LastPass, un popular administrador de contraseñas, ha estado el centro de las críticas luego de que un informe señalara que su app para Android cuenta con siete rastreadores de publicidad y análisis integrados que recopilan datos que van desde el tipo de dispositivo del usuario y la versión de Android, hasta si el usuario cuenta con un plan gratuito y si habilitó la protección biométrica.
Mike Kuketz, un investigador alemán que reveló el problema, considera completamente inaceptable que aplicaciones que procesan datos extremadamente sensibles tengan módulos de publicidad y análisis integrados a ellas: "para decirlo en términos generales: aplicaciones que procesan datos sensibles no deberían integrar código externo que no sea de su propiedad y que no sea transparente. Qué datos recopilan y transmiten estos módulos a los proveedores terceros es algo que muchas veces ni siquiera saben los desarrolladores de aplicaciones, que son a su vez quienes integran estos módulos en sus aplicaciones”, agregó.
Usando Exodus, una plataforma de auditoría de privacidad para aplicaciones Android, Kuketz descubrió que una vez que se inicia la aplicación para Android, inmediatamente se contacta con los proveedores de rastreo. La aplicación contiene Google Firebase Analytics, Segment, Google CrashLytics, AppsFlyer, Mixpanel y Google Analytics.
La información recopilada incluye la dirección IP de los dispositivos, la resolución de la pantalla, la zona horaria, el ID de publicidad de Google, información sobre el proveedor de servicios y, aparentemente, un identificador (ID) de usuario generado por única vez. Mientras la aplicación está en uso, transmite metadatos sobre la creación de nuevas contraseñas y de qué tipo son. Sin embargo, los rastreadores no recolectan ningún dato relacionado con el contenido.
Es importante destacar que a los usuarios no se les pide su consentimiento para que algunos de sus datos sean transmitidos a proveedores externos, por eso Kuketz reclama que la aplicación no ofrece la posibilidad a los usuarios de elegir si quieren o no participar en la recopilación de datos. Sin embargo, un vocero de LastPass dijo a The Register que la aplicación sí ofrece esta opción.
“Todos los usuarios de LastPass, independientemente del navegador o dispositivo, tienen la opción de elegir no formar parte de este análisis en la parte de configuración de privacidad de LastPass, ubicada en Account Settings > Show Advanced Settings > Privacy. Estamos revisando continuamente nuestros procesos existentes y trabajando para el mejor cumplimiento llegando incluso a superar los requisitos impuestos por los estándares de protección de datos vigentes”, dijo el portavoz. La empresa también publicó este comunicado tras el informe.
El portavoz también aseguró que ningún tipo de información personal identificable del usuario o sobre la actividad de la bóveda que contiene las contraseñas puede pasar a través de los rastreadores, y agregó que los rastreadores solo recopilan datos estadísticos agregados sobre el uso de la aplicación, que luego se utilizan para optimizar y mejorar LastPass. Sin embargo, debe tenerse en cuenta que algunos de estos rastreadores también pueden encontrarse en varios otros administradores de contraseñas ampliamente utilizados.
Lectura relacionada: ¿Las aplicaciones necesitan todos los permisos?
Ahora, si bien el informe puede ser desconcertante para los usuarios preocupados por la privacidad, el mismo no debería restar valor a los beneficios de usar un administrador de contraseñas, incluso para evitar cometer algunos de los errores más comunes a la hora de crear contraseñas. Los usuarios que buscan mejorar su seguridad pueden elegir entre una variedad de gestores gratuitos y de pago, y algunos incluso vienen integrados como parte de soluciones de seguridad. En ese sentido, agregar una capa adicional de seguridad como el doble factor de autenticación en todos los servicios que sea posible, también es una opción deseable.