LastPass, conocido gestor de contraseñas, ha dado un paso más en la protección digital de las empresas al presentar una nueva función que permite bloquear o advertir sobre el uso de aplicaciones SaaS no aprobadas desde su extensión de navegador. Esta herramienta, integrada en su plan Business Max, busca frenar el acceso no controlado a plataformas digitales que pueden comprometer la seguridad de una organización.
¿Qué es una aplicación SaaS «en la sombra»?
En muchas empresas, es común que los empleados utilicen herramientas digitales por iniciativa propia, sin aprobación del departamento de TI. Estas se conocen como aplicaciones SaaS en la sombra. Por ejemplo, un empleado puede abrir una cuenta gratuita en una plataforma de gestión de proyectos para agilizar su trabajo, sin considerar los riesgos de seguridad o cumplimiento.
LastPass ha identificado esta práctica como una de las principales vías de entrada de brechas de seguridad y ha decidido abordarla directamente desde su extensión de navegador, que ya contaba con amplios permisos para observar y gestionar inicios de sesión.
Nuevas funciones de LastPass: advertencia y bloqueo
Con esta actualización, LastPass permite a los administradores elegir entre tres acciones ante intentos de inicio de sesión en apps no autorizadas:
- Permitir el acceso
- Advertir al usuario
- Bloquear completamente el acceso
Estas decisiones pueden tomarse desde el panel de control del sistema SaaS Protect, permitiendo una gestión granular por usuario y aplicación.
La extensión de navegador de LastPass, instalada en Chrome, Firefox o Edge, detecta cualquier intento de inicio de sesión, sin importar el navegador utilizado. Cuando el usuario intenta acceder a una herramienta no aprobada, puede aparecer una ventana emergente personalizada con una explicación del motivo de la advertencia o del bloqueo.
Control basado en la autenticación, no solo en la URL
Una característica destacable de esta herramienta es que no se limita a bloquear direcciones web. El sistema actúa cuando detecta un intento de autenticación, lo cual permite identificar con mayor precisión si se están utilizando credenciales de acceso.
LastPass distingue entre cuatro tipos de autenticación:
- SSO (Inicio de sesión único)
- Autenticación desde la «bóveda» (con credenciales guardadas en el gestor)
- Autenticación no gestionada (credenciales ingresadas manualmente)
- Autenticación con passkeys (aún en fase beta)
Esta capacidad de distinción es clave para tomar decisiones informadas sobre qué accesos son seguros y cuáles deben ser restringidos.
Una herramienta que evoluciona
Aunque esta nueva función ya está disponible para los usuarios de Business Max (USD 9 por usuario al mes), LastPass ha dejado claro que se trata de una versión 1.0 que seguirá creciendo.
El plan es que en el futuro se puedan establecer políticas por grupos de usuarios, integrando servicios de directorio como Microsoft Entra ID, Google Workspace u Okta. De esta forma, por ejemplo, el departamento de marketing podría tener acceso a una herramienta específica, mientras que el de finanzas no.
También se podrán personalizar los mensajes que ven los usuarios, aunque por ahora solo permiten texto plano. En futuras versiones se podría habilitar el uso de HTML para una mejor experiencia.
La importancia de una buena gestión de dispositivos
Don MacLennan, director de producto de LastPass, subraya que este tipo de soluciones solo es efectiva si se combina con una gestión estricta de dispositivos. Por ejemplo, si los empleados pueden instalar cualquier navegador y evitar usar el que tiene la extensión de LastPass, el sistema pierde su efectividad.
Por ello, se recomienda que las organizaciones establezcan políticas claras sobre qué navegadores se pueden utilizar y aseguren que la extensión esté activa y funcionando correctamente en los equipos corporativos.
¿Qué ganan las empresas con este sistema?
Este nuevo enfoque de gestión de acceso a aplicaciones SaaS ofrece múltiples ventajas:
- Mayor control sobre las herramientas digitales utilizadas dentro de la empresa.
- Reducción del riesgo de brechas de seguridad provocadas por apps no verificadas.
- Cumplimiento normativo más sencillo al limitar el uso de software no autorizado.
- Mejor supervisión del entorno digital corporativo.
En resumen, se trata de dar a los departamentos de TI una visión clara y control efectivo sobre cómo y dónde se están utilizando las credenciales empresariales.
