Reuters
Nueva Delhi. India propone exigir a los fabricantes de teléfonos inteligentes que compartan el código fuente con el Gobierno y realicen varios cambios de software como parte de una serie de medidas de seguridad, lo que provocó la oposición tras bastidores de gigantes como Apple y Samsung.
Las empresas tecnológicas han respondido que el paquete de 83 estándares de seguridad, que también incluiría un requisito para alertar al gobierno sobre actualizaciones importantes de software, carece de cualquier precedente global y corre el riesgo de revelar detalles confidenciales, según cuatro personas familiarizadas con las discusiones y una revisión de Reuters de documentos confidenciales del gobierno y de la industria.
El plan es parte de los esfuerzos del Primer Ministro, Narendra Modi, para aumentar la seguridad de los datos de los usuarios a medida que el fraude en línea y las violaciones de datos aumentan en el segundo mercado de teléfonos inteligentes más grande del mundo, con casi 750 millones de teléfonos.
El secretario de TI, S. Krishnan, declaró a Reuters, que “cualquier inquietud legítima de la industria se abordará con una actitud abierta”, añadiendo que era “prematuro analizar más a fondo”. Un portavoz del ministerio indicó que no podía hacer más comentarios debido a las consultas en curso con las empresas tecnológicas sobre las propuestas.
Requisitos del gobierno indio
Apple, Samsung de Corea del Sur, Google, Xiaomi de China y MAIT, el grupo industrial indio que representa a las empresas, no respondió a las solicitudes de comentarios.
Los requisitos del gobierno indio ya han irritado a las empresas tecnológicas. El mes pasado, revocó una orden que exigía el uso de una aplicación estatal de ciberseguridad en los teléfonos, ante la preocupación por la vigilancia. Sin embargo, el gobierno ignoró las presiones el año pasado y exigió pruebas rigurosas para las cámaras de seguridad por temor al espionaje chino.
Xiaomi y Samsung, cuyos teléfonos utilizan el sistema operativo Android de Google, tienen el 19% y el 15%, respectivamente, de la cuota de mercado de la India y Apple el 5%, según estimaciones de Counterpoint Research.
Entre los requisitos más sensibles de los nuevos Requisitos de Garantía de Seguridad de las Telecomunicaciones de la India se encuentra el acceso al código fuente, es decir, las instrucciones de programación subyacentes que hacen que los teléfonos funcionen. Este se analizaría y posiblemente se probaría en laboratorios indios designados, según los documentos.
Las propuestas indias también requieren que las empresas realicen cambios de software para permitir que las aplicaciones preinstaladas se desinstalen y para bloquear que las aplicaciones utilicen cámaras y micrófonos en segundo plano para “evitar el uso malicioso”.
“La industria expresó su preocupación por el hecho de que los requisitos de seguridad a nivel mundial no han sido exigidos por ningún país”, afirma un documento del Ministerio de TI de diciembre que detalla las reuniones que los funcionarios mantuvieron con Apple, Samsung, Google y Xiaomi.
Las normas de seguridad, redactadas en 2023, están en el punto de mira ahora que el gobierno está considerando imponerlas legalmente. El Ministerio de TI y los ejecutivos del sector tecnológico se reunirán el martes para continuar las conversaciones, según informaron las fuentes.
Las empresas dicen que la revisión y el análisis del código fuente “No son posibles’
Los fabricantes de teléfonos inteligentes protegen celosamente su código fuente. Apple rechazó la solicitud de China de obtenerlo entre 2014 y 2016, y las autoridades estadounidenses también han intentado obtenerlo sin éxito.
Las propuestas de la India de “análisis de vulnerabilidad” y “revisión del código fuente” requerirían que los fabricantes de teléfonos inteligentes realicen una “evaluación de seguridad completa”, después de lo cual los laboratorios de pruebas en la India podrían verificar sus afirmaciones a través de la revisión y análisis del código fuente.
“Esto no es posible… debido al secreto y la privacidad”, declaró MAIT en un documento confidencial redactado en respuesta a la propuesta del gobierno, al que tuvo acceso Reuters. “Los principales países de la UE, Norteamérica, Australia y África no exigen estos requisitos”.
MAIT solicitó al ministerio la semana pasada que abandonara la propuesta, dijo una fuente con conocimiento directo.
Las propuestas indias exigirían el análisis automático y periódico de malware en los teléfonos. Los fabricantes de dispositivos también tendrían que informar al Centro Nacional para la Seguridad de las Comunicaciones sobre las principales actualizaciones de software y parches de seguridad antes de lanzarlos a los usuarios, y el centro tendría derecho a probarlos.
El documento de MAIT dice que el escaneo regular de malware agota significativamente la batería de un teléfono y que buscar la aprobación del gobierno para actualizaciones de software es “poco práctico”, ya que deben emitirse rápidamente.
India también quiere que los registros del teléfono (registros digitales de la actividad del sistema) se almacenen durante al menos 12 meses en el dispositivo.
“No hay suficiente espacio en el dispositivo para almacenar eventos de registro de un año”, dijo MAIT en el documento.
