Puede ser el momento de cambiar a otro administrador de contraseñas como Bitwarden o 1Password
Cuando se trata de la seguridad de la cuenta, generalmente es una buena idea usar un administrador de contraseñas. Pero, ¿Qué sucede si ese administrador de contraseñas está rastreando lo que estás haciendo y ni siquiera te lo dice?
Según el investigador de seguridad Mike Kuketz, la aplicación LastPass para Android tiene siete rastreadores integrados y es posible que LastPass no sepa qué datos recopila.
Como lo descubrió por primera vez The Register, Kuketz usó herramientas de Exodus Privacy para examinar la aplicación LastPass para Android y descubrió siete rastreadores integrados en su código:
• AppsFlyer
• Google Analytics
• Google CrashLytics
• Google Firebase Analytics
• Google Tag Manager
• MixPanel
• segment
Si bien Exodus Privacy confirma la presencia de rastreadores, eso no garantiza que hagan nada. Entonces Kuketz siguió con el monitoreo de la red mientras configuraba una nueva cuenta de LastPass. Descubrió que la aplicación llegaba a casi todos los servidores de rastreadores sin pedir permiso primero.
Una inspección más profunda no sugiere que los rastreadores hayan transferido ningún nombre de usuario o datos de contraseña, pero parece saber cuándo el usuario crea una contraseña y de qué tipo. Kuketz dice que incluir un código de seguimiento de este tipo en un administrador de contraseñas (o una aplicación similar centrada en la seguridad) no es aceptable, ya que los desarrolladores no pueden estar completamente al tanto de lo que recopila el código de seguimiento. Eso se debe a que los rastreadores a menudo utilizan código propietario que no está abierto para inspección.
La cantidad de datos parece ser extensa y revela información sobre el dispositivo en uso, el operador de telefonía celular, el tipo de cuenta de LastPass y el ID del usuario de publicidad de Google (que se usa para conectar datos sobre el usuario entre aplicaciones). Son datos suficientes para crear un extenso perfil en torno a la información más privada que almacena.
Según Exodus Privacy, otros administradores de contraseñas no usan tantos rastreadores. Bitwarden tiene dos, RoboForm y Dashlane tienen cuatro y 1Password no tiene ninguno. No está claro por qué LastPass usa tantos.
En una declaración a The Register, un portavoz de LastPass dijo: "... ningún dato de usuario sensible de identificación personal o actividad de la bóveda podría pasarse a través de estos rastreadores". El portavoz continuó diciendo que se puede optar por no participar en los análisis en el menú de configuración.
Aún así, entre este informe y el reciente cambio que hizo LastPass para obligar a los usuarios de nivel gratuito a elegir entre la sincronización de escritorio y móvil, puede ser el momento de pasar a otra alternativa como Bitwarden o 1Password.
