MyVault
← Back to Blog

¿Es seguro subir extractos bancarios a aplicaciones de IA? Una respuesta honesta

Qué pasa realmente con tus datos cuando subes un extracto bancario a una app de finanzas personales con IA, qué buscar en una política de privacidad y cómo evaluar el riesgo real frente a las alternativas.

9 min readTimur Shagiakhmetovprivacy · security · ai

Cada aplicación de finanzas personales con IA tarde o temprano se enfrenta a la misma pregunta de un usuario cuidadoso: ¿es seguro? Es la objeción más grande de la categoría y es justa — los extractos bancarios contienen información suficiente para hacerse pasar por, perfilar o hacer ingeniería social con la persona a la que pertenecen. La respuesta honesta es: "depende, y aquí está exactamente qué debes buscar."

Creamos MyVault, una app de IA que procesa extractos bancarios subidos. Esta es la respuesta que damos a amigos y familiares que preguntan, escrita de la manera más directa que podemos.

Qué hay realmente en un extracto bancario

Un extracto típico contiene:

  • Tu nombre y dirección de correo.
  • Un número de cuenta, a menudo parcialmente enmascarado (últimos cuatro dígitos o últimos seis).
  • El número de ruta del banco, generalmente impreso completo.
  • Un historial de transacciones línea por línea con fechas, descriptores del comercio y montos.
  • Saldos de apertura y cierre.
  • Posiblemente revisa imágenes, si las escaneas y forman parte del PDF.

En cuanto a sensibilidad, esto es moderadamente sensible — más que tu historial de compras, menos que un escaneo de pasaporte. El número de cuenta enmascarado por sí solo normalmente no puede usarse para acceder a tu cuenta, pero combinado con información personal de otras fuentes, puede respaldar intentos de ingeniería social. Trata los extractos con el mismo cuidado que tratarías una declaración de impuestos.

Qué hace una app de finanzas con IA realmente con el archivo

A nivel técnico, procesar un extracto bancario implica cuatro pasos:

  1. Subir — el archivo pasa de tu navegador al servidor de la app, idealmente a través de HTTPS con TLS 1.2 o superior. Esta es la misma encriptación que usa tu banco para la banca en línea.
  2. Análisis (parsing) — el servidor extrae texto del PDF. Este paso podría usar una librería PDF local, un servicio OCR de terceros o un LLM. La elección importa para la privacidad: una librería local mantiene los datos en el servidor de la app; un OCR de terceros envía el archivo a otro proveedor.
  3. Categorización — las líneas de transacciones extraídas se envían a un modelo de IA que devuelve etiquetas de categoría. Algunas apps ejecutan el modelo en su propia infraestructura; la mayoría usa OpenAI, Anthropic o Google. El flujo exacto de datos importa: algunas apps envían solo el descriptor del comercio (menor riesgo); otras envían la transacción completa incluyendo montos (riesgo medio); algunas envían el archivo completo del extracto (mayor riesgo).
  4. Almacenamiento — las transacciones analizadas se guardan en la base de datos de la app. El PDF original se elimina, se conserva por un periodo o se mantiene indefinidamente, según la política de la app.

Qué buscar antes de subir

1. HTTPS con un certificado válido

La barra de direcciones del navegador debería mostrar un certificado válido. Si ves cualquier advertencia durante la carga, detente. Esto es lo mínimo.

2. Una política de privacidad clara y legible

Busca respuestas explícitas a estas preguntas:

  • ¿Dónde se almacenan mis datos y en qué jurisdicción?
  • ¿Se conserva mi extracto cargado y durante cuánto tiempo?
  • ¿Se envían transacciones o cualquier contenido de documentos a proveedores de IA de terceros?
  • ¿Mis datos se usan alguna vez para entrenar modelos de IA?
  • ¿Qué pasa con mis datos si elimino mi cuenta?

Una respuesta vaga a cualquiera de estas es una señal de alarma. Una política de privacidad que diga "podemos compartir datos con socios para cualquier propósito" es un rotundo no.

3. Encriptación en reposo

La base de datos de la app debería encriptar tus datos en reposo. La mayoría de bases de datos administradas (AWS RDS, Google Cloud SQL, equivalente) lo hacen por defecto; la pregunta es si la capa de aplicación lo está usando.

4. Autenticación de dos factores

Cualquier cuenta que contenga tu historial de transacciones debería admitir 2FA, idealmente con una app de autenticación en lugar de SMS. Úsala.

5. Eliminación de cuenta que realmente elimina

Una opción de eliminación que solo oculta tus datos sin quitarlos no es eliminación. La política de privacidad debería decir explícitamente que la eliminación de cuenta elimina los archivos cargados y las filas de la base de datos, no solo el registro de la cuenta.

Cómo se comparan las apps de IA con las alternativas

Es tentador evaluar "¿es seguro?" en términos absolutos, pero la comparación correcta es con las alternativas — porque no hacer nada también es una elección con riesgo.

Agregadores basados en Plaid

Apps como Mint (históricamente), Monarch, Copilot y YNAB usan Plaid o un agregador similar para leer tus datos bancarios. Para hacerlo, le das a Plaid tu inicio de sesión bancario. Plaid almacena esas credenciales y las usa para leer tus cuentas de forma recurrente. Los agregadores tienen un historial de seguridad sólido, pero el modelo de amenaza es diferente al de las apps basadas en carga: una brecha de Plaid expone tus credenciales bancarias; una brecha en una app que sube extractos expone datos del extracto sin las credenciales.

Hojas de cálculo y correo

Muchas personas guardan PDFs de extractos en su correo de forma indefinida o pegan los datos de transacciones en Google Sheets y se olvidan de ello. No son más seguras que una app de IA bien gestionada — posiblemente menos seguras, dado que las brechas de correo y de almacenamiento en la nube para consumidores son comunes.

No hacer nada

La alternativa más común al uso de una app de finanzas es no tener ningún sistema, lo cual tiene su propio costo: cargos fraudulentos que se pasan por alto, suscripciones olvidadas y gastos no monitoreados. A lo largo de algunos años, el costo financiero de no registrar los gastos a menudo supera el peor costo de privacidad de usar un rastreador confiable.

Lo que MyVault hace específicamente

Escribiremos lo que hacemos, para que puedas compararlo con otras apps que estés evaluando:

  • Nunca te pedimos tus credenciales bancarias. No hay Plaid en nuestro flujo. El archivo que subes es el mismo que descargarías para preparar impuestos.
  • Los extractos cargados se procesan una vez para extraer transacciones. Conservamos las transacciones analizadas; eliminamos el archivo original después del procesamiento a menos que optes por mantenerlo (algunos usuarios quieren guardar extractos como archivos buscables).
  • Los descriptores de transacción y los montos se envían a un modelo de lenguaje grande para categorizarlos. Nunca enviamos tu nombre, dirección o número de cuenta al modelo. El proveedor del modelo no conserva las entradas para entrenamiento.
  • La eliminación de la cuenta elimina de nuestros sistemas los archivos cargados, las transacciones analizadas y el registro de la cuenta (sujeto a ventanas cortas de retención legal).
  • Admitimos 2FA. Recomendamos encarecidamente activarlo.

Consejos prácticos

Si aún estás en duda:

  • Empieza subiendo un solo extracto reciente, no todo tu historial. Mira cómo funciona antes de comprometerte.
  • Usa una contraseña única y fuerte y activa 2FA en cuanto crees la cuenta.
  • Lee la política de privacidad de verdad. Suele ser corta.
  • Si algo se siente mal — política vaga, no eliminación de cuenta, sin 2FA, alojamiento dudoso — elige otra app.

Si se hace con cuidado, subir extractos bancarios a una app de finanzas con IA reconocida es un riesgo manejable que te da claridad real sobre tus gastos. La pregunta incorrecta es "¿es 100% seguro?" (nada lo es). La pregunta correcta es "¿el riesgo es menor que el valor, y menor que las alternativas?"

Lee la política de privacidad de MyVault antes de subir cualquier cosa. Si algo no está claro, pregúntanos directamente — respondemos. MyVault’s privacy policy. Lee la política de privacidad de MyVault antes de subir cualquier cosa. Si algo no está claro, pregúntanos directamente — respondemos. ask us directly — we answer.