Cómo las apps de presupuesto revenden tus datos en silencio

2026-05-19 · Lectura de 12 minutos · Investigación

La cadena de suministro

Cuando una app de presupuesto anuncia conexión con cuentas bancarias, suele haber tres empresas entre tú y la app:

• El agregador que habla con tu banco (Plaid es el dominante en EE. UU.; MX, Yodlee y Finicity compiten)
• La propia app de presupuesto
• Los compradores finales de datos — entidades financieras, fondos que hacen investigación con datos alternativos, startups fintech entrenando modelos, afiliados de productos de crédito

El flujo es sencillo: tu banco → agregador → app → compradores finales. Cada salto está descrito en una política de privacidad que no leíste. La política del agregador dice que puede compartir datos anonimizados con la app. La política de la app dice que puede compartir datos anonimizados con socios. Más abajo es donde se vuelve difícil de rastrear.

Qué significa «anonimizado» en la práctica

Las políticas de privacidad prometen rutinariamente que los datos compartidos están «anonimizados» — sin tu nombre ni tu número de cuenta. Pero los datos a nivel de transacción, con fechas, importes y nombres de comercio, son célebremente difíciles de anonimizar de verdad. Un estudio del MIT de 2015 mostró que cuatro transacciones arbitrarias con tarjeta bastan para identificar de forma única al 90 % de las personas en un conjunto de millones, incluso tras quitar los nombres.

Los datos no necesitan estar atados a ti en concreto para tener valor. Los datos agregados de transacciones muestran que el gasto en restaurantes ha subido un 12 % este trimestre en una ciudad; que la cancelación de suscripciones a Disney+ está aumentando; que cierto perfil de consumidor tiene más probabilidad de impagar un préstamo. Ninguna de esas conclusiones necesita tu nombre — pero todas necesitan tus transacciones.

Cómo se mantuvieron «gratis» las apps de presupuesto

Mint, en su época, servía anuncios junto a este flujo de venta de datos. Ambas cosas estaban claras en la política de privacidad. El trato implícito: tú obtienes un control de presupuesto gratis, la app obtiene tus datos de transacciones y una superficie publicitaria que vender. Durante 14 años ese trato funcionó para ambas partes — hasta que Intuit consolidó y el cálculo de coste-beneficio cambió.

Los sucesores post-Mint dividieron el modelo. Algunos mantuvieron el flujo de datos pero añadieron una suscripción encima (Monarch, Copilot, Empower). Otros rechazaron el flujo de datos y cobraron una suscripción limpia (YNAB). Unos pocos rechazaron toda la arquitectura y cobraron un pago único (Penno, Buddy, Actual Budget).

El agregador es la pieza que lo sostiene todo

La decisión más trascendental que toma una app de presupuesto es si integra Plaid (o equivalente). Una vez integrada, tus datos de transacciones fluyen por la infraestructura de Plaid en cada actualización. La política de privacidad de Plaid es amplia: pueden usar los datos que procesan para «mejorar sus servicios», lo que, según la propia política, incluye desarrollar productos financieros y hacer investigación.

Plaid es hoy una empresa de 13.000 millones de dólares, según su última valoración de 2021. Esa cifra no se justifica con las tarifas que cobra como servicio de agregación — se justifica con el flujo de datos. Plaid es, por algunas medidas, el mayor custodio de datos de transacciones de consumidores en EE. UU. fuera de los propios grandes bancos.

Qué puedes verificar de verdad

Si el marketing de una app afirma «no vendemos tus datos», verifica tres cosas:

1. La política de privacidad. Busca expresiones sobre «proveedores de servicios», «conclusiones agregadas», «investigación con socios». No son mentiras — son la divulgación del flujo real.
2. La política del agregador. Si la app usa Plaid, tus datos pasan por los términos de Plaid sin importar lo que diga la política de la app.
3. La ficha de privacidad de la App Store de Apple. Apple exige a las apps declarar qué datos recogen y cómo los vinculan a tu identidad. La ficha de una app de presupuesto típica con conexión bancaria muestra que se recogen datos de transacciones y que pueden vincularse a la identidad.

La alternativa arquitectónica

La única forma de tener la certeza de que nada de esto ocurre es usar una app que no tenga integración con agregadores en absoluto. Esa es la decisión de diseño detrás de Penno: el binario no contiene ningún SDK de Plaid, ni MX, ni Yodlee, ni Finicity. No hay infraestructura que pudiera transmitir datos de transacciones, ni aunque quisiéramos. La vía para los datos no existe.

La concesión es real: introduces cada transacción tú mismo. La comodidad desaparece. Lo que recibes a cambio es la certeza de que la arquitectura coincide con el marketing.

Qué hacer en la práctica

Si quieres seguir usando una app con conexión bancaria, bien — millones de personas lo hacen, y el riesgo de venta de datos es real pero no catastrófico a nivel individual. Puedes mitigarlo:

• Lee las políticas de privacidad de la app y del agregador
• Limita qué cuentas enlazas (no enlaces cuentas de inversión si solo presupuestas con la corriente)
• Revoca el acceso desde el banco (la mayoría te deja ver y revocar las conexiones de agregadores en los ajustes de seguridad)
• Borra tu cuenta de la app cuando dejes de usarla — y verifícalo en los ajustes de borrado de datos, no solo desinstalando

Si ya has decidido que la concesión no compensa, las opciones de entrada manual existen. Son más lentas por transacción, pero eliminan el flujo de datos por completo.

Una nota sobre este artículo

Yo (el desarrollador de Penno) tengo un interés evidente en este argumento. He intentado que el texto sea factual — cada afirmación de arriba es verificable contra las políticas de privacidad de las empresas nombradas. Si algo te parece exagerado o injusto, escríbeme y lo corrijo.