El Departamento de Telecomunicaciones (DoT) de la India ha emitido instrucciones a los proveedores de servicios de comunicación basados en aplicaciones para garantizar que las plataformas no se puedan utilizar sin una tarjeta SIM activa vinculada al número de teléfono móvil del usuario.
Con ese fin, las aplicaciones de mensajería como WhatsApp, Telegram, Snapchat, Arattai, Sharechat, Josh, JioChat y Signal que utilizan un número de teléfono móvil indio para identificar de forma única a sus usuarios, es decir, una entidad de usuario de identificador de telecomunicaciones (TIUE), deben cumplir con la directiva en un plazo de 90 días.
El enmienda a la Reglamento de telecomunicaciones (ciberseguridad de las telecomunicaciones), 2024, se considera un intento de combatir el uso indebido de los identificadores de telecomunicaciones para la suplantación de identidad, las estafas y el fraude cibernético, y garantizar la ciberseguridad de las telecomunicaciones. El DoT afirmó que las instrucciones para vincular las tarjetas SIM son cruciales para cerrar una brecha de seguridad que los delincuentes están explotando para llevar a cabo fraudes transfronterizos.
«Las cuentas de las aplicaciones de mensajería instantánea y llamadas siguen funcionando incluso después de eliminar, desactivar o trasladar la SIM asociada al extranjero, lo que permite realizar estafas anónimas, fraudes de «arrestos digitales» remotos y llamadas de suplantación de identidad del gobierno con números indios», dijo el DoT dijo en un comunicado emitido el lunes.
«Las sesiones web y de escritorio de larga duración permiten a los estafadores controlar las cuentas de las víctimas desde lugares distantes sin necesidad del dispositivo o la tarjeta SIM originales, lo que complica el rastreo y la eliminación. En la actualidad, una sesión se puede autenticar una vez en un dispositivo en la India y luego seguir funcionando desde el extranjero, lo que permite a los delincuentes realizar estafas con números de la India sin necesidad de una nueva verificación».
La directiva recientemente emitida exige que -
- Los servicios de comunicación basados en aplicaciones están continuamente vinculados a la tarjeta SIM instalada en el dispositivo y hacen que sea imposible usar la aplicación sin esa SIM activa.
- La instancia de servicio web de la plataforma de mensajería se cierra periódicamente cada seis horas y, a continuación, los usuarios pueden volver a vincular su dispositivo mediante un código QR si es necesario.
Al forzar la reautenticación periódica, el gobierno indio afirmó que el cambio reduce el alcance de los ataques de apropiación de cuentas, el uso indebido del control remoto y las operaciones de cuentas con mulas. Además, la reiterada revinculación introduce fricciones adicionales en el proceso, ya que es necesario que los actores de la amenaza demuestren una y otra vez que tienen el control.
El DoT también señaló que estas restricciones garantizan que todas las cuentas activas de la aplicación de mensajería y sus sesiones web estén vinculadas a una tarjeta SIM verificada por Know Your Customer (KYC), lo que permite a las autoridades rastrear los números que se utilizan en estafas de suplantación de identidad, inversiones, arrestos digitales y préstamos.
Vale la pena señalar que las reglas de vinculación de tarjetas SIM y cierre de sesión automático ya se aplican a las aplicaciones bancarias y de pago instantáneo que utilizan el sistema de interfaz de pagos unificados (UPI) de la India. Las instrucciones más recientes amplían esta política para incluir también las aplicaciones de mensajería. WhatsApp y Signal no respondieron a las solicitudes de comentarios.
El desarrollo se produce días después del DoT dijo Se establecería una plataforma de validación de números móviles (MNV) para frenar el aumento de las cuentas de mulas y el fraude de identidad derivado de los vínculos no verificados de los números móviles con los servicios financieros y digitales. Según la enmienda, una TIUE o una agencia gubernamental pueden presentar una solicitud de este tipo en la plataforma MNV.
«Este mecanismo permite a los proveedores de servicios validar, a través de una plataforma descentralizada y compatible con la privacidad, si un número de teléfono móvil utilizado para un servicio pertenece realmente a la persona cuyas credenciales están registradas, lo que aumenta la confianza en las transacciones digitales», afirma.