El Departamento de Telecomunicaciones de la India (DoT) ha emitido instrucciones a los proveedores de servicios de comunicación basados en aplicaciones para garantizar que las plataformas no se puedan utilizar sin una tarjeta SIM activa vinculada al número de móvil del usuario.
Con ese fin, las aplicaciones de mensajería como WhatsApp, Telegram, Snapchat, Arattai, Sharechat, Josh, JioChat y Signal que utilizan un número de móvil indio para identificar de forma única a sus usuarios, en otras palabras, una entidad de usuario identificador de telecomunicaciones (TIUE), deberán cumplir con la directiva en un plazo de 90 días.
El enmienda hacia Reglas de telecomunicaciones (seguridad cibernética de las telecomunicaciones), 2024, se considera un intento de combatir el uso indebido de identificadores de telecomunicaciones para phishing, estafas y fraudes cibernéticos, y garantizar la ciberseguridad de las telecomunicaciones. El Departamento de Transporte dijo que las instrucciones vinculantes para la tarjeta SIM son cruciales para cerrar una brecha de seguridad que los delincuentes están aprovechando para realizar fraudes transfronterizos.
«Las cuentas de aplicaciones de mensajería instantánea y llamadas continúan funcionando incluso después de que la SIM asociada se retira, desactiva o se traslada al extranjero, lo que permite estafas anónimas, fraudes remotos de 'detención digital' y llamadas de suplantación del gobierno utilizando números indios», dijo el Departamento de Transporte. dicho en un comunicado emitido el lunes.
«Las sesiones web/de escritorio de larga duración permiten a los estafadores controlar las cuentas de las víctimas desde ubicaciones distantes sin necesidad del dispositivo original o la tarjeta SIM, lo que complica el rastreo y la eliminación. Actualmente, una sesión se puede autenticar una vez en un dispositivo en la India y luego continuar operando desde el extranjero, lo que permite a los delincuentes realizar estafas utilizando números indios sin ninguna nueva verificación».
La directiva recientemente emitida exige que:
- Los servicios de comunicación basados en aplicaciones están continuamente vinculados a la tarjeta SIM instalada en el dispositivo y hacen imposible utilizar la aplicación sin esa tarjeta SIM activa.
- La instancia del servicio web de la plataforma de mensajería se cierra periódicamente cada seis horas y luego permite a los usuarios volver a vincular su dispositivo mediante un código QR si es necesario.
Al imponer una reautenticación periódica, el gobierno indio dijo que el cambio reduce el alcance de ataques de apropiación de cuentas, uso indebido de controles remotos y operaciones de cuentas mulas. Es más, la reconexión repetida introduce fricciones adicionales en el proceso, lo que requiere que los actores de la amenaza demuestren que tienen el control una y otra vez.
El Departamento de Transporte también señaló que estas restricciones garantizan que cada cuenta activa en la aplicación de mensajería y sus sesiones web estén vinculadas a una SIM verificada por Conozca a su cliente (KYC), lo que permite a las autoridades rastrear números que se utilizan en estafas de phishing, inversiones, arrestos digitales y préstamos.
Vale la pena señalar que las reglas de vinculación de SIM y cierre de sesión automático ya se aplican a las aplicaciones bancarias y de pago instantáneo que utilizan el sistema de Interfaz de Pagos Unificados (UPI) de la India. Las últimas instrucciones amplían esta política para cubrir también las aplicaciones de mensajería. WhatsApp y Signal no respondieron a las solicitudes de comentarios.
El desarrollo se produce días después del DoT. dicho Se establecería una plataforma de Validación de Números Móviles (MNV) para frenar el aumento de las cuentas mula y el fraude de identidad derivados de vínculos no verificados de números móviles con servicios financieros y digitales. Según la enmienda, dicha solicitud en la plataforma MNV puede ser realizada por un TIUE o una agencia gubernamental.
«Este mecanismo permite a los proveedores de servicios validar, a través de una plataforma descentralizada y compatible con la privacidad, si un número de móvil utilizado para un servicio pertenece genuinamente a la persona cuyas credenciales están registradas, mejorando así la confianza en las transacciones digitales», dijo.
Fuente