Autor/a: Christofer Hoff
LastPass ha creado un popular gestor de contraseñas que utilizan millones de consumidores y cientos de miles de empresas en todo el mundo. Proteger la seguridad y la privacidad de los datos de los clientes es fundamental para nuestra misión y, durante los últimos 18 meses, hemos invertido mucho tiempo y esfuerzo en reforzar nuestra seguridad, sin sacrificar la experiencia del usuario, y al mismo tiempo mejorando las operaciones de seguridad y la privacidad en general.
Estas mejoras continúan hoy con el cifrado de URL en las bóvedas de LastPass.
¿Por qué estamos haciendo este cambio y por qué ahora? Siga leyendo para conocer los antecedentes y las actualizaciones sobre el cifrado de URL, cómo funciona y por qué creemos que ayudará a nuestros usuarios a proteger mejor sus bóvedas.
En la actualidad, cada vez que utiliza LastPass, la URL del sitio web que visita en su navegador web debe compararse con las entradas guardadas en su bóveda de LastPass para determinar si los campos pueden y deben completarse automáticamente. Para lograr esto, las URL de su navegador web se comparan con los campos de URL no cifrados dentro de la bóveda. Una vez que se realiza una comparación, LastPass realiza su magia.
El motivo por el que históricamente las URL no han estado cifradas en las bóvedas es que cuando se creó LastPass en 2008, la tecnología era muy distinta a la actual. El descifrado era una acción que requería un uso intensivo de la memoria y de los recursos informáticos, lo que afectaba negativamente al rendimiento en PC y dispositivos móviles de bajo consumo, lo que a menudo provocaba una experiencia de usuario lenta y un consumo excesivo de batería en los dispositivos móviles.
Para maximizar el rendimiento y la experiencia del usuario, LastPass no descifró las URL en las bóvedas para garantizar que el rendimiento y la experiencia del usuario fueran aceptables. Con el tiempo, se crearon funciones adicionales de coincidencia de URL, como la función de dominios equivalentes, sobre esta lógica.
Afortunadamente, esas limitaciones de memoria y de ordenador ya no existen en la mayoría de los dispositivos actuales. LastPass ahora puede cifrar de forma segura todos los campos relacionados con URL en su bóveda sin ninguna experiencia adversa para el usuario.
Es posible que las URL contengan detalles sobre la naturaleza de las cuentas asociadas con sus credenciales almacenadas (por ejemplo, banca, correo electrónico, redes sociales).
Cifrar las URL asociadas a sus cuentas, al igual que cualquier otro campo privado en la bóveda de LastPass, ampliará nuestra arquitectura de conocimiento cero y mejorará la privacidad del cliente, al mismo tiempo que ayudará a mitigar aún más el riesgo al garantizar que las URL relacionadas con servicios o cuentas específicos guardados dentro de su bóveda permanezcan privadas.
Para agregar el cifrado de URL, tuvimos que rediseñar LastPass para refactorizar la forma en que funcionan casi todos los componentes de cliente y back-end. Ese tipo de cambio no se produce de la noche a la mañana, pero hemos logrado un progreso significativo y estamos entusiasmados por comenzar a ofrecer cifrado de URL, que requerirá alguna acción por parte de nuestros clientes para que surta efecto.
La implementación del cifrado de URL se realizará en dos fases: se espera que la primera fase se complete en junio y que la implementación comience en julio. En ese momento, tanto los usuarios personales como los administradores de empresas recibirán correos electrónicos con detalles prescriptivos sobre qué esperar y comenzaremos a cifrar automáticamente los campos de URL principales de las cuentas existentes almacenadas en sus bóvedas, así como cualquier cuenta nueva o modificada después de que se realice el cambio. También aprovecharemos esta oportunidad para eliminar un campo de URL heredado duplicado e innecesario.
La siguiente fase, cuya finalización está prevista para la segunda mitad de 2024, se centrará en el cifrado automático de los seis campos restantes relacionados con URL almacenados en las bóvedas de LastPass. Puede encontrar la lista completa de los ocho campos relacionados con URL aquí.
Es importante tener en cuenta que no hay acciones actuales que los clientes y administradores deban realizar. En el próximo mes, les comunicaremos instrucciones paso a paso a los usuarios del plan personal y del plan empresarial, explicando cómo completar la actualización inicial del cifrado de URL, así como también cómo prepararse para el cifrado de todos los campos de URL restantes en el almacén más adelante este año. También ofreceremos una guía prescriptiva para la funcionalidad específica para los administradores del plan LastPass Business.
El cifrado de URL representa otro hito importante en el camino hacia la culminación de nuestra misión de años de fortalecer y reforzar aún más nuestra bóveda de administración de contraseñas sin sacrificar la experiencia del usuario final. Dicho esto, reconocemos que la ciberseguridad sigue siendo un viaje, no un destino, y estamos comprometidos a seguir construyendo un LastPass basado en la innovación, la seguridad, la privacidad y la confianza.
Post original aquí.