Por qué las conexiones bancarias de tu app de finanzas se rompen una y otra vez
Por qué las conexiones bancarias de tu app de finanzas se rompen una y otra vez
Configuraste tu app de presupuestos, conectaste todas tus cuentas y te sentiste organizado durante unas tres semanas. Luego una cuenta dejó de actualizarse. Después otra te pidió que "volvieras a conectar". Y una tercera se quedó obsoleta en silencio y no te diste cuenta hasta que tus cifras estaban mal.
Si esto te suena, no estás haciendo nada mal. Las conexiones bancarias rotas no son un fallo que puedas arreglar. Son una característica estructural de cómo funciona la agregación de cuentas. Esta es la razón técnica, explicada con honestidad.
Cómo se conectan las apps de finanzas a tu banco
Cuando una app muestra el saldo de tu banco, no es magia. Hay un tercero en medio, un agregador, como Plaid, Yodlee, Tink o TrueLayer. La app habla con el agregador, y el agregador habla con tu banco. Esa segunda conversación ocurre de dos formas principales, y cada una falla por motivos distintos.
Método 1: Screen scraping
El método más antiguo es el screen scraping. El agregador guarda tu usuario y contraseña del banco, inicia sesión en la web de tu banco en tu nombre y lee la página como un robot que copia números de una pantalla.
Esto funciona hasta que algo cambia:
- El banco rediseña su web y el scraper ya no encuentra el saldo donde lo esperaba.
- El banco añade o cambia un paso de seguridad y el inicio de sesión automatizado se queda atascado.
- El banco detecta inicios de sesión automatizados y los bloquea, porque para el sistema de seguridad de un banco, un robot iniciando sesión desde un centro de datos se parece exactamente a un atacante.
El screen scraping es frágil por naturaleza. Depende de que la web de un banco nunca cambie, y las webs de los bancos cambian constantemente.
Método 2: APIs de open banking
El método moderno es el open banking. En lugar de iniciar sesión como si fueras tú, el agregador usa una API oficial que el banco proporciona, autorizada mediante un flujo de consentimiento adecuado. Esto es mucho más limpio y es obligatorio en algunas regiones. En Europa, el reglamento PSD2 obliga a los bancos a ofrecer estas APIs.
Es mejor, pero aun así se rompe, sobre todo por cómo funciona el modelo de consentimiento y seguridad.
Por qué incluso las conexiones modernas se siguen rompiendo
Se suponía que el open banking iba a resolver la fragilidad. Ayudó, pero quedan varios problemas difíciles.
Los tokens de consentimiento caducan
Cuando autorizas una app, el banco emite un token de acceso temporal. Bajo regulaciones como la PSD2, ese consentimiento a menudo caduca cada 90 días y debe renovarse con un nuevo inicio de sesión. Así que más o menos cada trimestre, cada conexión te exige volver a autenticarte. Si te lo saltas, los datos quedan obsoletos. Esta única regla es responsable de una enorme proporción de los mensajes de "vuelve a conectar".
La autenticación multifactor se interpone
Los bancos están obligados a usar autenticación reforzada del cliente, que normalmente significa un código de un solo uso, una aprobación en una app o una verificación biométrica. Estos pasos están diseñados para involucrar a un humano en tiempo real. Una sincronización automatizada en segundo plano, por definición, no tiene a ningún humano presente para pulsar "aprobar", así que se queda colgada y la conexión se cae. La Autoridad Bancaria Europea fija estos estándares de autenticación precisamente para mantener bajo control el acceso automatizado.
Los bancos no siempre cooperan
Los bancos tienen pocos incentivos para hacer que el acceso de terceros sea fluido y varias razones para limitarlo. Sus APIs pueden ser poco fiables, tener límites de uso o estar rotas en silencio. Los bancos y brókeres más pequeños puede que no ofrezcan ninguna API, obligando a los agregadores a volver al frágil scraping. Cuando un banco cambia su postura de seguridad o simplemente bloquea el tráfico de un agregador, todas las apps que dependen de esa conexión se rompen a la vez.
La cobertura es desigual
Un agregador puede dar soporte a miles de instituciones, pero el "soporte" varía en calidad. Tu gran banco nacional puede sincronizar a la perfección mientras que tu cooperativa de crédito regional, tu bróker extranjero o tu exchange de cripto sincronizan mal o directamente no sincronizan.
Una comparación rápida
| Método de conexión | Cómo funciona | Por qué se rompe |
|---|---|---|
| Screen scraping | Un robot inicia sesión con tu contraseña | Rediseños de la web, inicios de sesión bloqueados, nuevos pasos de seguridad |
| API de open banking | Acceso oficial y autorizado vía API | Caducidad del token (~90 días), avisos de MFA, caídas del lado del banco |
| Entrada manual | Tú mismo escribes el saldo | No se rompe, pero te lleva unos minutos al mes |
El coste de privacidad que nadie menciona
Hay un segundo problema más allá de la fiabilidad. Para sincronizar, normalmente entregas a un agregador o bien tus credenciales bancarias o bien un permiso permanente para leer todo tu historial de transacciones. Esos datos pasan a través de, y a menudo son almacenados por, un tercero que nunca elegiste directamente. Incluso con una seguridad sólida, es una superficie de ataque mayor y un compromiso real de privacidad. Escribimos más sobre esto en por qué no nos conectamos a tu banco.
Por qué el seguimiento manual evita todo el problema
Esta es la concesión honesta. El seguimiento manual requiere disciplina. Tienes que abrir tus cuentas y escribir los saldos tú mismo, normalmente una vez al mes. No hay piloto automático.
Pero a cambio obtienes algo que las apps automatizadas no pueden ofrecer: nada que se rompa. No hay token que caduque, ni aviso de MFA que se te escape, ni banco que te bloquee, ni agregador guardando tus credenciales. La conexión no puede fallar porque no hay conexión.
Este es el diseño deliberado detrás de MyMoneyViz. Es manual primero: actualizas tus saldos en unos cinco minutos al mes, a través de más de 13 tipos de activos, incluyendo cuentas que la sincronización de tu banco nunca alcanzaría, como inmuebles, acciones privadas o esa cartera de cripto que ningún agregador soporta. Un recordatorio mensual opcional mantiene el hábito, y como nunca compartes ni una sola credencial, tus datos financieros siguen siendo enteramente tuyos. Si estás comparando herramientas centradas en la privacidad, nuestra alternativa a Finary para el seguimiento privado del patrimonio neto desglosa las diferencias.
La conclusión
Las conexiones bancarias no se rompen porque tu app sea mala. Se rompen porque el acceso automatizado a tu banco es fundamentalmente frágil: los scrapers luchan contra webs que cambian, las APIs luchan contra el consentimiento que caduca y la autenticación humana obligatoria, y los bancos no están obligados a hacer que nada de esto sea fluido.
Puedes seguir peleando con los avisos de reconexión, o puedes esquivar toda la maquinaria. Unos pocos minutos deliberados al mes te compran algo que nunca queda obsoleto y nunca filtra tus credenciales.
¿Cansado de reconectar cuentas que se siguen cayendo? Empieza a hacer seguimiento con MyMoneyViz y haz tuya una imagen financiera que simplemente no se puede romper.
