Revisión de LastPass

seguridad10

LastPass es uno de los administradores de contraseñas más populares y conocidos, pero ¿está a la altura de su nombre? En esta revisión de LastPass, lo pondremos bajo el microscopio para responder esa pregunta.

Además, vamos a examinar el historial y la seguridad de LastPass, para incluir brechas de seguridad anteriores que enviaron alarmas a través de la base de usuarios.

¿Todavía se puede confiar en LastPass con sus datos privados? ¿Es uno de los mejores administradores de contraseñas o ha sido eclipsado por la competencia?

Siga leyendo esta revisión de LastPass para averiguarlo.

+ Pros

  • Contraseñas cifradas localmente
  • Sincronización automática entre todos los dispositivos.
  • Tutoriales integrados para nuevos usuarios
  • Datos cifrados en tránsito y en reposo
  • Cuentas de usuario único y multiusuario
  • 1 GB de almacenamiento de archivos cifrados (cuentas pagadas)
  • Soporta 2FA
  • Cumple con GDPR
  • Auditoría de terceros de los procesos internos realizados

– Contras

  • Difícil contactar al personal de soporte
  • Respuestas de mala calidad incluso para apoyo prioritario
  • Gran aumento de precio reciente para el plan premium
  • Basado en, y datos almacenados en, Estados Unidos
  • Recopila y comparte algunos datos de usuario.
  • Puede ser obligado a revelar datos del usuario.

Resumen de las funciones de LastPass

Aquí hay un resumen rápido del conjunto completo de funciones de LastPass, algunas de las cuales solo están disponibles en las versiones pagas del producto:

  • Las plataformas compatibles incluyen macOS, Android, iOS y los principales navegadores.
  • Datos cifrados en tránsito y en reposo
  • Generador de contraseñas seguras
  • Uso compartido seguro de contraseñas
  • Informes y análisis
  • El rellenado de formularios
  • Compatibilidad con autenticación 2FA y multifactor
  • Importación / Exportación de contraseña
  • Cifrado AES-256 y PBKDF2
  • Almacenamiento de archivos cifrados
  • Se sincroniza en todos sus dispositivos y navegadores.
  • Acceso de emergencia
  • Autenticador de LastPass
  • LastPass para aplicaciones

Funciones principales de LastPass (disponibles para usuarios gratuitos)

Estas son las funciones principales de LastPass, a las que tiene acceso en las versiones gratuitas del producto. Tiene la capacidad de:

  • Almacene contraseñas, notas seguras, direcciones, información de tarjetas de crédito, cuentas bancarias
  • Sincronice de forma segura las contraseñas entre todos sus dispositivos
  • Guardar y completar contraseñas
  • Generador de contraseñas seguras
  • Notas seguras
  • Autenticación de dos factores
  • Reto de seguridad
  • Intercambio de datos uno a uno
  • Autenticador de LastPass

Nota : Cubriré las otras versiones de LastPass y sus características adicionales un poco más adelante en esta revisión. Pero primero, hablemos de algunos antecedentes que le ayudarán a decidir si debe seguir leyendo.

Información de la empresa (¿Quién es el propietario de LastPass?)

LastPass ha estado almacenando contraseñas para todo el mundo desde agosto de 2008. En octubre de 2015, LogMeIn, Inc. adquirió LastPass.

LogMeIn es una empresa pública, con sede en los Estados Unidos, que cotiza en la bolsa de valores NASDAQ, con ingresos anuales de más de mil millones de dólares. Si le preocupa confiar sus datos a una empresa pequeña con pocos ingresos y pocos empleados, eso no será una preocupación aquí.

Luego, en diciembre de 2019, LogMeIn anunció oficialmente que estaba siendo adquirido por firmas de capital privado estadounidenses. De su comunicado de prensa :

LogMeIn, Inc., un proveedor líder de conectividad basada en la nube, anunció hoy que ha celebrado un acuerdo definitivo (o el «Acuerdo») para ser adquirido en una transacción dirigida por afiliados de Francisco Partners, un líder mundial centrado en la tecnología. firma de capital privado, incluida Evergreen Coast Capital Corporation («Evergreen»), la filial de capital privado de Elliott Management Corporation («Elliott»), por $ 86.05 por acción en efectivo. La transacción en efectivo valora a LogMeIn con una valoración de capital agregada de aproximadamente $ 4,3 mil millones.

¿Es bueno que LogMeIn haya sido adquirido por empresas de capital riesgo estadounidenses? El tiempo lo dirá, pero esto coincide con la tendencia que hemos estado viendo de que los servicios de privacidad se venden a varias entidades:

  • El acceso privado a Internet fue adquirido por Kape Technologies
  • Startpage aceptó una gran inversión de System1  (una empresa de tecnología publicitaria)

Pero esto no es sorprendente, dada la creciente preocupación por la protección de datos, el robo de identidad y el fraude , y otras estadísticas alarmantes de ciberseguridad. La gente está gastando más dinero en estos servicios, de ahí el crecimiento, pero volvamos a la revisión de LastPass.

Condiciones de servicio de LastPass

Dado que LogMeIn adquirió LastPass, los Términos de servicio (TOS) aplicables son el documento de LogMeIn . Es general en el sentido de que cubre todos los servicios que ofrecen. También es una jerga legal bastante densa. Esto es lo que obtuve (pero no soy abogado).

Los Términos de servicio parecen bastante estándar. Hay un punto del que algunas personas pueden desconfiar. La empresa afirma que,

Si es necesario y de acuerdo con la ley aplicable, cooperaremos con las autoridades gubernamentales locales, estatales, federales e internacionales con respecto a los Servicios.

Dado que la empresa tiene su sede en los Estados Unidos, que es un país de vigilancia de Five Eyes , esto significa que sus datos pueden ser accesibles a varias agencias estadounidenses, de acuerdo con las leyes estadounidenses. Dado que sus datos están encriptados y LogMeIn no tiene la capacidad de desencriptarlos, no hay mucho que puedan entregar.

Sin embargo, esto no es nada fuera de lo común, ya que también afecta a los servicios de correo electrónico seguro . Por ejemplo, ProtonMail también se vio obligado a cumplir con las solicitudes de datos legales, pero debido a que los correos electrónicos se almacenan encriptados en reposo, no hay mucho que se pueda ganar de todos modos.

Dicho esto, dado que el código de LastPass no es de código abierto, a diferencia de Bitwarden , por ejemplo. Por lo tanto, debe confiar en la palabra de la compañía de que no pueden leer sus datos y no hay nada que pescar con puertas traseras o exploits.

Política de privacidad de LastPass

La Política de privacidad de LastPass (LogMeIn) establece que la empresa recopila varios tipos de información personal cuando utiliza sus servicios. Esto puede incluir:

  • Tu tipo de dispositivo
  • Sistema operativo y versión
  • El dispositivo UDID (identificador de dispositivo único)
  • La dirección IP desde la que se conecta
  • Información sobre la ubicación
  • Configuraciones de idioma
  • Otros datos de diagnóstico

Utilizan estos datos para ejecutar sus servicios y pueden compartirlos con terceros o según lo requiera la ley. Si esta recopilación de datos le preocupa, le sugiero que visite nuestra página de Herramientas de privacidad para saber cómo proteger mejor sus datos. Además, nuestras guías sobre navegadores seguros  y los mejores servicios VPN  también son útiles en este sentido.

Auditoría de LastPass

LastPass y otros servicios de LogMeIn se han sometido a un tipo de auditoría de terceros. La auditoría de LastPass fue realizada en 2018 por Tevora Business Solutions.

Esta auditoría, titulada “ SOC 3® – Informes sobre controles en una organización de servicios ”, fue diseñada para examinar si los controles internos de la compañía cumplen con los Principios de servicio de confianza especificados según lo definido por el AICPA (Instituto Americano de Contadores Públicos Certificados). El informe tiene como objetivo mostrar que los controles de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad en LogMeIn cumplen con esos principios. Los resultados de la auditoría fueron que, en opinión de los auditores, los controles dentro del Sistema de Gestión de Identidad y Acceso de LogMeIn fueron,

… vigente durante el período del 1 de septiembre de 2017 al 31 de agosto de 2018, para proporcionar una seguridad razonable de que los compromisos de servicio y los requisitos del sistema de LogMeIn IAM se lograron en función de los criterios de servicios de confianza aplicables se declara de manera justa, en todos los aspectos materiales.

Esta es una buena información, ya que nos dice que un auditor externo siente que LogMeIn tiene buenos procedimientos internos. Sin embargo, es importante darse cuenta de que este es un tipo de auditoría muy diferente al tipo realizado para productos como Bitwarden.

La auditoría de Bitwarden , realizada por la firma de seguridad Cure53 , involucró pruebas de penetración de caja blanca, auditoría de código fuente y un análisis criptográfico del código de Bitwarden y la seguridad contra ataques. Este tipo de auditoría de seguridad es realmente el estándar de oro, ya que Cure53 también ha auditado servicios VPN, como ExpressVPN .

Idealmente, una empresa llevaría a cabo auditorías periódicas contra amenazas internas y externas. Sin embargo, de manera realista, cualquier auditoría es mejor que nada, aunque sería mejor ver el listón elevado en esta área.

Aplicaciones de LastPass

LastPass ofrece una gama completa de aplicaciones (clientes) y extensiones para su uso. Estos incluyen aplicaciones y extensiones para:

  • Aplicaciones de escritorio para Windows, Mac OS y Linux
  • Aplicaciones móviles para Android e iOS (iPhones y iPads)
  • Extensiones de navegador para los navegadores Chrome, Firefox, Safari, Internet Explorer, Opera, Microsoft Edge y Chromium (incluido Brave)

Puede ver todas las diferentes aplicaciones y extensiones de LastPass aquí .

Prueba práctica y revisión de LastPass

Para esta revisión de LastPass, me estoy concentrando en el plan gratuito (personal). Este plan debería ser suficiente para la mayoría de las personas. Veremos la instalación y el uso de la extensión LastPass en el navegador Brave.

Instalar la extensión LastPass y crear una cuenta

Instala LastPass como cualquier extensión de navegador típica, a través de la tienda web. Una vez que tenga instalada la extensión de LastPass, al hacer clic en ella, se abre una ventana como la que se muestra a continuación para que pueda crear una cuenta.

Haga clic en el enlace Crear una cuenta en la parte inferior de la ventana y LastPass lo guiará a través del proceso de registro. Deberá ingresar una dirección de correo electrónico válida para completar el proceso de creación de la cuenta. LastPass enviará un mensaje de confirmación a esa dirección y, una vez que responda, estará listo para comenzar.

Agregar credenciales de inicio de sesión a LastPass

Una de las buenas características de LastPass son los recorridos que ofrece a los nuevos usuarios. Encontrará uno justo después de configurar LastPass. Ofrece ayudarlo a almacenar su primer conjunto de credenciales de inicio de sesión y también le permite iniciar sesión a través de una cuenta de terceros. Solo toma un momento, y cuando haya terminado, estará listo para ingresar las contraseñas usted mismo.

Con la extensión LastPass instalada y activa, simplemente inicie sesión en los sitios normalmente. Si las credenciales del sitio aún no están almacenadas en LastPass, aparecerá un cuadro similar al que se muestra a continuación, lo que le permitirá agregar las credenciales del sitio a la bóveda con un solo clic.

¿Qué sucede si está cambiando de un administrador de contraseñas diferente y no está entusiasmado con la idea de volver a ingresar manualmente todas las contraseñas que ha almacenado en otro producto?

Afortunadamente, LastPass puede importar datos de muchos otros administradores de contraseñas . Sin embargo, el proceso puede resultar un poco complicado. Si está considerando cambiarse a LastPass desde otro administrador de contraseñas, puede visitar esta página y ver qué implica su caso particular.

Trabajando con sus contraseñas

Una vez que agregue algunas credenciales de inicio de sesión, su bóveda de LastPass se verá así:

Cuando pasa el mouse sobre uno de estos elementos, LastPass muestra sus opciones para ese elemento. Esto lo convierte en una vista limpia y atractiva del contenido de su bóveda.

Si bien LastPass se usa principalmente para contraseñas, puede manejar mucho más que solo credenciales de inicio de sesión. Admite estos tipos de datos:

  • Contraseñas
  • Notas
  • Direcciones
  • Tarjetas de pago
  • cuentas bancarias
  • Contraseñas de Wi-Fi

La entrada de la bóveda para cada tipo está estructurada para tener campos para todos los datos relevantes. Por ejemplo, así es como se ve el formulario » Agregar cuenta bancaria «:

Ahora veamos cómo modificar los datos que ha almacenado en la bóveda.

Editando sus datos

LastPass almacena una copia encriptada de la bóveda en cada uno de sus dispositivos, además de la copia que se almacena en sus servidores. Esto le permite ver su bóveda ya sea que esté en línea o no. Sin embargo, cuando estás no en línea, sólo se puede ver la copia local de la bóveda; no puede editarlo.

Si desea editar los datos en su bóveda (y está en línea), simplemente puede hacer clic en Abrir mi bóveda en la extensión de LastPass. Esto abre su bóveda en una nueva pestaña de su navegador.

Administrador de contraseñas de LastPass en acción

LastPass intenta facilitar el uso de sus contraseñas almacenadas. Una vez que llega a la página de inicio de sesión de un sitio que conoce LastPass, se inserta en los campos relevantes, como este:

Al hacer clic en ese icono, LastPass muestra un cuadro con las credenciales que tiene para esta página. Haga clic para decirle a LastPass que ingrese esos datos en los campos para los que sabe que tiene datos.

¿Ves el pequeño número en la esquina inferior derecha del icono de LastPass? Eso indica el número de entradas que LastPass tiene para esta página. Si aparece un número mayor que uno, LastPass mostrará una lista de todos los inicios de sesión relevantes entre los que puede elegir.

Genere contraseñas seguras con LastPass

Una vez que tenga un administrador de contraseñas para recordar cosas por usted, puede usar contraseñas largas y complejas para todo. LastPass incluye un generador de contraseñas seguro que puede crear esas largas y complejas contraseñas para usted. Para usarlo, haga clic en la extensión, luego seleccione la opción Generar contraseña segura .

El generador de contraseñas se ve así:

Está configurado para crear contraseñas seguras de forma predeterminada, aunque le sugiero que cambie la longitud de la contraseña a al menos 16 caracteres para una mayor seguridad.

Aumento de la seguridad de LastPass

Hablando de aumentar la seguridad de sus datos, hay otras dos opciones disponibles en la versión gratuita de LastPass.

El primero es la autenticación multifactor . LastPass admite una variedad de diferentes autenticadores basados ​​en hardware y software. Puedes encontrar todas las opciones en esta página .

La otra herramienta que ofrece LastPass es su Desafío de seguridad . Este es un análisis automático de los datos en su bóveda. Hace cosas como verificar si alguna de las direcciones de correo electrónico en la bóveda está asociada con un sitio web que puede haber sido pirateado. También detecta y le ayuda a actualizar:

  • Contraseñas débiles
  • Contraseñas reutilizadas
  • Contraseñas antiguas

Esta es definitivamente una herramienta útil a la que puede acceder a través del submenú Opciones de cuenta en la extensión del navegador.

Compartir contraseñas y otros datos

LastPass le permite compartir datos de forma segura con otras personas. Las versión gratuita permite compartir con una persona. El Centro de intercambio de LastPass  es donde puede administrar los elementos compartidos. Puedes averiguar cómo funciona aquí .

Funciones adicionales de LastPass

Nos hemos estado concentrando en las funciones principales (las que se incluyen en la versión gratuita) de LastPass hasta ahora. Pero dependiendo de su situación, es posible que necesite una o más de las funciones que solo están disponibles en las versiones pagas.

Para ayudarlo a decidir si necesita más que lo básico, he compilado descripciones breves de las características más interesantes a continuación.

Acceso de emergencia

El acceso de emergencia existe para darle a otro usuario acceso completo a sus datos de LastPass, si algo le sucediera.

LastPass para aplicaciones

LastPass para aplicaciones (LastApp) es una aplicación de escritorio de Windows que tiene acceso a su LastPass Vault. Puede ingresar sus contraseñas en aplicaciones de escritorio por usted.

1 GB de almacenamiento de archivos cifrados

Esto aumenta el espacio de la bóveda disponible para notas seguras de 50 MB a 1 GB.

Panel del administrador familiar

El plan Familias de LastPass le permite tener hasta seis usuarios para una cuenta . El Panel del administrador familiar es el centro de control para esto.

Características del equipo

LastPass Teams le permite administrar hasta 50 usuarios con una cuenta. Esto incluye políticas de equipo e informes simples.

Funciones empresariales

Gestión de contraseñas para toda la empresa, desde la incorporación hasta los informes automatizados, los controles administrativos y más. El desglose completo está aquí .

Soporte de LastPass

Las páginas de Soporte al cliente de LastPass tienen mucha información que le permite resolver muchos problemas sin contactar al equipo de Soporte. Esto es bueno ya que es bastante difícil contactar a una persona de apoyo en vivo. El sistema de chat es un bot que no es excelente para responder preguntas y, a menos que tenga un plan con Soporte prioritario, deberá abrirse camino a través de algunas posibles soluciones antes de que el sitio le ofrezca la oportunidad de enviar un correo electrónico a un técnico.

No he tenido ningún problema con LastPass Support. Sin embargo, la mayoría de los comentarios sobre la empresa en sitios como ConsumerAffairs.com se quejan de la dificultad de encontrar una manera de contactar al Soporte, junto con respuestas lentas y / o poco útiles incluso para las personas con Soporte Premium.

Seguridad de LastPass (¿Sigue siendo confiable después de múltiples ataques?)

Si bien LastPass encripta sus datos en su dispositivo usando encriptación AES-256 bit con PBKDF2 SHA-256 y hashes salados, todavía han sido pirateados.

En junio de 2015, LastPass admitió que los piratas informáticos podían robar direcciones de correo electrónico de cuentas, recordatorios de contraseñas, servidores por usuario y hash de autenticación. La compañía no encontró evidencia de que se tomaran datos de la bóveda (incluidos los perfiles de llenado de formularios, notas seguras, nombres de usuario del sitio y contraseñas). La empresa tomó medidas inmediatas para mejorar su seguridad.

Según esta historia de HackRead , LastPass también fue pirateado al menos dos veces más en 2016 . En ambos casos, los atacantes eran piratas informáticos de sombrero blanco que informaron los problemas a LastPass.

En 2017, Darknet.org.uk informó que las extensiones de LastPass Firefox y Chrome se habían hecho para filtrar todas sus frases de contraseña de LastPass simplemente navegando por un sitio web malicioso. Según se informa, el problema también podría permitir que un sitio malicioso ejecute comandos en la computadora del usuario. Una vez más, los ingenieros de LastPass se pusieron a trabajar para solucionar los problemas.

Si bien ver hackeos y filtraciones no es agradable, hay algunas formas de ver esto.

  1. El enfoque crítico . Vaya después de LastPass por la cantidad de problemas que han aparecido y tal vez cambie a un administrador de contraseñas diferente.
  2. El enfoque filosófico . Con tantos usuarios y tanta notoriedad, es probable que LastPass sea atacado más que otros administradores de contraseñas. Al mismo tiempo, es probable que haya más hackers de sombrero blanco y otros «buenos» que buscan problemas con LastPass que productos menos populares.
  3. El enfoque optimista . También podrías ver esto como algo positivo. Siendo realistas, cualquier software de complejidad moderada tiene errores y vulnerabilidades. La gente está encontrando y solucionando los problemas en LastPass. Con el tiempo, eso hace que el producto sea más seguro (al menos en teoría).

Dejaré que usted decida cómo quiere responder a la cantidad de hacks y filtraciones que se han descubierto en el código de LastPass.

Privacidad de LastPass

Como comentamos al revisar su Política de privacidad, LastPass recopila cierta información personal y puede compartirla con socios y autoridades policiales. Recopilan más información de la que me gustaría, pero al menos los datos que almacena en la bóveda están seguros, ¿o no?

Esta publicación de 2017 en Hackernoon.com sugiere que LastPass puede exponer algunos de sus datos privados. El autor demostró que las URL de los sitios que almacena en LastPass no están cifradas. Si así fuera, no habría forma de que LastPass pudiera mostrar los logotipos de los sitios en LastPass Vault.

En lugar de cifrar las URL como el resto de los datos, LastPass simplemente las almacena como cadenas hexadecimales que se pueden decodificar fácilmente. Peor aún, a veces las URL contienen información confidencial.

Por ejemplo, existen formas de incrustar credenciales de inicio de sesión en una URL. En escenarios como este, podría estar enviando información privada a LastPass de forma no cifrada, pero la mayoría de los sitios web NO deberían hacerlo.

Este es potencialmente un gran problema de privacidad, pero solo en las circunstancias adecuadas. Parece que la única forma en que alguien puede aprovechar este problema es si tiene acceso a los datos de su bóveda. Eso significaría piratear su computadora u obtener acceso a sus datos en los servidores de LogMeIn.

Y como vimos anteriormente, el auditor externo dice que LogMeIn cuenta con sistemas para evitar el acceso no autorizado a sus datos. Una vez más, todo se reduce a si siente que esta situación es un riesgo inaceptable en sus circunstancias particulares.

Precios y planes de suscripción de LastPass

Lo que le costará LastPass depende de sus necesidades. Para la mayoría de los usuarios, el plan gratuito debería ser todo lo que necesita. Sin embargo, como puede ver en la imagen a continuación, los planes Premium y Familias ofrecen beneficios adicionales para los usuarios pagos.

Si bien algunos administradores de contraseñas se enfocan en usuarios individuales o grupos pequeños, LastPass tiene un nivel integral de planes de negocios, con características que se adaptan a muchos tipos de organizaciones.

Alternativas a LastPass

Si es un solo usuario o administra un equipo pequeño, debe investigar Bitwarden . Ofrecen un plan gratuito, así como cuentas organizativas que podrían satisfacer sus necesidades. Su código es de código abierto y ha sido auditado por una empresa de seguridad respetada. Y no he visto ningún informe de que hayan sido pirateados o que hayan filtrado datos.

Si necesita un administrador de contraseñas para un entorno corporativo, es posible que desee consultar 1Password o quizás Dashlane . Ambos ofrecen una gama completa de funciones comerciales y sólidas políticas de seguridad.

Conclusión de la revisión de LastPass

Entonces, ¿LastPass es una buena opción para usted?

Esto depende de varios factores y de sus propias necesidades. El plan gratuito tiene mucho sentido si solo desea ayuda para recordar sus contraseñas. Si está buscando administrar contraseñas para una familia, un equipo o toda una empresa, LastPass tiene planes que pueden hacer el trabajo por usted.

Sin embargo, si está más centrado en la seguridad y la privacidad, es posible que desee considerar una solución diferente, como Bitwarden. Dependiendo de su modelo de amenaza, los problemas de seguridad anteriores y la base del código fuente cerrado pueden dejarlo considerando otras opciones.

Consulte nuestra guía principal sobre administradores de contraseñas para conocer otras alternativas.

Otras revisiones de administradores de contraseñas que quizás desee consultar:

  • Bitwarden
  • Dashlane

Deja un comentario