[Obsoleta] App BMSC antigua para teléfonos Android rooteados o “inseguros”

UPDATE: El Banco Mercantil ha descontinuado soporte para esta versión de la aplicación móvil, por lo que esta entrada ha quedado inútil. Sin embargo, la dejo en su lugar para referencia histórica.

Aprovecho esta oportunidad para quejarme nuevamente sobre las deficiencias de la nueva aplicación, misma que, a mi sorpresa, no ha recibido una actualización previa descontinuación del soporte de la aplicación que reemplaza. Literalmente me he quedado sin banca móvil del BMSC hasta nuevo aviso.


ml;nl: ir directo a la solución.


¿Qué pasó?

El 24 de junio del presente año, el Banco Mercantil Santa Cruz lanzó una actualización a su aplicación de banca móvil en la Google Play Store. A continuación se muestra un widget que apunta a la última versión.

BMSC Móvil
BMSC Móvil
Developer: Unknown
Price: Free

Desafortunadamente, al tratar de ingresar a la aplicación luego de actualizar, me llevé la sorpresa de que la app no funcionaba en mi celular, quejandose de un problema de seguridad en el mismo.

Mensaje de error mostrado por la nueva versión.

Para este problema pienso en 2 posibles causas:

  • Mi celular está rooteado con Magisk. Muchas apps (ej.: Zoom) se rehusan a correr en celulares rooteados.
  • Mi celular no corre el sistema operativo oficial del fabricante, sino una ROM Android basada en AOSP (LineageOS 17.1 para ser específico).

Los métodos usuales de evasión de detección de root (suhide, MagiskHide) no funcionaron, por lo que supongo que esta app utiliza técnicas de detección similares a aquellas usadas en la app del Banco Unión.

Según el BMSC, los cambios en esta versión son los siguientes:

Hemos realizado un rediseño completo a nuestra aplicación móvil, además de haber actualizado nuestra interfaz gráfica a un diseño más moderno y amigable, hemos añadido las siguientes funcionalidades:

– Afiliación en línea.
– Administración de cuentas destino.
– Agendamiento de transferencias y pagos.
– Adición y pago de servicios.
– Ajuste a vigencia de QR.
– Búsquedas personalizadas.

Descripción de cambios de BMSC Móvil en la Play Store

Sin embargo, a mí me parece que la nueva versión de esta app no es solamente un rediseño, sino un reemplazo total de los cimientos sobre los cuales el BMSC construye su app móvil. La nueva app parece no tener algunas funciones que la versión antigua ofrecía y según algunos usuarios tiene problemas de estabilidad. Ouch.

Y no solo lo digo yo, los comentarios malhumorados en la Play Store se están haciendo escuchar.

Usuarios irritados everywhere.

Lo más agravante de todo este asunto es que para muchos de nosotros la app móvil es la única manera de “autorizar” transacciones bancarias realizadas por internet/web, a diferencia de otros bancos que cuentan con tarjetas de coordenadas (como BISA), soft-tokens (como BNB) o tokens físicos (como BCP). En resumen, si la aplicación móvil del BMSC no funciona, te quedás sin banca por internet y punto.

Solución (por ahora)

Debido a que no encontré modo de hacer funcionar la app actualizada, opté por utilizar una versión más antigua de la aplicación, misma que nunca se quejó del nivel de seguridad de mi dispositivo.

El detalle fue encontrar un lugar de confianza de dónde obtener esta versión (en internet podrían encontrarse versiones alteradas, mucho ojo!). Afortunadamente pude extraer un APK de un backup de mi celular, así que todo cool 🙂

Link de descarga:

Para instalar, basta con descomprimir el APK e instalar en el celular con algún administrador de archivos. Es necesario configurar el celular para permitir la instalación desde orígenes desconocidos.

Información del APK:

Captura de la información mostrada en Windows por Apk Shell Extension.
Versión4.6.3
Nombre del paquetebo.com.bmsc.bancamovil
Versión de Android mínimaAndroid 4.2 (SDK API 17)
CRC3287241083
SHA256B1CC76A4DCEB5CF6F2D52D0FB2796B31634050CE111C949F9F32129DF056AB23
Link de análisis en VirusTotalhttps://www.virustotal.com/gui/file/b1cc76a4dceb5cf6f2d52d0fb2796b31634050ce111c949f9f32129df056ab23/detection
Metadatos e información de integridad y seguridad.
Información mostrada por MiXplorer al instalar la aplicación.

Nota: depositar su confianza en este APK es su decisión

Yo nunca recomendaría descargar una aplicación de banca móvil desde una fuente que no sea la indicada por el mismo banco que se encarga de desarrollarla y publicarla. Las aplicaciones descargadas desde cualquier otro origen podrían ser alteradas de muchas maneras e incluso podrían ser utilizadas para robar credenciales bancarios.

A pesar de lo anterior, pueden confiar en el archivo provisto en esta entrada. Cualquier persona que así guste puede servirse de verificar los hashes criptográficos y el análisis de VirusTotal provistos 🙂

¿Por qué pasó todo esto?

Sobre la restricción de root:

Los bancos bloquean el funcionamiento de sus apps en dispositivos rooteados por una variedad de razones, aunque un argumento frecuente es hacerlo en nombre de la seguridad (¿de ellos o de nosotros?, esto no es claro). Sería muy apreciado que sean más transparentes al respecto y que ofrezcan alternativas para los usuarios que tienen acceso root “por decisión”.

Sobre los problemas de estabilidad y falta de funcionalidad pre-existente:

Quienes están en la industria del software saben que el cambio en el software (perfectivo, correctivo, etc.) es inevitable, pero con el cambio hay “dolores de crecimiento” que son simplemente ineludibles, especialmente cuando hay presión para lanzar una nueva versión tan pronto como sea posible.

En mi opinión, a este producto le faltó un poco más de tiempo en el horno, está algo crudo. Antes de lanzar esta actualización, deberían haberse preocupado en cubrir el 100% de la funcionalidad pre-existente. Esta actualización parece enfocarse demasiado en la apariencia, descuidando aspectos funcionales y de estabilidad.

Si funciona, no lo toques.

Probablemente todos los desarrolladores de software.

Disclaimer: La única intención con la que difundo este APK es ayudar a los usuarios de la banca móvil del BMSC que se han visto afectados por las omisiones funcionales y las restricciones de uso de la nueva versión. Si no hubiera necesidad de hacerlo, no lo hubiera hecho. Yo, el autor, no obtengo beneficio alguno más que la satisfacción de ayudar y aportar a la comunidad. En caso de que esta actividad viole alguna especie de restricción de distribución de software, les invito a contactarme.

Full disclosure: Yo he rooteado todos y cada uno de los celulares Android que he poseido desde allá en 2012. En mi opinión, todos deberíamos tener acceso de administrador en nuestros celulares tal como lo tenemos en otros sistemas operativos tales como Windows o las diferentes distros de Linux, pero esa es charla para otro día. Además, he utilizado ROMs basadas en AOSP en la gran mayoría de mis celulares Android, especialmente cuando el soporte del fabricante termina.

Etiquetas: , , , , , , , , , ,

Leave a Comment