Crece la polémica al revelar el monedero MetaMask en una nueva política de privacidad que recopilaba datos sensibles de sus usuarios. Los equipos tuvieron que explicar qué se hacía con los datos, pero eso no bastó para apaciguar a la comunidad.
MetaMask y los datos que recogieron
Ayer informamos de que MetaMask recopilaría datos IP de sus usuarios por defecto, a través de su empresa matriz ConsenSys. Un cambio que ha puesto patas arriba a la comunidad, ya que las prácticas de las empresas de criptomonedas han sido objeto de especial escrutinio durante semanas. Para calmar los ánimos, MetaMask emitió un comunicado en el que explicaba que esos datos no se habían utilizado:
«Nuestra política siempre ha explicado que cierta información se recoge automáticamente sobre cómo los usuarios utilizan nuestros sitios, incluyendo el hecho de que esta información puede incluir direcciones IP. «
Así que nada nuevo para MetaMask, que explica que cuando los usuarios interactúan con blockchains a través de un tercero, como Infura, este último recopila tanto la dirección IP como la dirección del monedero para poder prestar el servicio. Como recordatorio, Infura es el servicio que conecta el monedero con los navegadores utilizados con MetaMask.
Dan Finlay, uno de los cofundadores de MetaMask, también dijo que esto podría «arreglarse» pronto, al tiempo que afirmaba que estas direcciones IP sólo se almacenaban temporalmente y no se utilizaban:
Creo que podemos arreglar esto pronto. No estamos utilizando direcciones IP aunque se almacenen temporalmente, que no es necesario, ya que no las utilizamos para nada.
– Dan Finlay (@danfinlay) November 24, 2022
Direcciones de usuario vinculadas a una única dirección IP
Pero eso no bastó para apaciguar a la comunidad. El desarrollador Micah Zoltu señaló en Twitter que cuando los usuarios abren MetaMask, Infura recopila su dirección IP, así como todas las direcciones de monedero asociadas. Si un monedero Ledger está conectado, las direcciones vinculadas también serán recogidas por Infura:
Su política necesita ser actualizada para decir:
En cuanto desbloquees tu cuenta, Infura recopilará tu dirección IP y *todas* tus direcciones. Además, cuando conectes un libro mayor, también enviará todas esas direcciones a Infura.https://t.co/1MnmhKWp9i– Micah Zoltu (@MicahZoltu) 24 de noviembre de 2022
Lo que esto significa es que una dirección IP está vinculada a un grupo de direcciones que pertenecen a la misma persona. Esto crea una base de datos especialmente vulnerable. Como han señalado varios comentaristas, MetaMask hace esto por razones de eficacia: permite crear una sola consulta para actualizar los distintos saldos de las direcciones enumeradas.
Pero, ¿justifica esto exponer potencialmente a los usuarios? Esa es la pregunta que se plantea. La comunidad ha dado a conocer su desconfianza. En un contexto de incertidumbre tras el caso FTX, los proveedores de servicios están sometidos a un escrutinio particular – y sus acciones analizadas.