“No usamos direcciones IP incluso si se almacenan temporalmente, lo cual no es necesario, ya que no las usamos para nada”, dijo Dan Finlay, cofundador de MetaMask.
Eso sigue a las revelaciones relacionadas con GDPR por parte de ConsenSys, la empresa matriz de MetaMask, de que Infura recopilará su dirección IP y dirección ethereum, que en efecto vincula una a la otra.
Infura es un proveedor de infraestructura de nodos y actúa como el nodo predeterminado de MetaMask. Por lo tanto, cuando se usan esos valores predeterminados, MetaMask también almacenará su IP.
Micah Zoltu, un desarrollador de ethereum, dice que las direcciones IP se recopilan no solo cuando envía una transacción, sino también cuando desbloquea MetaMask, como al iniciar sesión.
“Tan pronto como desbloquee su cuenta, Infura recopilará su dirección IP y todas sus direcciones. Además, cuando conecta un libro de contabilidad, también enviará todas esas direcciones a Infura”, dijo Zoltu.
Se trata solo de solicitudes por lotes, dice Finlay, para generar saldos. “Aquí no estamos haciendo nada malicioso, todo el mundo solo está proyectando sus peores temores”, insiste.
Finlay confirma que si se utiliza otro punto de llamada a procedimiento remoto (RPC), como su propio nodo, MetaMask no recopila IP.
Sin embargo, ejecutar su propio nodo puede ser un proceso complicado que requiere más almacenamiento del que podría tener una computadora común, pero el almacenamiento es barato y para cualquiera que realmente quiera privacidad total, puede ejecutar un nodo en Raspberry Pi.
O simplemente puede ejecutar una VPN. Para los criptonios de EE. UU. en particular, que tienen prohibido el acceso a algunas dapps y proyectos debido a las restricciones de la SEC, la ejecución de una VPN debería volverse común para la privacidad general.
Sin embargo, la mayoría probablemente se conectará a través de su IP simple y de Infura en lugar de su propio nodo. Finlay insiste en que incluso para esos usuarios la recopilación de IP es accidental.
“Algunos software, incluida la infraestructura en la nube que podríamos usar, pueden iniciar sesión de forma predeterminada sin ser obvio, por lo que debemos descartar ese riesgo mientras los buscamos y eliminamos”, dice. “Básicamente: suponga que si accede a un servidor público, existe un riesgo de que se produzcan registros, incluso accidentalmente”.
Mientras que Joseph Lubin, el fundador de ConsenSys, aclara que la dirección y la comunicación IP con Infura, o la cadena de bloques, y su navegador son necesarios para brindar el servicio. Él dice:
“Primero, la dirección de la cadena de bloques es necesaria porque es parte de la solicitud enviada a una cadena de bloques.
La dirección IP también es necesaria para enrutar la respuesta al solicitante”.
Sin embargo, MyEtherWallet (MEW) ha dicho que no recopilan direcciones IP, afirmando que “nunca hemos recopilado y nunca recopilaremos información identificable de nuestros usuarios”.
MEW parece ejecutar su propia infraestructura de nodos y tiene una extensión de navegador llamada Enkrypt.
El código de Enkrypt es de código abierto, por lo que puede verificar que en realidad no recopilan datos, pero la infraestructura de nodos que ejecuta MEW obviamente no es de código abierto, por lo que no puede estar seguro.
Por lo tanto, la mejor opción es ejecutar una VPN o conectarse a su propio nodo, ya que se sabe desde hace mucho tiempo que los nodos pueden recopilar IP que se conectan a él, y este asunto de MetaMask tampoco es un estado nuevo como dice Finlay:
“No eran [just] empezando a [collect IPs], en realidad estamos tratando de reducir las instancias de PII en caché. Este fue un aviso legal de cumplimiento de GDPR [that they collect IPs].”