Si bien el rastreador de la aplicación LastPass para Android no recopila ningún dato personal, es posible que las noticias a continuación no atraigan a los usuarios conscientes de la privacidad.
LastPass, un popular administrador de contraseñas, ha sido objeto de críticas luego de que un informe revelara que su aplicación de Android incorporó siete rastreadores de anuncios y análisis que recopilan datos sobre el tipo de dispositivo que usa un usuario y la versión de Android utilizada, incluidos datos sobre la suscripción del usuario y permisos de seguridad biométrica.
Mike Kuketz, el investigador alemán que expuso el problema, cree que los módulos de análisis y publicidad en la aplicación que manejan datos altamente confidenciales son simplemente inaceptables: «o, más ampliamente: sin un código externo propietario y opaco». “No se pueden integrar en aplicaciones que manejan datos confidenciales. Los datos que estos módulos recopilan y transmiten a proveedores externos a veces ni siquiera son conocidos por los desarrolladores de aplicaciones que integran estos módulos en sus aplicaciones”, agregó Road.
Usando Exodus, una plataforma de auditoría de privacidad para aplicaciones de Android, Kuketz descubrió que tan pronto como se lanzó la aplicación LastPass para Android, se comunicó de inmediato con el proveedor de seguimiento. La aplicación incluye Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel y Google Analytics.
Otro artículo sobre el mismo tema: Seis consejos para ayudarte a evitar el marketing dirigido
La información recopilada incluye la dirección IP de su dispositivo, la resolución de pantalla, la zona horaria, la identificación de publicidad de Google, la información del proveedor de servicios y, obviamente, una identificación de usuario generada una sola vez. Mientras usa la aplicación, transmite metadatos sobre las contraseñas recién creadas y sus tipos. Sin embargo, los rastreadores no recopilan datos de contenido.
Es importante tener en cuenta que los usuarios no están obligados a dar su consentimiento para compartir algunos de sus datos con proveedores externos, y Kuketz ha informado a la aplicación de este problema. Sin embargo, un portavoz de LastPass le dijo a The Register que la aplicación ofrecerá esta opción.
«Todos los usuarios de LastPass, independientemente del navegador o dispositivo, tienen la opción de optar por no participar en estos análisis en la configuración de privacidad de LastPass en su cuenta: Configuración de la cuenta > Configuración de presentación avanzada > Confidencialidad. Revisamos continuamente nuestros procesos existentes y trabajamos para mejorarlos. incluso yendo más allá de lo exigido por los actuales estándares de protección de datos”, dijo el portavoz. La compañía también emitió esta declaración después del informe.
El portavoz aseguró que ninguna información personal o confidencial del usuario o datos de actividad de la bóveda de contraseñas pasa a través del rastreador, y agregó que el rastreador solo recopila estadísticas agregadas sobre el uso de la aplicación, que luego se utiliza para optimizar y mejorar LastPass. Sin embargo, cabe señalar que algunos de estos rastreadores también están presentes en otros administradores de contraseñas muy utilizados.
Si bien este informe puede frustrar a los usuarios conscientes de la privacidad, no debería disminuir los beneficios de usar un administrador de contraseñas, o incluso evitar cometer estos errores comunes en la creación de contraseñas. Los usuarios que buscan mejorar su seguridad pueden elegir entre una variedad de soluciones gratuitas o de pago, algunas de las cuales incluso están integradas directamente en soluciones de seguridad integrales. Alternativamente, también podría ser una buena idea agregar una capa adicional de seguridad en forma de un método de autenticación de múltiples factores.