APIs Bancarias y Portfolio Trackers: Por Qué Conectar tu Broker Es Más Arriesgado de lo que Crees
Puntos Clave
▸Los portfolio trackers que usan APIs bancarias poseen credenciales persistentes (tokens OAuth o claves API) que pueden recuperar tu historial financiero completo en cualquier momento.
▸El acceso de solo lectura significa igualmente que todo el historial de transacciones se almacena indefinidamente en un servidor de terceros.
▸Las apps gratuitas se monetizan frecuentemente mediante el intercambio de datos con agregadores, anunciantes o empresas de datos financieros.
▸La mayoría de inversores tiene conexiones API olvidadas aún activas en su broker — audítalas y revócalas regularmente.
▸Solo una arquitectura sin API (importación CSV únicamente) permite lograr privacidad by design, no solo by policy.
Cada semana, miles de inversores conectan sus cuentas de corretaje a aplicaciones de seguimiento de cartera mediante APIs bancarias o tokens de Open Banking. La promesa es conveniente: las posiciones se sincronizan automáticamente sin necesidad de introducir operaciones manualmente. Pero detrás de esa comodidad hay permisos de acceso a datos que la mayoría de inversores nunca ha leído — y que pueden exponer mucho más que el simple saldo de la cartera.
Esta guía explica exactamente qué son las APIs bancarias, cómo las usan los portfolio trackers, a qué datos pueden acceder cuando conectas tu broker, y por qué un enfoque sin API es la única arquitectura que ofrece una verdadera privacidad by design.
¿Qué Son las APIs Bancarias y Cómo las Usan los Portfolio Trackers?
Una API (Application Programming Interface) es un canal estandarizado a través del cual un sistema de software solicita datos a otro. En el contexto del seguimiento de cartera, una API bancaria o de broker permite a una aplicación externa — el tracker — leer los datos de tu cuenta directamente desde los servidores del broker, sin que tengas que exportar ni subir nada manualmente.
La mayoría de los portfolio trackers con conectividad de broker usan uno de estos tres métodos:
1. Open Banking (PSD2 en Europa): un marco regulatorio que obliga a bancos y brokers a exponer APIs de lectura a terceros autorizados. Te autenticas una vez mediante OAuth y el tercero recibe un token de acceso de larga duración que le permite recuperar los datos de tu cuenta de forma periódica.
2. Screen scraping mediante agregadores: servicios como Plaid, Salt Edge o Yapily actúan como intermediarios. Les proporcionas tus credenciales del broker (o un token OAuth) y ellos recuperan los datos en tu nombre, almacenando esa conexión en su propia infraestructura.
3. Claves API directas: algunos brokers (Interactive Brokers, Degiro, Alpaca) exponen APIs para desarrolladores. Un portfolio tracker puede pedirte que generes una clave API en tu cuenta del broker y la pegues en el tracker.
En los tres casos el resultado es el mismo: un tercero posee una credencial persistente — un token o clave — que puede usar para recuperar tus datos financieros en cualquier momento, mientras la conexión permanezca activa.
¿A Qué Datos Puede Acceder Realmente un Portfolio Tracker a Través de una API?
Aquí es donde la mayoría de inversores se sorprende. Asumen que el tracker solo ve lo que muestra — posiciones y saldos. La realidad depende del alcance del token OAuth o la clave API concedida, y muchas aplicaciones solicitan permisos más amplios de lo estrictamente necesario.
Campos de datos comúnmente accesibles a través de APIs de broker:
— Todas las posiciones actuales (nombre, ISIN, cantidad, valor actual)
— Historial completo de transacciones (cada compra, venta, dividendo, comisión desde la apertura de la cuenta)
— Saldos de efectivo en todas las subcuentas
— Órdenes pendientes
— Datos de identificación personal (nombre, dirección, fecha de nacimiento, NIF en algunos casos)
— Datos de cuenta bancaria vinculada (IBAN para retiradas)
— Documentos KYC en algunas integraciones
El historial de transacciones es el elemento más sensible. Un registro completo revela no solo qué posees hoy, sino cada decisión financiera tomada a lo largo de los años. Estos son datos financieros conductuales — mucho más valiosos para anunciantes, brokers de datos y aseguradoras que un simple snapshot del saldo.
Los tokens de solo lectura parecen seguros. Pero "solo lectura" significa lectura de tus posiciones — no que la aplicación no pueda almacenar, procesar, vender o compartir esos datos indefinidamente.
¿Cuáles Son los Riesgos Reales para la Privacidad al Conceder Acceso API?
Los riesgos se dividen en cuatro categorías distintas:
1. Intermediación de datos y compartición con terceros
Muchas aplicaciones gratuitas de seguimiento de cartera se monetizan a través de los datos. El historial de transacciones, los datos de posición y los patrones de comportamiento se venden o comparten con redes publicitarias, agregadores de datos financieros o aseguradoras. Incluso los datos anonimizados derivados de tus transacciones pueden usarse para construir perfiles que afectan al scoring crediticio, las primas de seguros o la publicidad dirigida.
2. Exposición a brechas en la capa del agregador
Si conectaste tu broker mediante un agregador (Plaid, Salt Edge, etc.), tus credenciales o token están almacenados en la infraestructura de ese agregador. Una brecha en el agregador expone todas las conexiones de todas las aplicaciones que lo usan. Plaid llegó a un acuerdo de 58 millones de dólares en 2022 por almacenamiento no autorizado de credenciales.
3. Persistencia de tokens y conexiones olvidadas
Los tokens OAuth concedidos a aplicaciones permanecen generalmente válidos hasta su revocación explícita. Los inversores que dejan de usar una app raramente piensan en revocar el token. Esto significa que una app abandonada — o adquirida, renombrada o con política de privacidad modificada — puede aún tener credenciales válidas meses o años después de que dejaras de usarla.
4. Ampliación del alcance y solicitudes de reautorización
Algunas apps piden periódicamente a los usuarios reautenticarse o ampliar permisos. Un tracker inicialmente con solo lectura de posiciones puede luego solicitar historial de transacciones, cuentas vinculadas u otros alcances más amplios — presentado como mejora de conveniencia, rara vez como compromiso de privacidad.
¿Cómo Verificar y Revocar las Conexiones API Activas en tu Broker?
La mayoría de inversores no sabe cuántas conexiones API activas tiene. Así se realiza la auditoría:
Para conexiones PSD2/Open Banking:
— Accede a la configuración de tu cuenta del broker o banco
— Busca "Aplicaciones conectadas", "Acceso de terceros", "Permisos Open Banking" o "Acceso API"
— Revoca cualquier conexión que no uses activamente
— Programa un recordatorio para revisar las conexiones cada 6 meses
Para claves API directas (Interactive Brokers, Degiro, etc.):
— Accede a la sección de gestión de API de tu cuenta broker
— Lista todas las claves activas y sus fechas de creación
— Elimina claves de aplicaciones que ya no uses
— Rota las claves de aplicaciones en uso al menos una vez al año
Para conexiones mediante agregador (Plaid, Salt Edge, etc.):
— Revisa la configuración de privacidad de cada aplicación de cartera que uses
— Usa el portal del propio agregador (ej. my.plaid.com) para ver y desconectar conexiones almacenadas
— Envía solicitudes de eliminación RGPD a aplicaciones que ya no uses
La incómoda verdad: la mayoría de inversores tiene entre 3 y 8 conexiones de terceros activas en sus cuentas financieras, la mayoría olvidadas.
Por Qué DonkyCapital No Usa Conexiones API — y Por Qué Importa
DonkyCapital fue diseñado desde el primer día sin ninguna conectividad API con brokers. No es una limitación — es una elección arquitectónica deliberada que ofrece a los usuarios una verdadera privacidad by design, no solo by policy.
La diferencia importa. "Privacidad by policy" significa que una empresa promete no abusar de tus datos — pero para cumplir esa promesa primero debe recopilarlos. "Privacidad by design" significa que los datos nunca llegan a los servidores de la empresa, porque la arquitectura no lo requiere.
Cómo funciona DonkyCapital:
— Importas tu cartera mediante archivo CSV (la mayoría de brokers exportan uno en segundos) o introducción manual
— Los datos residen en tu cuenta en DonkyCapital — nunca conectados a tu broker
— Nunca almacenamos claves API, tokens OAuth ni credenciales de tus cuentas de corretaje
— No podemos recuperar nuevos datos de tu broker sin tu acción explícita
— Una brecha en la infraestructura de DonkyCapital no puede exponer tus credenciales del broker, porque nunca las hemos tenido
En la práctica:
— Tu cuenta broker nunca está expuesta a un almacén de credenciales de terceros
— No hay token persistente que sobreviva a tu uso del servicio
— Si dejas de usar DonkyCapital, no hay nada que revocar en tu broker
— El historial de transacciones no fluye por una red de agregadores
El compromiso es real: debes reimportar manualmente cuando realizas nuevas operaciones. Para la mayoría de inversores a largo plazo que operan con poca frecuencia, esto es una operación de 2 minutos cada pocas semanas — un pequeño precio por una arquitectura fundamentalmente más privada.
Preguntas Frecuentes sobre APIs Bancarias y Privacidad
¿Es seguro el Open Banking para el seguimiento de cartera?
El Open Banking bajo PSD2 es un marco regulado con sólidos estándares técnicos — el riesgo no está en la regulación en sí, sino en lo que los terceros autorizados hacen con los datos una vez recibidos. Una app puede ser conforme con PSD2 y aun así vender tus datos de transacciones a anunciantes.
¿Cuál es la diferencia entre acceso API de solo lectura y acceso completo?
El acceso de solo lectura permite a la app recuperar los datos de tu cuenta pero no puede realizar órdenes ni mover dinero. El acceso completo puede incluir permisos de trading y retirada. Para los portfolio trackers la solo lectura es la norma — pero significa igualmente que todo tu historial financiero se almacena indefinidamente en un servidor de terceros.
¿Puede una aplicación de cartera vender mis datos financieros?
Sí, salvo prohibición explícita en su política de privacidad. Muchas apps gratuitas se monetizan mediante el intercambio de datos con empresas de datos financieros, aseguradoras o redes publicitarias. Lee siempre la sección de compartición de datos de la política de privacidad antes de conectar tu broker.
¿Qué pasa con mis datos si una app de cartera cierra o es adquirida?
En una adquisición, los activos de datos — incluyendo los datos financieros de usuarios — se transfieren típicamente al adquirente. Los tokens OAuth activos permanecen válidos en tu broker hasta revocación manual — el cierre de la app no revoca automáticamente la conexión.
¿Cómo sé si un portfolio tracker usa mis datos para publicidad?
Lee las secciones "Compartición de datos", "Terceros" y "Cómo usamos tus datos" de la política de privacidad — no el resumen de marketing. Busca términos como "socios", "anunciantes", "proveedores de análisis" o "empresas afiliadas". Si la app es gratuita, pregúntate cómo gana dinero.
¿Es la importación CSV realmente más privada que la conexión API?
Sí. Una importación CSV significa que envías un snapshot de tus datos en un momento concreto — el tracker no tiene credenciales permanentes hacia tu broker. Si dejas de usar el servicio, no hay nada que revocar y ninguna conexión activa. Esta diferencia arquitectónica es la base de la privacidad by design.
¿Qué es el derecho de supresión del RGPD y se aplica a las apps de cartera?
Conforme al Artículo 17 del RGPD, los residentes en la UE tienen derecho a solicitar la eliminación de sus datos personales a cualquier empresa que los trate. Esto se aplica a las apps de seguimiento de cartera que operan en la UE o se dirigen a ella. La empresa debe responder en 30 días.
Controla tu Cartera Sin Conectar tu Broker
DonkyCapital ofrece análisis de cartera de nivel profesional mediante importación CSV — sin claves API, sin tokens OAuth, sin credenciales de broker en nuestros servidores. Tus datos son tuyos.
