresan preocupación de que “el gobierno limita el control del usuario con el pretexto de la seguridad
  • En cambio, otros participantes sostienen que “reforzar la seguridad es una tendencia inevitable” y presentan como alternativa realista
    separar el uso de dispositivos con root de los servicios financieros

Significado e impacto

  • La medida es vista como uno de los primeros casos en que se prohíbe legalmente a nivel nacional el acceso financiero desde dispositivos con root
  • Podría afectar a la seguridad móvil, la comunidad de root y la industria fintech
  • En el foro XDA lo ven como una nueva fase del “interminable juego del gato y el ratón entre el root y la seguridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-10
Opiniones de Hacker News

  • Creo que el mayor mal es hacer que poseas una computadora pero no puedas tener acceso root
    Ahora vivimos en una época en la que la gente puede quedar excluida de la sociedad solo por querer decidir qué software ejecutar en sus propios dispositivos

    • Al final, parece que vamos hacia un mundo en el que todos tendrán que tener al menos un smartphone bloqueado para usar servicios del gobierno o del banco
      No es por comodidad del usuario, sino porque es el “agente” que gobiernos y bancos usan para comunicarse con nosotros
    • En el fondo, es una lucha en la que estamos perdiendo el derecho a reparar o controlar directamente las cosas que compramos con nuestro dinero
    • La sola idea de que el gobierno deba tener ese poder es una locura total
      Incluso si lo quisiera, técnicamente no debería tener esa capacidad
    • Quitarle por la fuerza la autonomía a una persona es literalmente malvado
      Una cárcel física y una cárcel digital son distintas, pero ambas encierran a los seres humanos, y en ese sentido se puede llamar maldad a las dos
    • También es interesante ver a otro gobierno intentando aumentar su dependencia de las big tech de EE. UU.
      No sé si Vietnam todavía tiene margen para hablar de soberanía digital, pero medidas como esta parecen ir justo en la dirección contraria

  • Cada vez más, si no puedes demostrarle a un servidor remoto que tu dispositivo está ejecutando software firmado y sin modificaciones, quedas excluido de la actividad económica
    El modelo de seguridad en sí tiene sentido, pero vamos camino a un mundo donde el usuario es tratado como enemigo de su propio hardware

    • Yo hice las paces con eso usando dos teléfonos
      Uno es un iPhone SE bloqueado para autenticación y banca, y el otro es un Pixel 9a con Graphene OS para el día a día
      Es caro, pero es una solución realista
    • Cory Doctorow ya había anticipado esta situación en 2011 — The Coming War on General Purpose Computation
    • En realidad, este modelo de seguridad no funciona perfectamente
      El malware moderno más avanzado opera solo en memoria y no deja rastro en el espacio root
      Al final, prohibir el root parece servir más al control que a la seguridad real
    • Yo no uso apps bancarias en el teléfono
      En su lugar, me autentico desde la PC con un token de hardware. Me parece mucho menos molesto y más seguro
    • Una ROM vieja firmada pasa aunque tenga muchas vulnerabilidades, mientras que Lineage OS o Graphene OS actualizados son rechazados. Cuesta creer que eso sea seguridad de verdad

  • Cuando trabajaba en el equipo de autenticación de Vanguard, alguna vez bloqueamos las conexiones desde Vietnam
    Había demasiados intentos de fraude, aunque los clientes adinerados se conectaban usando VPN para esquivarlo
    Las financieras siempre están peleando contra el fraude de esta manera

    • Me da curiosidad saber cuánto fraude ocurre realmente desde dispositivos rooteados
      Tal vez la mayor parte de esto sea solo un requisito de seguridad de checklist, y no una amenaza realista
    • Yo también, cuando administraba un servidor personal, llegué a bloquear todas las IP de Asia
      Había demasiados escaneos de puertos e intentos de ataque. Sí, se podía pasar por VPN, pero como eso tiene un costo, igual resultaba efectivo
    • Cuando registré una Yubikey en Vanguard en 2019, me pareció algo realmente innovador
      Otros bancos también habían llegado al punto en que solo podías iniciar sesión si activabas una VPN

  • La mayoría de los bancos todavía permiten entrar a sus sitios web desde PCs con acceso root

    • Pero últimamente la tendencia va hacia el inicio de sesión exclusivo por app
      Uno de mis bancos solo permite iniciar sesión con código QR, y bloquea dispositivos rooteados
      Por ahora todavía se puede esquivar del lado del cliente, pero cuando Play Integrity API se implemente por completo, ya no se podrá romper sin una vulnerabilidad de hardware
    • Al final, parece que también va a desaparecer el acceso web
      Como con HMRC en el Reino Unido, todo apunta a que todos los trámites solo podrán hacerse por app
    • En Tailandia, el reconocimiento facial es obligatorio para transferencias de más de 50 mil baht
      Por eso la mayoría dejó la banca por internet y terminó autenticándose solo con la app móvil
      Ojalá aparezcan nuevos bancos basados en API, pero por ahora solo los grupos bancarios tradicionales están obteniendo licencias
    • En Hungría pasa algo parecido. En dispositivos no oficiales, el 2FA solo funciona por app o SMS
      Sorprende que todavía consideren seguro el SMS

  • No entiendo por qué el gobierno está tan obsesionado con los teléfonos rooteados
    La gente técnica que hace root normalmente sabe los riesgos que corre

    • La clave no es si tiene root o no, sino quién controla el sistema operativo
      Para quienes quieren centralizar el poder, eso representa una fuerza enorme
    • Desde la perspectiva del banco, esto puede reducir costos de seguridad y disminuir pérdidas de clientes
    • Vietnam está impulsando verificación de identidad biométrica mediante el proyecto VNeID
      El actual líder, To Lam, viene de la KGB, así que yo nunca llevo mis dispositivos personales cuando viajo a Vietnam
      Sitio oficial de VNeID, artículo sobre registro de SIM
    • Otro motivo es ganarse la confianza de los bancos extranjeros
      Es para que no les rechacen transacciones bajo la idea de que “Vietnam tiene mucho fraude”

  • Esto parece ser parte de la política de vinculación de cuentas basada en biometría de los gobiernos de Vietnam y Tailandia
    Vietnam exige vincular todas las cuentas con datos biométricos antes del 19 de diciembre de 2025
    Artículo relacionado 1, artículo 2

    • Pero el problema del SIM swapping se resolvería eliminando la autenticación por SMS
      No es algo que se arregle bloqueando teléfonos rooteados
    • Esta política también está conectada con el proyecto VNeID
      La meta es asignar una ID biométrica digital a todos los ciudadanos y visitantes extranjeros para 2030 y vincular todos los servicios
      VNeID, artículo sobre el plan 2030

  • Antes me fascinaba hacer root, pero ahora, como usuario de iPhone, entiendo ambos lados
    La gente que hace root normalmente tiene habilidades técnicas y bastante conciencia de seguridad,
    pero como los bancos enfrentan multas enormes si incumplen regulaciones, quizá bloquear de forma generalizada sea una decisión racional
    El Android moderno también está tan bloqueado como iOS, y hasta siento que la optimización de hardware es mejor en iOS
    Así que por ahora pienso quedarme del lado de iOS

  • Bloquear teléfonos rooteados no busca proteger al usuario, sino reforzar el DRM
    Si no tienes privilegios root, la app obtiene DRM automáticamente, y el usuario ni siquiera puede acceder a sus datos o hacer respaldos
    Decir “te protegemos por seguridad” al final no es más que un pretexto para el control del usuario
    Privilege separation es un concepto antiguo, y ahora estamos yendo en sentido contrario

    • Claro, también puede pasar que el teléfono de alguien no técnico sea rooteado a escondidas
      Por eso los bancos parecen tratar a todos los teléfonos rooteados como un grupo de riesgo
    • Si un teléfono rooteado es comprometido, al final las quejas al gobierno terminan llegando igual, así que la lógica sería bloquearlo de forma preventiva
    • Cuando ves la frase “detección de interferencia no autorizada en apps de banca móvil”, parece que el objetivo principal es más la protección del banco mismo que la del cliente
    • Como hasta hackers de nivel estatal podrían abusar de teléfonos rooteados, para los bancos la aversión al riesgo es la prioridad absoluta

  • Parece haber dos motivos detrás de este tipo de medidas

    1. Incompetencia — terminaron adoptando un SDK que no aporta seguridad real
    2. Control de vigilancia — un Estado autoritario como Vietnam querría controlar por completo los dispositivos de la población
      Por fuera parece una “medida de seguridad”, pero en la práctica es una herramienta para construir un sistema de vigilancia total

  • Hay muchísimas razones legítimas para hacer root
    Extender la vida útil de la batería, bloquear rastreadores, innovar en la UI: todo eso beneficia al medio ambiente y al avance tecnológico
    Pero grandes empresas como Apple, Google y Microsoft están frenando esa innovación
    Como resultado, estamos perdiendo creatividad y progreso