Uno de los gestores de contraseñas más populares en España, LastPass, está saltando de polémica en polémica durante las últimas semanas.

Todo empezó a mediados de febrero, cuando la compañía anunció un cambio en su política que afecta a la versión gratuita de su servicio; a partir del 16 de marzo, los usuarios que no paguen por la versión Premium sólo podrán usar la app de móvil o la app de PC, pero no las dos a la vez.

Usar un gestor es una de las mejores recomendaciones para crear mejores contraseñas y almacenarlas de manera segura, sin necesidad de aprendérnoslas todas de memoria. Aunque todos los navegadores modernos tienen gestores integrados, y algunos incluso te dicen si las contraseñas se han filtrado, muchos usuarios optan por LastPass en todos sus dispositivos por comodidad y mayor seguridad.

LastPass ha sido 'pillada'

Sin embargo, si la seguridad y la privacidad son nuestra prioridad, puede que el último descubrimiento sobre LastPass nos convenza de que no es la mejor opción. El investigador de seguridad Mike Kuketz ha revelado que la app móvil de LastPass es la que más rastrea a los usuarios.

Un análisis de la app de Android de LastPass desveló la existencia de nada menos que siete rastreadores integrados en el código. Cuatro de los rastreadores de LastPass son de Google, y se usan para analítica y para generar informes cuando la app se cierra inesperadamente.

LastPass está disponible para PC y móvil

Esto de por sí no es algo sorprendente, ya que muchas apps cuentan con rastreadores necesarios para comprender mejor el funcionamiento de la app y si hay problemas o bugs. No es lo que podríamos esperar de una app totalmente privada, pero el verdadero problema está en los tres rastreadores restantes, que envían información a terceros.

LastPass integra rastreadores de AppsFlyer, MixPanel y Segment, que obtienen información de uso y del dispositivo y la envían a servidores externos para ser analizada.

Rastreadores de terceros

Kuketz analizó los datos enviados por estos rastreadores, y descubrió que estaban 'chivándose' de información como la dirección IP, el país en el que estamos, el nombre de la operadora, el modelo de móvil, la versión de Android, el identificador del móvil, el tipo de cuenta de LastPass, y si tenemos activo el inicio de sesión biométrico. Incluso registra qué es lo último que hemos hecho en LastPass.

Todos esos datos están asociados al identificador de publicidad de Android, un número único que fue creado para proteger la privacidad del usuario; sin embargo, se ha demostrado que puede ser usado para identificar a personas e incluso rastrearlas geográficamente.

Peor aún es que junto con los datos también se envía un 'misterioso' identificador de usuario, que podría servir para rastrear al usuario en otros servicios o apps, saltándose las medidas de Google.

Guardar contraseñas seguras puede ser difícil sin un gestor como LastPass

Para Kuketz, esto es muy grave; aunque entre los datos compartidos no se encuentran las contraseñas, los rastreadores siguen al usuario en todo momento mientras que este esté usando LastPass.

Además, esta práctica es inusual en este sector. Kuketz ha comparado otras apps de gestión de contraseñas, y ha comprobado que 1Password y KeePass no tienen ningún rastreador; mientras que Dashlane tiene cuatro rastreadores y BitWarden, dos (ambos sobre analítica).

Respuesta de LastPass

En respuesta a la investigación, LastPass no ha negado la existencia de estos rastreadores; sin embargo, ha quitado importancia a los datos que registra, afirmando que entre estos no se encuentran datos personales identificables ni la actividad relacionada con nuestras contraseñas.

Cree que los datos obtenidos son necesarios para mejorar el producto. Aún así, recuerda que los usuarios tienen la opción de desactivarlos accediendo a la sección de Privacidad en la Configuración Avanzada.

También te puede interesar...

Noticias relacionadas