El Departamento de Telecomunicaciones de la India (DoT) ha ordenado a los proveedores de servicios de telecomunicaciones basados en aplicaciones que se aseguren de que sus plataformas no se puedan utilizar sin una tarjeta SIM activa vinculada al número de móvil del usuario.
Con este fin, las aplicaciones de mensajería como WhatsApp, Telegram, Snapchat, Arattai, Sharechat, Josh, JioChat, Signal, es decir, entidades de usuarios identificados de telecomunicaciones (TIUE) que utilizan números de móviles indios para identificar de forma única a los usuarios, deberán cumplir con la directiva en un plazo de 90 días.
Las modificaciones del Reglamento de Telecomunicaciones (Ciberseguridad de las Telecomunicaciones) de 2024 se consideran un intento de contrarrestar el uso indebido de identificadores de telecomunicaciones para phishing, fraude y fraude cibernético y garantizar la ciberseguridad de las telecomunicaciones. El Departamento de Transporte dice que la orientación vinculante de la SIM es fundamental para cerrar la brecha de seguridad que los malos actores están explotando para cometer fraude transfronterizo.
«Las cuentas de aplicaciones de llamadas y mensajería instantánea siguen funcionando incluso después de que la tarjeta SIM asociada se retire, deshabilite o se traslade al extranjero, lo que permite fraude anónimo, fraude de ‘detención digital’ remota y llamadas de suplantación de identidad del gobierno utilizando números indios», dijo el Departamento de Estado en un comunicado el lunes.
«La naturaleza de larga duración de las sesiones web/de escritorio complica el seguimiento y la eliminación, ya que los estafadores pueden controlar las cuentas de las víctimas desde una ubicación remota sin necesidad del dispositivo o SIM original. Actualmente, una vez que se autentica una sesión en un dispositivo indio, puede continuar operando desde el extranjero, lo que permite a los delincuentes usar números indios para cometer fraude sin ninguna nueva verificación».
La directiva recién emitida requiere:
Los servicios de comunicación basados en aplicaciones están continuamente vinculados a la tarjeta SIM instalada en su dispositivo y no puede usar la aplicación sin una SIM activa. La instancia del servicio web de la plataforma de mensajería se cierra periódicamente cada 6 horas y los usuarios pueden volver a vincular sus dispositivos mediante un código QR si es necesario.
Al forzar una reautenticación periódica, el gobierno indio dijo que los cambios reducirán la posibilidad de ataques de apropiación de cuentas, abuso de control remoto y manipulación de cuentas de mula. Además, los repetidos vínculos crean fricción adicional en el proceso, lo que requiere que el atacante demuestre su control una y otra vez.
El Departamento de Transporte también señaló que estas restricciones vincularán todas las cuentas activas en la aplicación de mensajería y sus sesiones web a una tarjeta SIM verificada Conozca a su cliente (KYC), lo que permitirá a las autoridades rastrear números utilizados para phishing, inversiones, arrestos digitales y fraude de préstamos.
Vale la pena señalar que las reglas de vinculación de SIM y cierre de sesión automático ya se aplican a las aplicaciones bancarias y de pago instantáneo que utilizan el sistema de Interfaz de Pagos Unificados (UPI) de la India. Las últimas instrucciones amplían esta política para que se aplique también a las aplicaciones de mensajería. WhatsApp y Signal no respondieron a las solicitudes de comentarios.
El desarrollo se produce días después de que el Departamento de Transporte anunciara que se establecerá una plataforma de verificación de números móviles (MNV) para frenar la proliferación de cuentas mula y el fraude de identidad resultante de la asociación no verificada de números móviles con servicios financieros y digitales. Según las modificaciones propuestas, dichas solicitudes a la plataforma MNV pueden ser realizadas por TIUE o agencias gubernamentales.
«Este mecanismo permite a los proveedores de servicios verificar, a través de una plataforma descentralizada que respeta la privacidad, si un número de teléfono móvil utilizado para un servicio realmente pertenece a la persona cuyas credenciales están registradas, aumentando así la confianza en las transacciones digitales», dice el informe.
Source link
