El Departamento de Telecomunicaciones de la India (DoT) ha emitido instrucciones a los proveedores de servicios de comunicación basados en aplicaciones para garantizar que las plataformas no se puedan utilizar sin una tarjeta SIM activa vinculada al número de móvil del usuario.
Con este fin, las aplicaciones de mensajería como WhatsApp, Telegram, Snapchat, Arattai, Sharechat, Josh, JioChat y Signal que utilizan un número de teléfono móvil indio para identificar de forma única a sus usuarios, es decir, una Entidad de Usuario Identificador de Telecomunicaciones (TIUE), deben cumplir con la directiva en un plazo de 90 días.
La Enmienda al Reglamento de Telecomunicaciones (Ciberseguridad de las Telecomunicaciones) de 2024 se considera un intento de combatir el uso indebido de identificadores de telecomunicaciones para phishing, fraude y fraude cibernético y garantizar la ciberseguridad de las telecomunicaciones. El Departamento de Transporte dijo que las instrucciones vinculantes de la SIM son cruciales para cerrar una laguna de seguridad que los delincuentes están explotando para cometer fraude transfronterizo.
“Las cuentas en aplicaciones de mensajería instantánea y llamadas continúan funcionando incluso si la tarjeta SIM asociada se retira, desactiva o se reubica en el extranjero, lo que permite estafas anónimas, fraudes de 'captura digital' remota y llamadas suplantadas por el gobierno utilizando números indios”, dijo un comunicado del Ministerio de Defensa publicado el lunes.
“Las sesiones web/de escritorio de larga duración permiten a los estafadores controlar las cuentas de las víctimas desde ubicaciones remotas sin la necesidad del dispositivo original o la tarjeta SIM, lo que dificulta su seguimiento y eliminación. Actualmente, una sesión se puede autenticar una vez en un dispositivo en la India y luego continuar operando desde el extranjero, lo que permite a los delincuentes llevar a cabo estafas con números indios sin volver a verificar”.
La nueva política emitida estipula lo siguiente:
- Los servicios de comunicación basados en aplicaciones están constantemente vinculados a la tarjeta SIM instalada en el dispositivo y hacen imposible utilizar la aplicación sin esta tarjeta SIM activa.
- La instancia del servicio web de la plataforma de mensajería se cierra periódicamente cada seis horas y luego ofrece a los usuarios la opción de volver a vincular su dispositivo mediante un código QR si es necesario.
El gobierno indio está aplicando una reautenticación regular y dijo que el cambio reduce el alcance de ataques de apropiación de cuentas, abuso de control remoto y operaciones de cuentas de piratas informáticos. Además, la reconexión repetida introduce fricción adicional en el proceso, lo que requiere que los actores de amenazas demuestren continuamente que tienen el control.
El Departamento de Transporte también señaló que estas restricciones garantizan que cada cuenta activa en la aplicación de mensajería y sus sesiones web estén vinculadas a una tarjeta SIM verificada por KYC (Conozca a su cliente), lo que permite a las autoridades rastrear números utilizados para phishing, inversiones, arrestos digitales y fraude de préstamos.
Vale la pena señalar que las reglas de vinculación de SIM y cierre de sesión automático ya se aplican a las aplicaciones bancarias y de pago instantáneo que utilizan el sistema de Interfaz de Pagos Unificados (UPI) de la India. La guía más reciente extiende esta política también a las aplicaciones de mensajería. WhatsApp y Signal no respondieron a las solicitudes de comentarios.
El avance se produce días después de que el Ministerio de Defensa anunciara que establecería una plataforma de Validación de Números Móviles (MNV) para frenar el aumento de cuentas mula y el fraude de identidad resultante de la asociación no verificada de números móviles con servicios financieros y digitales. Según la enmienda, dicha solicitud puede ser realizada en la plataforma MNV por un TIUE o una agencia gubernamental.
“Este mecanismo permite a los proveedores de servicios verificar, a través de una plataforma descentralizada y respetuosa con la privacidad, si un número de teléfono móvil utilizado para un servicio realmente pertenece a la persona cuyas credenciales están almacenadas, aumentando así la confianza en las transacciones digitales”, dijo.
About The Author
