LastPass es un gestor de contraseñas freemium que almacena las contraseñas encriptadas en la nube, desarrollado originalmente por la empresa Marvasol, Inc.
Desde hace ya algunos meses diversos expertos han planteado la pregunta de si los usuarios deberían de abandonar Lastpass por otros gestores de contraseñas, esto en referencia con los diversos problemas de seguridad que han surgido y a «su larga historia de incompetencia y negligencia».
Uno de los últimos problemas que tuvo LastPass fue el año pasado y el mismo CEO de LastPass, Karim Toubba, fue reveló que un incidente de seguridad en agosto fue mucho peor de lo que admitieron por primera vez. En lugar de solo perder el código fuente interno y los documentos del desarrollador, lo que ya era bastante malo, también perdieron la información de la cuenta del cliente y los datos de la bóveda.
Esto incluye sus nombres de usuario, nombres comerciales, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP de LastPass, asi como también los datos de la bóveda. Esto incluye las URL de los sitios web y sus nombres de usuario y contraseñas encriptados.
Los hackers obtuvieron una gran cantidad de información personal perteneciente a sus clientes, así como contraseñas encriptadas y codificadas criptográficamente, además de otros datos almacenados en bóvedas de clientes fuertes. La revelación, lanzada el 22 de diciembre, representa una actualización dramática de una brecha que LastPass reveló en agosto.
En este momento, la compañía dijo que:
Un actor hacker obtuvo acceso no autorizado a través de una sola cuenta de desarrollador.y lo usó para acceder a datos propietarios. El editor reconoció que los ciberdelincuentes «tomaron partes del código fuente y cierta información técnica patentada de LastPass».
La compañía dijo en ese momento que las contraseñas maestras de los clientes, las contraseñas encriptadas, la información personal y otros datos almacenados en las cuentas de los clientes no se vieron afectados.
El investigador de seguridad Jeremi Gosney dice que se alejó de LastPass «debido a una larga historia de incompetencia»
Permítanme comenzar diciendo que solía ser compatible con LastPass. Lo he recomendado durante años y lo he defendido públicamente en los medios. Si busca en Google «jeremi gosney» + «lastpass», encontrará cientos de artículos en los que he defendido y/o apoyado a LastPass (incluso en la revista Consumer Reports). Lo defendí incluso frente a vulnerabilidades y fallas, ya que tenía una UX superior y todavía parecía la mejor opción para las masas a pesar de sus fallas evidentes. Y todavía tiene un lugar un poco especial en mi corazón, siendo el administrador de contraseñas quien realmente me guió hacia los administradores de contraseñas. Estableció el listón de lo que esperaba de un administrador de contraseñas,
Pero las cosas cambian, y en los últimos años me he encontrado incapaz de defender LastPass. No recuerdo si hubo algo en particular que colmó el vaso, pero sí sé que dejé de recomendarlo en 2017 y migré por completo en 2019. A continuación se muestra una lista desordenada de razones por las que perdí la fe en Last Pass.
Por otra parte, el analista Steven J. Vaughan-Nichols tambien hace un llamado a migrar del servicio:
Me parece un poco extraño que LastPass no le dé a nadie más detalles sobre lo que pasó con el robo. Bitwarden, por otro lado, es transparente con sus auditorías y certificaciones además de su base de código abierto. La diferencia es clara. LastPass recomienda que cambie su contraseña maestra y todas sus otras contraseñas. Te recomiendo que te despidas de LastPass y cambies a otro administrador de contraseñas.
Hay muchos buenos administradores de contraseñas por ahí. Incluyen 1Password, DashLane y NordPass. Pero en el lado de la oferta paga o gratuita, no verá nada mejor que Bitwarden.
Bitwarden es una especie de programa de código abierto. Específicamente, utiliza una licencia disponible en la fuente. La empresa admite que la licencia de Bitwarden no se considera de código abierto según la definición de Open Source Initiative (OSI), pero «cree que la licencia equilibra con éxito los principios de apertura y comunidad con nuestros objetivos comerciales».
Finalmente cabe mencionar que LastPass tiene bastante en que trabajar si no quiere comenzar a perder usuarios y sobre todo en mejorar parte de sus servicios, ya que soluciones open source cuentan con características que llaman bastante a otros.