La renovación silenciosa de Bitwarden

 (blog.ppb1701.com)
4 puntos por GN⁺ 5 시간 전 | 2 comentarios | Compartir por WhatsApp
  • Bitwarden ha mostrado una tendencia a cambiar sus condiciones mediante ediciones en el sitio web y contenido existente, más que con anuncios oficiales, incluyendo duplicar el precio de Premium y eliminar la frase “Always free”
  • El CEO de largo plazo Michael Crandell pasó en febrero a un rol de asesor, y fue reemplazado por Michael Sullivan, con historial en M&A en Acquia e Insightsoftware
  • La frase “Always free” desapareció de la página para uso personal a mediados de abril, y los valores GRIT cambiaron de Inclusion y Transparency a Innovation y Trust
  • En el blog y los comunicados no hay avisos separados sobre el cambio de CEO, el cambio de valores ni la eliminación de la promesa de gratuidad, y algunos textos previos ahora se contradicen con la nueva redacción
  • Los usuarios de Vaultwarden deberían observar si se mantiene la publicación open source del cliente de Bitwarden y la libertad de conectarlo a otros servidores, mientras que la licencia Apache 2.0 deja abierta la posibilidad de un fork

Los cambios silenciosos de Bitwarden

  • En marzo, Bitwarden duplicó el precio de Premium, mostrando un producto que nunca ha ofrecido pago mensual como si tuviera precio mensual, y avisó a los clientes existentes apenas 15 días antes de la renovación
  • En Mastodon, durante los intercambios sobre el alza de precio, se confirmaron hechos clave, y después de eso también siguieron cambiando la operación de la empresa y los textos del sitio web
  • Los cambios no llegaron mediante grandes anuncios, sino de formas poco visibles como editar contenido existente, modificar información en LinkedIn o borrar texto del sitio web

Cambio de liderazgo

  • Según un reporte de Fast Company, Michael Crandell, CEO durante muchos años, pasó en febrero a un rol de asesor y no hubo anuncio oficial por parte de la empresa
  • Crandell estaba en Bitwarden desde 2019 y lideró durante el periodo en que muchos usuarios llegaron a Bitwarden como alternativa tras los cambios en LastPass
  • El nuevo CEO es Michael Sullivan, ex CEO de Acquia e Insightsoftware
  • El LinkedIn de Sullivan destaca “todos los aspectos de M&A, experiencia directa con importantes firmas de PE”
  • Sullivan lideró la adquisición de Acquia por 1,000 millones de dólares por parte de Vista Equity Partners en 2019 y la inversión de 1,000 millones de dólares en Insightsoftware por parte de Hg en 2021
  • El CFO Stephen Morrison también dejó la empresa en abril, y lo reemplazó Michael Shenkman, ex CEO de InVision
  • Kyle Spearrin comenzó Bitwarden en 2015 como proyecto personal por preocupación sobre cómo cambiaría LastPass bajo un nuevo dueño, y hoy sigue como CTO

Cambios en el sitio web y en los valores

  • La frase “Always free” desapareció a mediados de abril de la página del gestor de contraseñas personal de Bitwarden
  • El plan gratuito todavía existe, pero desapareció la frase que prometía gratuidad continua y que antes estaba debajo del área de selección de planes
  • Los valores culturales GRIT de Bitwarden eran originalmente Gratitude, Responsibility, Inclusion y Transparency
  • Después del 4 de mayo, GRIT cambió a Gratitude, Responsibility, Innovation y Trust
  • Al salir Inclusion y Transparency y entrar Innovation y Trust, también se reescribió la redacción de los valores

Contenido cambiado sin anuncio oficial

  • En el blog de Bitwarden no hay ninguna entrada sobre el nuevo CEO, el cambio de valores o la eliminación de la promesa “Always free”
  • Tampoco hay un anuncio separado sobre esos cambios en la sección de comunicados
  • El artículo de 2022 de Crandell, “Defining and sustaining value for Bitwarden users”, fue modificado discretamente
  • En el cuerpo del texto, la lista GRIT fue cambiada a los nuevos valores Innovation y Trust, pero el párrafo explicativo al final todavía habla de los valores anteriores, Inclusion y Transparency
  • El nombre de Crandell sigue ahí, y el artículo quedó en un estado contradictorio
  • Igual que con el aumento de precio, se repite la práctica de esconder los cambios dentro de contenido ya existente para evitar atención
  • En una entrevista con Fast Company en 2024, Crandell describió la capa gratuita como “un compromiso firme de toda la empresa. Totalmente funcional, gratis para siempre”, pero ahora está en un rol de asesor y la frase “Always free” ya no aparece en la página

Por qué salir de la nube de Bitwarden

  • Una instancia de Vaultwarden está funcionando desde enero, y la cuenta en la nube de Bitwarden se cerró cuando se publicó el artículo anterior sobre el aumento de precio
  • La preocupación actual no está tanto en la bóveda de contraseñas en sí, sino en el patrón repetido de generar confianza y dependencia para luego cambiar discretamente las condiciones
  • Ese patrón no aparece como un anuncio dramático único, sino como múltiples cambios pequeños en varias capas
  • Algunos ejemplos son una entrada de funciones con cambios de precio, información de LinkedIn modificada sin comunicado y una página de valores distinta a la de la semana pasada
  • Para quienes siguen usando la nube de Bitwarden, estos cambios son motivo para detenerse a pensar
  • El caso de GitHub, tratado en marzo, siguió una secuencia de plataforma open source confiable, promesa de independencia, erosión silenciosa durante años y luego Phase 3, y la similitud con Bitwarden aumenta la inquietud
  • Como opción para recuperar el control del almacén de contraseñas, se propone el proceso de self-hosting de Vaultwarden
  • La trayectoria de Sullivan se asocia con volver a una empresa apta para venta, y puede leerse como un escenario de maximización de ingresos, ordenamiento financiero, mejora del atractivo de las cifras y búsqueda de comprador
  • Los compradores potenciales podrían ser una gran empresa tecnológica, un competidor como 1Password o una compañía interesada en la base de usuarios o en contratos empresariales
  • Si una adquisición así realmente ocurriera, podría provocar un movimiento de fork mucho más fuerte que las quejas por el aumento de precio

Qué deberían observar los usuarios de Vaultwarden

  • La viabilidad de largo plazo de Vaultwarden depende de que el cliente de Bitwarden siga publicándose como open source y no restrinja la elección de servidor
  • Actualmente, Vaultwarden implementa la API pública del servidor de Bitwarden, y las apps oficiales no distinguen la diferencia
  • No hay garantía de que, bajo la nueva dirección, Bitwarden mantenga tanto el cliente open source como la libertad de conexión a servidores
  • Un factor que retrasa el peor escenario es que el self-hosting está definido como una función empresarial y sí genera ingresos reales
  • Eliminar el self-hosting molestaría a clientes corporativos que sí pagan, y eso es una restricción importante para Bitwarden
  • Aun así, lo que Bitwarden vende a empresas es su stack oficial de servidor, no Vaultwarden
  • Vaultwarden existe en un espacio que Bitwarden ha tolerado, pero no lo ha respaldado oficialmente
  • Si cambian los incentivos, la API podría modificarse poco a poco sin anuncio separado y la compatibilidad romperse de forma natural
  • No parece un cambio inminente, pero incluso cuando la promesa “Always free” parecía sólida, esa frase ya terminó desapareciendo de la página

Red de seguridad real y posibilidad de fork

  • El cliente de Bitwarden tiene licencia Apache 2.0, así que existe una base para un fork comunitario
  • Un fork tendría que cambiar nombre e interfaz para evitar problemas de marca, pero sería posible mantener el mismo motor
  • La bóveda web funciona en el navegador independientemente de los cambios en la app, así que incluso en el peor caso la pérdida podría limitarse temporalmente al autocompletado
  • Esa incomodidad no sería fatal, y Vaultwarden en sí mismo demuestra que este modelo funciona
  • El principal punto a vigilar es si el cliente sigue siendo público
  • Si el cliente se cerrara, la comunidad lo notaría rápido y es probable que apareciera un fork

Lecturas relacionadas

2 comentarios

 
GN⁺ 1 시간 전
Opiniones en Lobste.rs

  • Vista Equity fue quien adquirió Citrix en 2022, y al final esa fue la razón por la que terminé dejando mi trabajo ahí
    No veo cómo pueda salir algo bueno de esto, así que lo tomo como una señal de que hay que empezar a buscar activamente alternativas a sus servicios en la nube

  • Los administradores de contraseñas ya están lo bastante maduros y son una categoría de productos con una reputación periódica de enshittification, así que parece viable una cooperativa de ingeniería de software que hospede de forma pulida un administrador de contraseñas FOSS de pago
    Haría falta una empresa cuyos estatutos limiten la propiedad de participaciones solo a quienes realmente trabajen ahí
    Sin una protección así, tarde o temprano aparecerá un inversionista externo con una oferta difícil de rechazar

  • Yo también uso vaultwarden, así que si aparece un fork comunitario probablemente lo recibiría con gusto
    Ya hubo problemas de compatibilidad entre algunos clientes oficiales de Bitwarden y mi servidor de vaultwarden, además de calendarios de lanzamiento desalineados
    En un fork comunitario este tipo de problemas podría manejarse mejor y la estabilidad incluso podría mejorar
    Claro, si se pierde el nivel de contribución de los ingenieros asalariados de Bitwarden, el desarrollo de nuevas funciones casi podría detenerse, pero para un administrador de contraseñas me parece aceptable

  • Me cambié a 1Password hoy antes de enterarme de esto, y no fue una decisión que tomara a la ligera
    Pero la experiencia de usuario de Bitwarden era bastante molesta: bóvedas que no se sincronizaban, una gestión de secretos demasiado compleja, una mala experiencia para compartir y extensiones inconsistentes
    Después de leer esto, me siento aún más seguro de mi decisión

    • Sí. La renovación de la experiencia de usuario estuvo realmente mal

  • Ahora mismo uso Bitwarden, pero desde hace tiempo he estado considerando pasarme al administrador de contraseñas integrado de Apple
    No tengo quejas sobre Bitwarden en sí, pero lo de Apple está mejor integrado con el sistema operativo
    Aun así, hay dos cosas que me frenan. Quisiera saber cómo exportar o respaldar las contraseñas para no perder acceso a la cuenta si algún día dejo de usar Apple, y también si es posible exigir autenticación adicional solo para algunas contraseñas sensibles, considerando que las contraseñas se sincronizan entre la laptop y el teléfono y el código del teléfono es relativamente débil
    Me parece bien proteger cuentas sensibles detrás de la contraseña de inicio de sesión de la Mac, pero extender esa misma confianza al teléfono me incomoda. Me gustaría saber si hay una forma de tener comodidad y seguridad al mismo tiempo

    • Tengo entendido que en macOS se pueden importar y exportar contraseñas como CSV

  • Empecé a usar Bitwarden al principio por el hecho de que fuera open source, y no me molesta en absoluto pagar por él
    Me da mucha pena porque quería evitar la molestia de autohospedarlo
    Aun así, voy a seguir haciendo exportaciones periódicas y prepararme para irme de inmediato si el servicio realmente empeora
 
GN⁺ 5 시간 전
Comentarios en Hacker News

  • Más que el aumento de precio en sí, me preocupa que el nuevo CEO tenga una mentalidad de capital privado
    Ahora parece más probable que Bitwarden se enfoque en extraer valor mientras el producto se estanca y baja de calidad
    Da la impresión de que es momento de cambiarse antes de que la seguridad y la calidad se arruinen

    • No es mi proyecto, pero Vaultwarden es un backend alternativo de código abierto para Bitwarden y está escrito en Rust
      Según entiendo, existe desde hace bastante tiempo y sigue con mantenimiento
      https://github.com/dani-garcia/vaultwarden
    • Como suscriptor de pago, el aumento de precio en sí me parece hasta cierto punto aceptable
      Pero me preocupa que el cambio de CEO y la eliminación de la frase always free hayan coincidido “por casualidad”
    • Me cambié a Bitwarden porque 1Password hizo exactamente esto con su nueva política de precios; supongo que así es el ciclo de la vida
    • De verdad estoy cansado del ciclo de monetización por degradación de calidad
      Enterarme hace poco de los cambios en la verificación de Android y el CAPTCHA también fue una gran decepción
      Hace unos años me cambié a Android porque lo veía como una alternativa más abierta que Apple, y más o menos en esa misma época me pasé de LastPass a Bitwarden
      Ojalá estos servicios base simplemente funcionaran en silencio durante años sin tener que prestarles atención, pero mientras el capitalismo siga así, parece que solo nos toca aguantar que estas cosas pasen cada vez más rápido
    • ¿PE? El capital privado es una pendiente resbaladiza hacia la enshittification pública

  • Cuando conocí Bitwarden por primera vez, hace unos 3 años, empecé de inmediato a hospedar Vaultwarden
    Ahora manejo una instancia personal y otra para la empresa de un amigo, y todo funciona muy bien
    Si puedes autohospedarlo, conviene operar tu propia instancia de Vaultwarden
    Si te preocupa un poco, como a mí, que el código de Vaultwarden no haya pasado por una auditoría de seguridad adecuada, ponerlo detrás de una VPN probablemente sea suficiente
    No me preocupa demasiado que Bitwarden se arruine. Ya existe una alternativa de código abierto bien establecida
    En el peor de los casos, Bitwarden podría hacer que sus clientes dejaran de ser compatibles con Vaultwarden, pero como dice el artículo, si eso pasa la comunidad lo va a bifurcar de inmediato

    • Cierto, pero Vaultwarden no es algo para levantar y dejar corriendo sin pensarlo mucho
      Estás hospedando secretos que deben conservarse por mucho tiempo, así que si lo despliegas tú mismo, tienes que tomarte en serio los respaldos y practicar restauraciones con regularidad
      Hay que verificar que los respaldos realmente funcionen, que no estén dañados y que tengas copias en una ubicación externa
    • La razón por la que uso Vaultwarden es que, por un lado, me gustaría pagar y que una empresa resolviera el problema de las contraseñas por mí, pero no sé en qué lugar podría confiar para que no abuse del hecho de tener las llaves de todos mis reinos
      Las quejas sobre el capital privado son válidas, y antes de eso ya existía esa mentalidad tipo Harvard MBA que hace que los clientes se vean no como una relación que hay que cultivar, sino como un recurso que se puede extraer
      No me gusta que ninguna empresa me vea como un recurso para explotar, pero por la naturaleza de la relación hay empresas que son más peligrosas que otras
      No quiero una empresa que mire con avidez mi contraseña del banco, la de Google o la de mi cuenta de inversiones, ni que vea el paquete de contraseñas que le confié y evalúe cuáles podría “intermediar” para sacar más dinero
      Ni siquiera quiero que estén pensando en cómo arruinar la exportación para poder extraer valor de mis contraseñas
      Por ejemplo: “Lo sentimos, no puede exportar passkeys por $SECURITY_BLATHER, así que no puede migrar”
      Para ser justos, creo que Bitwarden tuvo un problema así durante un tiempo, pero ya no parece ser el caso, y hasta donde sé otros servicios todavía pueden dejar cautivas las passkeys
      No puedo confiarle mis contraseñas al capital privado ni a la mentalidad Harvard MBA, y me cuesta creer que cualquier empresa de bóvedas de contraseñas no vaya a terminar siendo adquirida por un tipo PE/HMBA que quiera extraer valor de mis contraseñas
      Si sigues la cadena de valor hasta el final, también cuesta confiar en empresas cuya estructura termina usando mis contraseñas como garantía para traer deuda real
      Ellos se quedan con el dinero y yo con el riesgo, así que me niego rotundamente
      Por eso, aunque autohospedar mi bóveda de contraseñas no me haga especialmente feliz, no sé en quién más podría confiar
    • Estoy muy satisfecho con el autohospedaje de Vaultwarden
      Ya me cansé muchísimo de volverme refugiado de administradores de contraseñas
      Siempre era una de dos: subía el precio o el servicio desaparecía, y Dropbox fue exactamente uno de esos casos
    • ¿No parece que el cliente no es de código abierto?

  • En Bitwarden, en escritorio me pasé a KeepassXC
    En el teléfono uso KeepassDX, un cliente de Android compatible con KeepassXC, y en el navegador uso la extensión KeepassXC Browser, que se conecta con el cliente de escritorio
    KeepassXC funciona con un solo archivo, así que puedes sincronizarlo entre dispositivos o guardarlo en la nube con cualquier herramienta de sincronización de sistema de archivos
    Estoy muy satisfecho con el cambio
    [1]: https://keepassxc.org
    [2]: https://www.keepassdx.com

    • Hace poco me cambié a una configuración de KeePass después de que 1Password subió sus precios, y se siente bien tener control total
    • KeePass es un retroceso demasiado grande en usabilidad y funciones, así que ni siquiera lo considero competencia
      De hecho, una de las razones por las que me pasé a 1Password fue para evitar lo fácil que era perder datos por accidente en clientes de KeePass
      Por ejemplo, uno de los clientes que usaba borró por completo los campos de notas por un bug temporal
      Lo arreglaron rápido, pero el daño para mí fue real
      Ahora uso 1Password y, aunque he probado casi todos los demás productos, sigo pensando que es el mejor en términos generales
      En esta categoría me parece bien pagar el precio más alto para obtener el mejor producto
    • Si algún día tengo que salir del ecosistema de Apple, ese también sería exactamente mi plan

  • Este artículo me hizo ir a revisar
    Desde el año pasado, cuando Bitwarden empezó a cambiar la experiencia de escritorio para que se pareciera a la de todos los demás productos y ocupara demasiado espacio, lo he estado viendo con sospecha
    Antes encajaba perfecto con el autocompletado del navegador, era muy rápido y no estorbaba
    Ahora se volvió una experiencia con demasiado espacio en blanco, lenta y llena de elementos de UX estandarizados, como un SaaS hecho por IA
    Parece que ahora toca mirar Vaultwarden, Proton Pass y Keepass
    Qué lástima ver otra herramienta que funcionaba perfectamente arruinarse por ignorar a sus usuarios, como pasó con LastPass, Authy y Google Reader

    • Para nada creo que un rediseño de interfaz sea el significado original de enshittification
      Bitwarden ha sido por mucho la mejor opción gratuita de gestión de contraseñas desde que empecé a usarlo hace 8 años
      Si me gusta el cambio de UI, no mucho, pero tampoco es una parte que use tan seguido, así que no me importa demasiado

  • La mayoría de los administradores de contraseñas parecen no tener un foso defensivo en importación/exportación, así que mi esperanza es que, si la situación empeora, pueda moverme rápido a Proton Pass o Vaultwarden
    Eso sí, preferiría no tener que autohospedar
    Si lo que yo mismo hospedo son las llaves de mi vida, hace falta un nivel completamente distinto de disciplina para seguir manteniendo la aplicación y el entorno
    Como mínimo tendría que estar detrás de algo como un túnel de WireGuard hacia una máquina de confianza, y eso agrega otra molestia al uso diario

    • ¿Proton Pass usa un túnel de WireGuard? ¿Y Bitwarden? Con TLS debería bastar
      Claro, la máquina que hospeda las contraseñas sí debe estar bien protegida
      Puedes tenerla físicamente en casa y, si está en un lugar expuesto a internet pública, solo proxyear el puerto 443

  • Hace poco me puse a revisar Bitwarden en detalle después de encontrar en el rastreador de issues de GitHub que el problema de fuga de memoria lleva mucho tiempo abierto
    Es una extensión que uso en todos los navegadores, pero en Safari parece consumir una cantidad anormal de RAM, y sospecho que en MS Edge eso también podría explicar por qué el uso de RAM sigue creciendo sin parar
    En general, si Bitwarden quiere más dinero, eso por sí solo no sería problema, pero reemplazar a la alta dirección por una figura cualquiera salida del capital privado y luego subir el precio en silencio sí cruza una línea
    Me alegra que esto haya salido a la luz y me da más motivación para buscar una alternativa adecuada y amigable con FOSS

  • Maldición, apenas hace poco me cambié a Bitwarden y empecé a pagar
    La razón principal fue la bóveda compartida para varios usuarios y el acceso de emergencia a bóvedas personales
    Ojalá no lo arruinen ni suban demasiado el precio

  • Gracias por darme el empujón para salir de Bitwarden
    Lo usé durante años, pero me estaba cambiando poco a poco y ahora ya me fui

    • Me da curiosidad a dónde te cambiaste

  • Buen artículo
    En mi teléfono Android, PC Linux y PC Windows cambié Bitwarden por una combinación de KeepassXC / KeepassDX / Syncthing
    Ya usaba esta configuración antes de pasarme a Bitwarden, y hoy en día la experiencia con KeePass es mucho mejor
    También es muy fácil importar desde Bitwarden, así que lo recomiendo

    • Yo también usaba esa configuración, pero me cambié a Bitwarden cuando pasé a iOS
      ¿Qué estás usando con Syncthing en Android? Antes había una app oficial de Syncthing para Android, pero dejó de mantenerse, y el fork popular también quedó abandonado por su mantenedor
      También revisé usar Syncthing en iOS, pero solo estaba Möbius Sync y no corría en segundo plano
      Por eso terminé cambiándome a Bitwarden, pero ahora otra vez tengo que pensar en qué sigue
    • ¿Qué variante de Keepass estás usando?

  • En mi lado, el sitio web todavía muestra Always free
    También aparece tanto en la página de pagos enlazada en el artículo como dentro de esa misma página
    Aun así, el cambio de liderazgo, la falta de transparencia, el aumento del 100% en el precio y el cambio silencioso de valores centrales sí preocupan
    Me parecía bien pagar 10 dólares al año por Bitwarden, y 20 todavía me parece aceptable, pero ya quedó sembrada la duda

    • Entré directamente al sitio web y dice “Get Started Free”
      “Always Free” solo aparece al final de la página de precios para clientes individuales
      Lo que más me preocupa es que empezaron a usar la misma clase de redacción por la que criticaban a Adobe, o sea, “$price al mes, facturado anualmente”
      Se siente raro ver esa clase de redacción en un producto que ahora cuesta 20 dólares al año
      No estamos hablando de cientos o miles de dólares, ni de clientes empresariales, sino de un producto de 20 dólares para usuarios comunes
      La falta de transparencia y la costumbre de cambiar cosas silenciosamente hacen que uno se ponga en guardia
    • En una actualización dijeron que durante una renovación del sitio web la frase always free se omitió por error y que pronto la volvieron a poner
      Parece que este artículo se escribió en ese intervalo