Hace unos días, ConsenSys actualizó su Sitio de Política de privacidad, en el que hay un párrafo dedicado a la billetera MetaMask y la política de inicio de sesión.
La billetera MetaMask y la nueva política de inicio de sesión
MetaMask es, con mucho, una de las billeteras para Ethereum más utilizadas en el mundo, con más de 21 millones de usuarios activos mensuales, en parte porque funciona con una extensión de navegador que permite que la billetera criptográfica se vincule fácil y rápidamente a muchos sitios web.
ConsenSys Software Inc. es precisamente la empresa que produce y lanza esta billetera, por lo que sus declaraciones al respecto son oficiales.
MetaMask permite a los usuarios almacenar y administrar sus claves privadas, por lo que es una billetera sin custodia. Obviamente, se utiliza para recibir y enviar criptomonedas y tokens basados en Ethereum, con la particularidad de que se puede conectar fácilmente a varios sitios web y aplicaciones descentralizados.
De esta manera, no solo hace posible realizar transacciones de una manera muy simple, sino que también permite que los sitios web y las dApps autentiquen al usuario en los contratos inteligentes, aunque de forma anónima.
Una de las críticas que siempre se le ha hecho a esta solución radica precisamente en la gestión de los datos de los usuarios.
Aunque en teoría, la billetera sin custodia debería dejar al usuario el control total y exclusivo de sus datos, asegurando un buen nivel de privacidad, en realidad, podría recopilar y compartir información con terceros que podría identificar a los usuarios.
El registro de IP al iniciar sesión usando la billetera MetaMask
Por lo tanto, registrar la IP del usuario solo aumenta las críticas en este sentido.
El párrafo de la nueva política de privacidad de ConsenSys dice que al usar Infura como proveedor de RPC predeterminado en MetaMask, Infura recopilará las direcciones IP de los usuarios y las direcciones de billetera Ethereum al enviar una transacción.
A aquellos que no desean que se recopilen estos datos se les ofrece la opción de utilizar un proveedor de RPC de terceros o su propio nodo Ethereum. Sin embargo, ConsenSys advierte que otros proveedores de RPC también recopilan esta información.
Vale la pena señalar que el proveedor Infura RPC está desarrollado por ConsenSys y es el proveedor predeterminado en MetaMask.
Así que por defecto ConsenSys recopilará las direcciones IP de los usuarios de MetaMask cuando realicen una transacción, ofreciendo como alternativa solo la elección explícita de otro proveedor de RPC pero sin indicar cuáles no recopilan las IP de los usuarios.
Otra información recopilada
La nueva página de Política de privacidad de ConsenSys también enumera otra información que se recopila, aunque se enumera en párrafos diferentes al dedicado a MetaMask.
Parte de esta información se solicita directa y explícitamente al usuario, que puede incluir nombre y apellido, fecha de nacimiento, dirección postal, dirección de correo electrónico, número de teléfono, etc.
Otros, sin embargo, se recopilan de forma predeterminada cuando utiliza otros servicios de ConsenSys, como por ejemplo Codefi también recopila su país y lugar de nacimiento, nacionalidad, número de seguro social, empleador, ocupación, identificación y otra información necesaria para cumplir con anti-dinero. lavado de dinero (AML) y requisitos KYC.
Sin embargo, ConsenSys en esta página hace pública y abierta toda esta información, para que los usuarios puedan estar bien informados sobre qué datos entregan a la empresa.
ConsenSys es a todos los efectos una empresa privada, fundada en 2014 por Joseph Lubin, con sede en la ciudad de Nueva York. Tiene más de 500 empleados y no hay datos disponibles públicamente sobre la propiedad de los accionistas o los ingresos.
Infura
Las billeteras como MetaMask no contienen un Ethereum nodo dentro de ellos. Por lo tanto, necesitan conectarse con nodos externos para funcionar.
De forma predeterminada, el proveedor de RPC (llamada a procedimiento remoto) que utilizan es Infura, que en su lugar administra los nodos de la cadena de bloques. Cuando alguien realiza una transacción en MetaMask, se conecta a Infura, que transmite la transacción a la cadena de bloques de Ethereum. La conexión se realiza a través de la “Llamada a Procedimiento Remoto”, la cual envía a Infura todos los datos para que transmita la transacción a la red Ethereum.
Al instalar MetaMask, el proveedor de RPC preestablecido es precisamente Infura, por lo que si el usuario no lo cambia, su IP quedará registrada cuando envíe una transacción.
Sin embargo, también están disponibles otros proveedores de RPC a los que los usuarios pueden conectar MetaMask para no usar Infura. Sin embargo, se debe tener precaución porque no es seguro que otros proveedores de RPC sean realmente mejores.
Los riesgos
El mayor riesgo en este punto es que las transacciones en cadena de uno serán reconocibles.
Todos los datos de transacciones en cadena en Ethereum son públicos y en texto sin formato, incluida la dirección de la billetera del remitente. Sin embargo, se trata de datos anónimos, a partir de los cuales debería ser muy difícil rastrear la identidad del propietario de la billetera.
La grabación de IP en cadena reduce esta dificultad, lo que facilita un poco la identificación del propietario.
La verdad sea dicha, ConsenSys tiene bastantes datos para identificar a los usuarios, aunque con el simple uso de MetaMask esta identificación aún puede ser difícil. Sin embargo, si además se utilizan otras herramientas, como Codefi, la identificación se vuelve mucho más fácil.
No obstante, la información recopilada por ConsenSys sobre sus usuarios no se hace pública y solo se registran algunos datos anónimos en la cadena de bloques.
Por último, cabe añadir que en realidad muchos usuarios que desean mantener un alto nivel de anonimato ya utilizan herramientas para ocultar o cambiar su IP, como las llamadas VPN, por lo que incluso en el caso de que el proveedor de RPC registre estos datos, es casi imposible usarlo para identificar al propietario de la billetera.
Fuente: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/