Volver al inicio

Centro de Seguridad

Última actualización: 6 de junio de 2026

Esta página describe las medidas de seguridad de StreetLoans con lenguaje verificable. No sustituye una auditoría externa del APK, backend, configuración TLS o infraestructura.

Resumen: StreetLoans almacena las operaciones principales localmente, protege respaldos nuevos con SLB2 autenticado, usa HTTPS/TLS para comunicaciones de backend y mantiene un canal formal para reportar vulnerabilidades.

1. Almacenamiento local

Clientes, préstamos, pagos, abonos, mora y perfiles de recibo se almacenan en la base local de la app dentro del almacenamiento privado de Android. Esa protección depende también del bloqueo del dispositivo, actualizaciones del sistema operativo y buenas prácticas del usuario.

2. Respaldos cifrados e integridad

Los respaldos nuevos usan el sobre SLB2:{version}:{kdf}:{iterations}:{salt}:{iv}:{ciphertext}:{hmac}. La implementación actual usa AES-256-CBC con claves separadas para cifrado y HMAC-SHA256. StreetLoans valida el HMAC antes de descifrar para rechazar archivos alterados o corruptos.

Se mantiene lectura de respaldos SLB1 anteriores por compatibilidad. Los respaldos exportados siguen siendo responsabilidad del usuario: deben guardarse en un lugar seguro y con una contraseña fuerte.

3. Funciones que requieren internet

Las operaciones principales funcionan sin conexión. Verificación, recuperación de cuenta, validación de licencia, soporte, reportes de errores y sincronización opcional de respaldos requieren internet.

  • OTP y cuenta: email o teléfono para verificación.
  • Licencia: comunicación con Google Play Billing y servicios configurados.
  • Diagnóstico: reportes de fallos y métricas técnicas limitadas.

4. Google Drive en Android

Cuando la función esté habilitada y el usuario la active, StreetLoans puede sincronizar respaldos cifrados con Google Drive. iOS podrá evaluarse en una etapa futura y no se documenta como función disponible en esta etapa.

5. Límites de protección

Ninguna medida elimina todo el riesgo. La protección final depende de la contraseña del respaldo, seguridad física del dispositivo, actualizaciones, permisos Android, configuración del backend y controles operativos.

6. Reporte de vulnerabilidades

Reporta vulnerabilidades a security@streetloans.app. Incluye pasos de reproducción, impacto, versión de la app, dispositivo, capturas no sensibles y cualquier prueba de concepto segura.

  • Permitido: reportes responsables, pruebas sobre cuentas propias y evidencia mínima necesaria.
  • No permitido: acceso a datos de terceros, explotación destructiva, ingeniería social, spam, denegación de servicio o extracción masiva.
  • Respuesta esperada: confirmación inicial dentro de 7 días laborables y actualización de estado según severidad.