Aplicaciones de Montadeudas – Análisis Técnico
¿Qué hicimos?
Analizamos 5 aplicaciones móviles conocidas como Montadeudas. Estas aplicaciones promueven créditos engañosos y otorgan préstamos personales rápidos, sin requisitos y sin necesidad de pasar por instituciones bancarias afianzadas. Los préstamos pueden empezar desde cifras como quinientos pesos mexicanos y por lo general no sobrepasan los veinte mil pesos mexicanos.
Este análisis técnico está enfocado en la privacidad y en el tratamiento de los datos personales de las personas usuarias. Además de los análisis técnicos, se analizaron también las políticas de privacidad.
En el análisis técnico:
- Revisamos si las aplicaciones tienen rastreadores innecesarios.
- Si solicitan permisos que no se corresponden con sus funcionalidades.
- Si solicitan datos no congruentes con sus funcionalidades durante el registro de la aplicación.
- Si solicitan datos no congruentes con sus funcionalidades durante el uso de la aplicación.
- En términos de seguridad, analizamos si la información viaja de manera cifrada.
El objetivo es averiguar cómo funcionan estas aplicaciones a un nivel técnico y entender, con evidencia, cuáles son las vulnerabilidades de las cuáles se aprovechan.
Datos sobre el esquema de fraude y extorsión de las aplicaciones Montadeudas
Las aplicaciones llamadas montadeudas se relacionan con una serie de denuncias por extorsión, amenazas, acoso e incluso violencia física. Si bien este tipo de ataques y fraudes no son nuevos, sí lo es el hecho de que se realicen a través de medios digitales y que se aprovechen de las ventajas y los vacíos que representa la creciente digitalización del sistema financiero.
Investigaciones indican que este tipo de ataques y fraudes se alimenta de la precaria bancarización de la población en México. En un artículo publicado en marzo de 2021 (en plena pandemia del coronavirus), un reporte de la Asociación de Bancos de México revelaba que el 53% de los adultos del país no tenían cuenta de banco y que 7 de cada 10 personas no tiene acceso a un crédito. En este contexto agudizado por los estragos económicos por la pandemia del coronavirus, las aplicaciones de montadeudas florecieron.
Así mismo, en julio de 2022 el Consejo Ciudadano para la Seguridad y Justicia de la Ciudad de México informa en su sitio web que se registraron 5 mil 452 reportes “por el esquema de extorsión y fraude conocido como montadeudas, un aumento del 454% al comparar el promedio mensual recibido durante 2022 contra 2021”. Este mismo organismo lista, para el 20 de noviembre de 2022, 282 aplicaciones activas, 45 páginas web, 70 aplicaciones dadas de baja y otras 333 no encontradas en las tiendas de Google PlayStore y la AppStore de Apple.
Como se puede deducir, el ecosistema es enorme y cambiante, ya que de 730 aplicaciones denunciadas, 333 ya no existen en un lapso relativamente corto.
Fue a mediados del 2022 donde estas aplicaciones fueron foco de la prensa, como lo demuestra una búsqueda en Google con la palabra “montadeudas”. En este periodo se realizaron algunos arrestos para intentar frenar este tipo de fraudes. Y en diciembre del mismo año se realizó otro arresto. En septiembre de 2022, el diputado del Partido del Trabajo (PT), Leobardo Alcántara propuso castigar con multas millonarias a las personas detrás de las aplicaciones que utilicen métodos de extorsión a las personas usuarias en los actos de cobranza.
Resulta compleja la regulación y localización de estas aplicaciones “montadeudas” ya que cambian de nombre y de imagen constantemente. Como muchas de ellas no están constituidas de manera legal, es muy sencillo aparecer y desaparecer así como crear 10, 20, 30 aplicaciones detrás de las cuales están las mismas personas.
Si bien los métodos utilizados de extorsión son varios, todos están centrados en la utilización de la información personal que la persona usuaria proporciona en estas aplicaciones. Estos métodos van desde mensajes y llamadas de amenazas a la persona usuaria y a los contactos cercanos, hasta la divulgación de fotos editadas digitalmente como lo narra este reportaje publicado por Rest of the World.
¿Cómo seleccionamos estas aplicaciones?
Basándonos en la lista proporcionada por el Consejo Ciudadano, buscamos las aplicaciones que tuvieran mayor número de denuncias y que siguieran activas; después cruzamos esa información con el número de descargas de la PlayStore, con la suposición que, a mayor número de descargas, mayor número de personas usuarias. Al final, seleccionamos las cinco aplicaciones siguientes:
Si bien los análisis fueron hechos en noviembre del 2022, de estas cinco aplicaciones solamente sobreviven dos en la PlayStore, la aplicación de Tala y la de iFectivo, sin embargo esta última no funciona. En los enlaces anteriores de cada aplicación se enlaza la ficha técnica con los análisis y conclusiones individuales de cada una (además de el enlace a los archivos apk y a la captura de tráfico de red realizada durante el análisis).
En este reporte, comparamos las cinco aplicaciones y establecemos, en líneas generales, los problemas de privacidad de cada aplicación. El análisis está limitado a ciertas funcionalidades de las aplicaciones ya que no solicitamos algún crédito.
¿Qué encontramos?
Del análisis realizado en las aplicaciones, estos fueron los principales hallazgos:
01.
La aplicación Tala, a pesar de contar con muchas denuncias, es la única aplicación legítima. Esta empresa opera en diversos países y forma parte de un fondo de inversión (Inventure Capital) que ofrece servicios fintech (servicios financieros basados en tecnología digital) basados en ciencia de datos. El aviso de privacidad es detallado y explica de manera concreta el uso que se le dan a los datos personales de las personas usuarias. Además está registrada ante la CONDUSEF con el nombre Tala Mobile S.A.P.I de C.V.,SOFOM, E.N.R.1
02.
Las aplicaciones iFectivo y Okredito tienen el mismo aviso de privacidad.
Ambas comparten un nombre técnico de la aplicación muy similar:
- iFectivo: com.loan.credit.branch.tala.fast.efectivo.mexico
- Okredito: com.loan.cash.credit.branch.tala.fast.lending.mexico
Por último estas dos aplicaciones comparten todos los dominios embebidos en el código de la aplicación.
03.
Parte de la infraestructura de operación de CreditoLana, iFectivo, Okredito y SuperApoyo está relacionada con dominios chinos.
04.
Ninguna de las empresas listadas para las aplicaciones iFectivo (Collection Center Media, S.A. DE C.V.), Okredito (Administración Integral Sahe S.A. de C.V.), CreditoLana (Lana International Holdings Mexico, SAPI de C.V.), SuperApoyo (TIK IN, S.A. de C.V.) parecen tener información cuando se las busca en Internet ni están registradas en la CONDUSEF.
05.
iFectivo no utiliza la tecnología SSLPinning, haciéndola vulnerable a un ataque conocido como: hombre en el medio (Man In The Middle, MITM). Asimismo Tala acepta certificados de seguridad instalados por el usuario, lo que la hace vulnerable a este ataque.
Conclusiones
01.
Las aplicaciones en sí mismas no son maliciosas, es decir, no hay indicadores de comportamientos ocultos: como abusar de la información, ya sea para robo y/o vigilancia. Las extorsiones reportadas se realizan con la información que voluntariamente otorgan las personas a la hora de solicitar el préstamo.
02.
Detrás de las aplicaciones Okrédito e Ifectivo, están las mismas personas.
03.
El hecho de que las aplicaciones CreditoLana, iFectivo y Okredito tengan tantas similitudes, nos hace suponer que los equipos desarrolladores de estas aplicaciones operan con base en plantillas preestablecidas tanto de los avisos de privacidad como del código que utilizan.
04.
Siguiendo esta línea, nos encontramos con una serie de dominios pertenecientes a empresas chinas. Esto parece tener una razón, ya que, en un operativo para desmantelar esta red de corrupción, García Harfuch, Secretario de Seguridad Pública de la Ciudad de México declaró que estas redes eran coordinadas desde China.
05.
Tenemos la fuerte sospecha de que el modo de operación es el siguiente: analizan una aplicación legítima de préstamos, probablemente china, y luego hacen clones de la misma cambiando un poco el código fuente, de esta manera pueden desarrollar muchas aplicaciones que parecen distintas. Esto se complementa con los dominios encontrados que en algunos casos están en otros idiomas o dirigidos a otros países. Por ejemplo, la aplicación de Tala, empresa legítima, tenía varios dominios pertenecientes a Filipinas (uno de los países donde opera esta empresa). Pareciera que simplemente las aplicaciones de montadeudas “tradujeron” la aplicación original para que funcionara en México y todo aquello que no fuese relevante lo dejaron como estaba, dejando así dominios y secciones en otros idiomas o dirigidos a otros países.
06.
Queremos también aclarar que los métodos de cobranza de deudas siempre son molestos y recurren a las amenazas y a dinámicas de acoso. En empresas legales, estos métodos son implementados por las empresas dedicadas a la cobranza. Lo que salta a la vista es que, al tener acceso a tanta información confidencial de las personas usuarias (información que estos despachos de cobranza normalmente no tienen), los métodos de extorsión, acoso y amenazas se volvieron más agresivos.
07.
El problema de estas aplicaciones no radica tanto en la parte técnica inherente a ellas (permisos excesivos, por ejemplo), sino que las aplicaciones permiten crear una fachada de legalidad a la hora de hacerse pasar como instituciones capaces de otorgar créditos. El problema pues, está relacionado con nuestra creciente digitalización y las ilusiones que este proceso crea de acuerdo al grado de alfabetismo digital de la persona usuaria. De entrada, pareciera, y en eso tiene corresponsabilidad empresas como Google, que todas las aplicaciones presentes en la PlayStore son aplicaciones no malignas (aunque claramente sabemos que no es el caso). Si a eso le agregamos aplicaciones que se pueden desarrollar de manera muy sencilla y que tengan un aire de legalidad, se abren más caminos para prácticas fraudulentas.
08.
En el sentido de lo anterior, queda claro que haciendo una rápida búsqueda en Google sobre el nombre de la empresa (no de la aplicación), nos encontramos con un vacío de información que debería levantar sospechas. La página de la CONDUSEF es útil para verificar la veracidad de la empresa.
09.
También es cierto que el celular, como dispositivo móvil, y las redes sociales, permiten establecer muchos otros vectores de ataque para estos grupos estafadores a la hora de cobrar los préstamos: llamadas incesantes y mensajes; acceso a fotos de las redes sociales; acceso a los contactos de la persona, etc.
10.
Estas aplicaciones han proliferado debido en gran parte a los vacíos en los sistemas de bancarización de la sociedad mexicana y en la educación financiera, junto a otros problemas estructurales de nuestra sociedad vinculados a la situación económica, política y laboral del país que sin duda se agravaron durante la pandemia del coronavirus.
11.
Por último, este tipo de aplicaciones, al ser fraudulentas podrían además abrir el paso a otro tipo de actos criminales como la suplantación de identidad debido a la cantidad de información personal que proporcionan las personas usuarias (INE, datos bancarios, foto, información de contactos, etc.).
Recomendaciones
Las víctimas de suplantación de identidad, amenazas, acoso y/o extorsión derivado de las aplicaciones conocidas como “montadeudas” deben:
1. Notificar a sus contactos sobre la situación, para evitar realizar pagos que solicite la institución de crédito a nombre del presunto deudor.
2. Reportar ante la Policía Cibernética de la Secretaría de Seguridad de su entidad. En la Ciudad de México, a la Policía Cibernética de la Secretaría de Seguridad Ciudadana (SSC) al número 55 5242 5100 ext. 5086 o al correo policia.cibernetica@ssc.cdmx.gob.mx.
3. Denunciar ante la Fiscalía o Procuraduría de su entidad:
- Puedes hacer la denuncia en línea mediante la aplicación o página de internet de la Fiscalía o Procuraduría de tu entidad. Se comunicarán contigo para orientarte y solicitarte que acudas a
una Agencia del Ministerio Público para ampliar tu denuncia y presentar las evidencias de tu caso. - No borres tu registro de llamadas, mensajes, ni correos electrónicos que te haya enviado la
supuesta empresa de préstamo. - Guarda los recibos de los depósitos o transacciones realizadas.
- En casos de haber realizado transferencias electrónicas, es importante que descargues el Comprobante Electrónico de Pago (CEP) para verificar los datos reales de la cuenta de depósito. Puedes hacerlo en esta página https://www.banxico.org.mx/cep con el número de referencia o clave de rastreo.
4. Reportar ante la CONDUSEF
- Comunícate al Centro de Atención Telefónica de la CONDUSEF 53 400 999 o a su Dirección de Promoción y Divulgación de la Educación Financiera 5448 7000 ext. 6143. https://www.condusef.gob.mx/
El Observatorio Nacional Ciudadano de Seguridad, Justicia y Legalidad (ONC) es una organización de la sociedad civil que pueden brindarte asesoría y acompañamiento legal a las víctimas. Puedes contactarles escribiendo a atencion.victimas@onc.org.mx o al WhatsApp 56 1988 2645.
También puedes contactar al Consejo Ciudadano para la seguridad y Justicia de la Ciudad de México, si vives en la Ciudad de México. El teléfono es 55 55335533.
Además es importante:
- Revisa en el aviso de privacidad el nombre de la empresa y busca si está registrada ante la CONDUSEF.
- Si te contactaron por Whatsapp, Facebook u otra red social, puedes reportar esos perfiles ante la red social y posteriormente bloquearlos.
- Una vez realizada la denuncia, puedes desinstalar la aplicación que utilizaste para solicitar el préstamo. Cambia tu número de celular para dejar de recibir llamadas y SMS de acoso.
¿Cómo realizamos el análisis?
01. Preparación del dispositivo.
- En un dispositivo Android se instaló el sistema operativo Lineage OS en su versión 18.2 (Android 11)2.
- El sistema se instaló sin los servicios de Google ni aplicaciones de terceros, esto con el objetivo de tener un entorno controlado y limpio.
- En el dispositivo solo se instalaron las aplicaciones y servicios estrictamente necesarios para ejecutar las aplicaciones a analizar.
02. Revisión manual.
- La primera revisión consistió en instalar la aplicación a analizar y familiarizarnos con ella interactuando con su interfaz.
- Esto permite identificar todas las funciones de la aplicación y revisar algunos elementos como:
- Qué datos de registro y uso solicita la aplicación.
- Qué permisos de acceso solicita durante su funcionamiento.
- Si los links a los avisos de privacidad son correctos.
03. Análisis estático3.
- A través de la herramienta Exodus Privacy se identificaron los rastreadores presentes en cada aplicación4 y los permisos embebidos en el código.
- Estos permisos los comparamos con los permisos que se proporcionan en la descripción en la PlayStore y los que se piden durante el uso de la aplicación.
- Los permisos los clasificamos en:
- Obligatorios
- Permisos opcionales que hacen que la aplicación pierda funcionalidad
- Permisos opcionales
04. Análisis dinámico.
- Se realizó una captura del tráfico de red5 a través de una conexión VPN (Wireguard) montada en un servidor con Ubuntu Server.
- Del tráfico capturado se analizaron las conexiones que no se encontraban cifradas y la información que estas enviaban o recibían.
- Para mayor detalle de este procedimiento se puede revisar el siguiente enlace.
¿Qué información recolectan las aplicaciones?
Datos personales solicitados por aplicación
CreditoLana | iFectivo | Okredito | SuperApoyo | Tala | |
Nombre completo | x | x | |||
Género | x | x | |||
Fecha de nacimiento | x | ||||
Estado civil | x | ||||
Número de hijos | x | x | |||
Número de celular | x | x | x | x | |
Si el celular es prestado o propio | x | ||||
Número de teléfono de casa | x | x | x | ||
Dirección de casa | x | x | x | x | x |
Comprobante de domicilio | x | ||||
x | x | x | |||
INE (credencial para votar) | x | x | x | x | |
Curp | x | ||||
Nacionalidad | x | x | |||
Foto de cara | x | x | |||
URL de perfil de Facebook | x | x | |||
NIvel de estudios | x | x | x | x |
Datos laborales solicitados por aplicación
CreditoLana | iFectivo | Okredito | SuperApoyo | Tala | |
Antigüedad en el trabajo actual | x | x | |||
Nombre de la empresa donde se trabaja | x | x | |||
Número de teléfono de la empresa donde se trabaja | x | ||||
Días de pago del salario | x | x | x | x | |
Monto del salario | x | x | x | ||
Horario laboral | x | ||||
Datos de contactos que incluyen nombre, teléfono y parentesco | x | x | x | ||
Datos bancarios | x | x | x | ||
Datos sobre créditos y préstamos y otras tarjetas de crédito | x | x | x |
Conclusiones sobre datos solicitados
- Todos los datos solicitados son consistentes con los datos que solicitan las instituciones de crédito para otorgar préstamos. Algunos son redundantes muchas veces, como pedir por separado nombre completo, CURP, género o nacionalidad cuando ya se cuenta con una foto de la credencial para votar.
- Identificamos que el mayor problema radica en que como persona usuaria, se otorgan estos datos a una institución y grupos desconocidos y que no están avalados por el sistema bancario mexicano, lo que representa grandes riesgos ya que estos datos bastante identificables pueden utilizarse de manera malintencionada, como han reportado múltiples casos de extorsión.
- Como mencionamos anteriormente, si bien los métodos utilizados de extorsión son varios, todos están centrados en la utilización de la información personal que la persona usuaria proporciona en estas aplicaciones. Estos métodos van desde mensajes y llamadas de amenazas a la persona usuaria y a los contactos cercanos, hasta abuso y alteración de la información con el objetivo de suplantar identidad.
Lista de empresas chinas relacionadas con las aplicaciones
Esta es la lista de empresas relacionadas con las aplicaciones, ya sea porque aparecen en el código de la aplicación; porque se contactan sus servidores o se utiliza alguna tecnología que les pertenece.
Rastreadores por aplicación
Tipos de rastreadores identificados:
- Los rastreadores de analítica por lo general miden una serie de indicadores de uso de las aplicaciones, por ejemplo, a qué hora se abre una aplicación, a qué hora se cierra, tiempo de uso, funciones utilizadas, tiempo que estuvo la persona usuaria realizando una acción específica, etc. Estas mediciones se usan en particular para el desarrollo de la aplicación (mejorar el diseño adictivo) y para marketing.
- Los rastreadores de publicidad y retargeting permiten mostrar publicidad y monetizarla.
- El rastreador de identificación (Facebook Login) sirve para poder acceder a la aplicación a través de los datos almacenados en Facebook.
- Los rastreadores de perfilamiento permiten generar un perfil del usuario, información que luego puede ser compartida con los rastreadores de publicidad para mostrar publicidad dirigida a la persona usuaria.
El rastreador de compartir (Facebook Share) sirve para poder compartir información generada en la aplicación al perfil de Facebook.
Tipo | CreditoLana | iFectivo | Okredito | SuperApoyo | Tala | |
AdJust | Analítica y Retargeting | x | ||||
AppsFlyer | Analítica | x | x | x | ||
Branch | Analítica | x | ||||
Facebook Analytics | Analítica | x | x | |||
Facebook Login | Identificación | x | x | x | ||
Facebook Share | Compartir | x | x | x | ||
Google AdMob | Publicidad | x | x | x | ||
Google Crashlytics | Rastreo de crashes | x | x | x | ||
Google Firebase Analytics | Analítica | x | x | x | x | x |
OpenTelemetry | Analítica y perfilamiento | x | ||||
Pangle | Publicidad | x | x | |||
Split | Analítica | x | ||||
UxCam | Analítica y perfilamiento | x |
Conclusiones sobre rastreadores:
- Debido al contexto de estas aplicaciones, los rastreadores de publicidad y retargeting sirven, probablemente, para poder dirigir publicidad de otras aplicaciones de préstamos a las personas usuarias. Como lo revela el reporte de Rest of the World, las personas usuarias no solamente utilizan una única aplicación de préstamo.
- El rastreador de Facebook login nos preocupa en particular porque eso le permite a estas aplicaciones fraudulentas obtener aún más información de las personas usuarias.
- Los rastreadores de analítica y rastreo de crashes, en el contexto de estas aplicaciones, no nos preocupan demasiado en términos de privacidad.
Permisos por aplicación
La siguiente tabla muestra los permisos que requiere cada aplicación para funcionar.
Ubicación y redes
CreditoLana | iFectivo | Okredito | SuperApoyo | Tala | |
Ubicación aproximada | x | x | x | x | x |
Ubicación precisa (GPS) | x | x | x | x | |
Acceso a WiFi | x | x | x | x | x |
Acceso a Internet | x | x | x | x | x |
Permisos de acceso a información personal
CreditoLana | iFectivo | Okredito | SuperApoyo | Tala | |
Cámara | x | x | x | x | x |
Leer cuentas del dispositivo | x | x | x | ||
Acceso a lista de aplicaciones del dispositivo | x | ||||
Modificar cuentas del dispositivo | x | ||||
Leer calendario | x | x | x | x | x |
Escribir calendario | x | x | x | x | x |
Contactos | x | x | |||
Leer estado del teléfono | x | x | x | x | x |
Leer SMS | x | x | x | x | x |
Recibir SMS | x | x | x | x | |
Leer almacenamiento | x | x | x | x | x |
Escribir almacenamiento | x | x | x | x | x |
Conclusiones sobre permisos:
- Los permisos de ubicación y redes resultan peligrosos en tanto que se puede identificar de manera muy precisa (más si se tiene acceso al GPS) a la localización de la persona.
- El permiso de cámara es utilizado por todas las aplicaciones para poder tomar una foto de perfil además de la foto de la credencial del INE, requisito indispensable para poder solicitar un préstamo.
- El permiso de leer cuentas en el dispositivo otorga acceso de lectura a todas las cuentas vinculadas al dispositivo: otros emails, whatsapp, telegram, etc. Este permiso permite conocer el nombre de usuario registrado en estas cuentas y el tipo de cuenta. En el contexto de estas aplicaciones permite conocer aún más datos de las personas usuarias a la hora de extorsionarlas. SuperApoyo además tiene el permiso para modificar las cuentas lo que le permite un acceso aún mayor a estas.
- Todas las aplicaciones tienen acceso a leer y escribir en el calendario. Esto les permite, según informan en sus políticas de privacidad, poder agendar de manera automática los días en los cuales la persona usuaria debería hacer los pagos.
- El acceso a leer SMS es una intrusión más en la privacidad de la persona ya que permite leer a la aplicación los mensajes que la persona usuaria pudiera recibir por este medio.
- Sólo dos aplicaciones (CreditoLana y Tala) tienen acceso a la lista de contactos. Esto sirve para agregar contactos directamente desde la libreta de direcciones del dispositivo en las hojas de registro de datos para solicitar préstamos. Sin embargo, el permiso “Leer estado del teléfono” les permite acceder a los números de teléfono de llamadas realizadas y recibidas de la persona usuaria.
- En el contexto de estas aplicaciones, el acceso al almacenamiento interno bien podría significar encontrar documentos que pudieran utilizarse para extorsionar a las personas.
- En resumen, los permisos son muy parecidos entre las aplicaciones porque todas ellas funcionan de manera similar. Son permisos intrusivos y de los cuales hay que tener cierto cuidado cuando uno los otorga. De todos modos, como veremos en la siguiente sección, son los datos proporcionados de manera voluntaria por las personas usuarias los que presentan en última instancia el mayor riesgo.
Reportes técnicos.
Contenido de interés
- Esto no quiere decir que recomendamos su uso
- Como hicimos varios análisis posteriores debido a las actualizaciones de las aplicaciones, también utilizamos Lineage OS 19.1 (Android 12). Esto, sin embargo, no alteró ningún resultado.
- El análisis estático se refiere al análisis del código de la aplicación.
- Además comparamos estos resultados con los resultados que arrojó la aplicación Tracker Control. No hubo ningúna diferencia entre los resultados arrojados.
- En términos generales el tráfico de red son los paquetes de datos que se envían y reciben desde el celular a través de internet.