El Unidad de Telecomunicaciones de la India (DoT) ha emitido instrucciones a los proveedores de servicios de comunicación basados en aplicaciones para certificar que las plataformas no se puedan utilizar sin una polímero SIM activa vinculada al número de móvil del favorecido.
Con ese fin, las aplicaciones de correo como WhatsApp, Telegram, Snapchat, Arattai, Sharechat, Josh, JioChat y Signal que utilizan un número de móvil indio para identificar de forma única a sus usuarios, en otras palabras, una entidad de favorecido identificador de telecomunicaciones (TIUE), deberán cumplir con la directiva en un plazo de 90 días.
La reparación a las Reglas de Telecomunicaciones (Ciberseguridad de las Telecomunicaciones) de 2024 se considera un intento de combatir el uso indebido de identificadores de telecomunicaciones para phishing, estafas y fraudes cibernéticos, y certificar la ciberseguridad de las telecomunicaciones. El Unidad de Transporte dijo que las instrucciones vinculantes para la polímero SIM son cruciales para cerrar una brecha de seguridad que los delincuentes están aprovechando para realizar fraudes transfronterizos.
“Las cuentas de aplicaciones de correo y llamadas instantáneas continúan funcionando incluso a posteriori de que la SIM asociada se retira, desactiva o se traslada al extranjero, lo que permite estafas anónimas, fraudes de ‘detención digital’ remota y llamadas de suplantación del gobierno utilizando números indios”, dijo el Unidad de Transporte en un comunicado emitido el lunes.
“Las sesiones web/de escritorio de larga duración permiten a los estafadores controlar las cuentas de las víctimas desde ubicaciones distantes sin exigencia del dispositivo diferente o la polímero SIM, lo que complica el rastreo y la asesinato. Actualmente, una sesión se puede autenticar una vez en un dispositivo en la India y luego continuar operando desde el extranjero, lo que permite a los delincuentes realizar estafas utilizando números indios sin ninguna nueva demostración”.
La directiva recientemente emitida exige que:
- Los servicios de comunicación basados en aplicaciones están continuamente vinculados a la polímero SIM instalada en el dispositivo y hacen impracticable utilizar la aplicación sin esa polímero SIM activa.
- La instancia del servicio web de la plataforma de correo se cierra periódicamente cada seis horas y luego permite a los usuarios retornar a vincular su dispositivo mediante un código QR si es necesario.
Al imponer una reautenticación periódica, el gobierno indio dijo que el cambio reduce el efecto de ataques de apropiación de cuentas, uso indebido de controles remotos y operaciones de cuentas mulas. Es más, la reconexión repetida introduce fricciones adicionales en el proceso, lo que requiere que los actores de la amenaza demuestren que tienen el control una y otra vez.
El Unidad de Transporte incluso señaló que estas restricciones garantizan que cada cuenta activa en la aplicación de correo y sus sesiones web estén vinculadas a una SIM verificada por Conozca a su cliente (KYC), lo que permite a las autoridades rastrear números que se utilizan en estafas de phishing, inversiones, valor digitales y préstamos.
Vale la pena señalar que las reglas de vinculación de SIM y candado de sesión necesario ya se aplican a las aplicaciones bancarias y de plazo instantáneo que utilizan el sistema de Interfaz de Pagos Unificados (UPI) de la India. Las últimas instrucciones amplían esta política para cubrir incluso las aplicaciones de correo. WhatsApp y Signal no respondieron a las solicitudes de comentarios.
El exposición se produce días a posteriori de que el Unidad de Transporte dijera que se establecería una plataforma de Firmeza de Números Móviles (MNV) para frenar el aumento de cuentas de mula y el fraude de identidad derivados de vínculos no verificados de números móviles con servicios financieros y digitales. Según la reparación, dicha solicitud en la plataforma MNV puede ser realizada por un TIUE o una agencia ministerial.
“Este mecanismo permite a los proveedores de servicios validar, a través de una plataforma descentralizada y compatible con la privacidad, si un número de móvil utilizado para un servicio pertenece genuinamente a la persona cuyas credenciales están registradas, mejorando así la confianza en las transacciones digitales”, dijo.
