Un investigador de seguridad recomienda no utilizar el administrador de contraseñas de LastPass después de detallar siete rastreadores que se encuentran en la aplicación de Android, El registro informes. Aunque no hay ninguna sugerencia de que los rastreadores, que fueron analizados por el investigador Mike Kuketz, están transfiriendo nombres de usuario o contraseñas reales de un usuario, Kuketz dice que su presencia es una mala práctica para una aplicación de seguridad crítica que maneja esta información confidencial.
En respuesta al informe, un portavoz de LastPass dijo que la compañía recopila datos limitados «sobre cómo se usa LastPass» para ayudarla a «mejorar y optimizar el producto». Es importante tener en cuenta que LastPass dice El registro que «ningún dato de usuario identificable sensible o actividad de la bóveda puede pasar a través de estos rastreadores» y los usuarios pueden optar por no participar en el análisis en la sección Privacidad del menú Configuración avanzada.
Los rastreadores de LastPass incluyen cuatro de Google que manejan informes y análisis de fallas, así como uno de una compañía llamada Segment, que supuestamente recopila datos para los equipos de marketing. Kuketz analizó los datos que se transmitían y descubrió que incluían información sobre la marca y el modelo del teléfono inteligente, así como información sobre si un usuario tiene la seguridad biométrica habilitada. Incluso si los datos transmitidos no son identificables personalmente, solo la integración de este código de terceros en primer lugar presenta el potencial de vulnerabilidades de seguridad, según Kuketz.
«Si realmente usa LastPass, le recomiendo cambiar el administrador de contraseñas», escribió Kuketz (a través de la traducción automática). «Hay soluciones que no envían datos de forma permanente a terceros y no registran el comportamiento de los usuarios».
LastPass no es el único administrador de contraseñas que incluye rastreadores como este, pero parece tener más que muchos competidores populares. La alternativa gratuita de Bitwarden tiene solo dos según la privacidad de Exodus, Mientras RoboForm y Dashlane tiene cuatro, y 1 contraseña no hay ninguno.
El informe se produce a raíz del anuncio de LastPass para limitar severamente la funcionalidad a su nivel libre. Aunque los usuarios gratuitos actualmente pueden almacenar un número ilimitado de contraseñas en dispositivos sin limitación, pronto tendrán que elegir una categoría de dispositivos para ver y administrar sus contraseñas – “Móvil” o “Computadora” – a menos que quieran pagar por el servicio. Los cambios entrarán en vigor el 16 de marzo.