El cifrado de URL llega a LastPass. ¿Qué significa este cambio para usuarios y administradores?
LastPass ha creado un gestor de contraseñas usado por millones de usuarios y cientos de miles de empresas en todo el mundo. Proteger la seguridad y la privacidad de la información de los clientes es una de nuestras grandes prioridades, y en los últimos 18 meses hemos dedicado mucho tiempo y esfuerzos a reforzar la seguridad, sin renunciar a la mejor experiencia de usuario e incorporando mejoras en las operaciones y la privacidad.
Estas mejoras suman hoy un nuevo hito: el cifrado de las URL en las bóvedas de LastPass.
¿Por qué hacemos este cambio? ¿Y por qué ahora? Siga leyendo para descubrir los argumentos para introducir el cifrado de URL, cómo funciona y por qué creemos que ayudará a los usuarios a proteger mejor sus bóvedas.
El camino hasta el cifrado de URL
Ahora, cada vez que usa LastPass, la URL del sitio web al que accede desde su navegador web tiene que coincidir con las entradas guardadas en su bóveda de LastPass para determinar si los campos pueden y deben autocompletarse. El proceso es claro: se cotejan las URL del navegador web con los campos de URL sin cifrar de su bóveda. Si coinciden, LastPass inicia sesión como por arte de magia.
Hasta ahora las URL no se cifraban en las bóvedas por una razón muy sencilla: cuando nació LastPass en 2008, la tecnología no tenía nada que ver con la de hoy. El descifrado requería mucha potencia de procesamiento y mucha memoria, lo que lastraba el rendimiento de los PC y dispositivos móviles más básicos. Eso se traducía para los usuarios en una pérdida de velocidad y autonomía de la batería en los dispositivos móviles.
Para ofrecer el mejor rendimiento y experiencia posible a los usuarios, LastPass decidió no cifrar las URL de las bóvedas. Además, con el tiempo se incorporaron funciones para validar la coincidencia de las URL, como los dominios equivalentes.
Por suerte, las limitaciones de potencia y memoria son ya cosa del pasado y ahora LastPass puede cifrar todos los campos de la bóveda con URL sin perjudicar la experiencia para los usuarios.
¿Por qué es importante el cifrado de las URL?
Las URL pueden incluir información sobre la naturaleza de las cuentas asociadas a las credenciales guardadas (por ejemplo, entidades bancarias, e-mail o redes sociales).
Con el cifrado de las URL asociadas a las cuentas, como cualquier otro campo privado de la bóveda de LastPass, ampliamos nuestra arquitectura Zero Knowledge y reforzamos la privacidad de los clientes. Y no solo eso: también contribuimos a mitigar los riesgos al garantizar la privacidad de las URL vinculadas a cuentas o servicios guardados en la bóveda.
La introducción del cifrado de URL nos ha obligado a realizar cambios profundos en LastPass para reflejar la forma como funcionan casi todos los clientes y componentes de back-end. Y este tipo de cambios no se producen de la noche a la mañana, pero hemos hecho importante avances y vamos a empezar a ofrecer el cifrado de URL. En este punto será necesaria la intervención de los clientes para su aplicación.
¿Qué deben saber los clientes?
La implementación del cifrado de URL tendrá dos fases: la previsión es que la primera fase termine en junio y que la implantación empiece en julio. Será en ese momento cuando los usuarios particulares y los administradores de empresas reciban correos con información sobre qué ocurrirá. Empezaremos a cifrar automáticamente los campos de URL principales de las cuentas ya guardadas en las bóvedas y también las cuentas nuevas o editadas tras aplicar el cambio. Además, aprovecharemos para eliminar los campos de URL duplicados o innecesarios.
En la segunda fase, prevista para la segunda mitad de 2024, los esfuerzos se centrarán en cifrar automáticamente los otros seis campos de URL guardados en las bóvedas de LastPass. Puede consultar la lista completa con los ocho campos de URL aquí.
Es importante señalar que, por el momento, los clientes y los administradores no tienen que hacer nada. A lo largo del próximo mes vamos a enviar instrucciones paso a paso a los usuarios de planes personales y de planes para empresas explicando cómo aplicar el cifrado inicial de URL y también cómo prepararse para el cifrado de todos los demás campos de URL de la bóveda, que llegará antes de que termine el año. También daremos pautas sobre las funciones que son específicas para los administradores de planes para empresas de LastPass.
Nuestro compromiso con la seguridad
El cifrado de URL es otro hito importante en nuestro dilatado compromiso con el fortalecimiento de la seguridad de las bóvedas de gestión de contraseñas sin renunciar a la mejor experiencia para los usuarios. Dicho esto, somos conscientes de que la ciberseguridad es un camino, no un punto y final, y seguiremos trabajando para que LastPass sea un referente de innovación, seguridad, privacidad y fiabilidad.
Si quiere saber más sobre el compromiso con la seguridad de LastPass, no se pierda las últimas iniciativas añadidas a “¿Qué hemos hecho para proteger LastPass?” aquí.