Un investigador de seguridad ha detallado siete rastreadores dentro del popular administrador de contraseñas LastPass, que la propia empresa u otros anunciantes pueden utilizar para crear anuncios dirigidos a los usuarios de la aplicación.
El investigador de seguridad alemán Mike Kuketz ha descubierto siete rastreadores dentro de la aplicación LastPass para Android, un administrador de contraseñas que tiene más de 10 millones de instalaciones en el Google Play Store solo.
Los rastreadores involucrados fueron:
AppsFlyer Google Analytics Google CrashLytics Google Firebase Analytics Google Tag Manager Segmento MixPixel
Los rastreadores se han convertido en algo esperable en ciertas aplicaciones, a saber, las redes sociales y los puntos de venta en línea. Los investigadores señalan que algo sobre la inclusión de rastreadores en una aplicación de bóveda de contraseñas parece insidioso.
Kuketz señala que inmediatamente después de lanzar LastPass en Android, seis de las siete aplicaciones de seguimiento se activan antes de que el usuario incluso interactúe con la aplicación. También señala que en ningún momento se le pregunta al usuario si acepta o no que sus datos se transmitan a los terceros proveedores.
Durante su prueba, Kuketz descubrió que la aplicación rastrea qué dispositivo está usando el usuario, si la aplicación se usa de forma gratuita o con una suscripción, y si el usuario prefiere utilizar un bloqueo biométrico.
La versión de Android de LastPass también continúa rastreando a los usuarios mientras usan la aplicación. Si bien es posible que los rastreadores no reciban contenido sensible, como las contraseñas mismas, rastrean casi todo lo demás.
Los datos rastreados incluyen cuándo se ha creado una contraseña, qué tipo de cuenta está creando el usuario, como un perfil de redes sociales versus una cuenta bancaria o de tarjeta de crédito, la dirección IP de un usuario, la ubicación actual de un usuario y más. No hay forma de oponerse a este seguimiento u optar por no hacerlo, ya que el usuario tendría que desinstalarlo para evitar un seguimiento posterior.
En una publicación de seguimiento, Kuketz compartió la interacción de un lector con el soporte de LastPass, quien negó con vehemencia, dos veces, que la aplicación tuviera rastreadores.
Si bien no se ha confirmado la existencia de rastreadores en las versiones iOS o macOS de LastPass, un vistazo rápido a la “etiqueta nutricional” de la versión beta de iOS sugiere que tampoco está fuera de lo posible.
Específicamente, la aplicación LastPass para iOS rastrea la ubicación de los usuarios, los datos de uso, la información de contacto y parte del contenido del usuario, todo lo cual podría recopilarse y venderse a los anunciantes que luego podrían usar la información para orientar a los usuarios con anuncios.
señala que LastPass tampoco es el único administrador de contraseñas que tiene rastreadores. Bitwarden y Dashlane contienen rastreadores, dos y cuatro, respectivamente. Sin embargo, el rival de LastPass, 1Password y KeePass de código abierto, no cuentan con rastreadores en absoluto.
Un portavoz de LastPass reconoció que, si bien los rastreadores existen, no se transmiten datos de usuario ni actividad de contraseña de identificación personal a través de los rastreadores. Afirmaron que los rastreadores solo recopilan datos estadísticos agregados limitados que se utilizan para mejorar el producto.
La información llega en un momento particularmente desafortunado, ya que LastPass introdujo recientemente límites en las cuentas de nivel gratuito, restringiéndolas a computadoras o dispositivos móviles. Además, el soporte por correo electrónico finalizará para los miembros del servicio gratuito después de marzo. 17. Muchos usuarios han amenazado con dejar el servicio después del cambio.
