India propone una nueva medida de seguridad que requeriría que los fabricantes de teléfonos inteligentes proporcionen su código fuente

El gobierno indio ha propuesto una importante revisión de los requisitos de seguridad de los teléfonos inteligentes bajo los "Requisitos de Garantía de Seguridad de las Telecomunicaciones de la India". Esto incluye un paquete de 83 estándares de seguridad que buscan mejorar la protección de datos de los usuarios ante el creciente fraude en línea y las ciberamenazas en el enorme mercado de teléfonos inteligentes del país. 

Gigantes tecnológicos como Apple y Samsung se oponen a la medida , alegando que el paquete carece de precedentes globales dent podría revelar detalles de propiedad y secretos comerciales, especialmente el código fuente, algo que Apple protege ferozmente y en el pasado se ha resistido a compartir con países como Estados Unidos y China.

Sin embargo, el país afirma que las demandas son parte de la estrategia más amplia del primer ministro Narendra Modi para fortalecer la ciberseguridad en India, que es el segundo mercado de teléfonos inteligentes más grande del mundo.

El gobierno de la India plantea exigencias a los fabricantes de teléfonos

A continuación se muestra una lista de algunos de los requisitos de seguridad que India está proponiendo para fabricantes de teléfonos inteligentes como Apple y Samsung, lo que ha provocado la oposición tras bastidores de las empresas tecnológicas.

• La divulgación del código fuente obliga a los fabricantes no solo a probar sino también a proporcionar el código fuente propietario para su revisión por parte de laboratorios designados por el gobierno, con el objetivo dedentvulnerabilidades en los sistemas operativos de los teléfonos que podrían ser explotadas por atacantes.
• Restricciones de permisos en segundo plano que impiden que las aplicaciones accedan a cámaras, micrófonos o servicios de ubicación en segundo plano mientras los teléfonos están inactivos y, cuando esos permisos están activos, se requiere una notificación continua en la barra de estado 
• Alertas de revisión de permisos que exigen que los dispositivos muestren periódicamente advertencias que soliciten a los usuarios que revisen todos los permisos de las aplicaciones, con notificaciones continuas.
• Retención de registros durante un año, que requiere que los dispositivos almacenen registros de auditoría de seguridad, incluidas las instalaciones de aplicaciones y los registros del sistema, durante hasta 12 meses.
• Escaneo periódico de malware, donde los teléfonos deben escanearse periódicamente en busca de malware edentcualquier aplicación potencialmente dañina.
• Opción para eliminar aplicaciones preinstaladas que vienen incluidas con el sistema operativo del teléfono, excepto aquellas esenciales para las funciones básicas del teléfono. 
• Informar a una organización gubernamental antes de publicar actualizaciones importantes o parches de seguridad.
• Advertencias de detección de manipulaciones que detectan cuando los teléfonos han sido rooteados o “liberados” y muestran banners de advertencia continuos para recomendar medidas correctivas.
• Protección anti-reversión que bloquea permanentemente la instalación de versiones de software anteriores, incluso si están firmadas oficialmente por el fabricante, para evitar degradaciones de seguridad.

Lo que piensan las empresas tecnológicas sobre los requisitos 

El gobierno indio ha defendido los requisitos de seguridad alegando que su objetivo es proteger a sus ciudadanos, una medida que coincide con la iniciativa de Narendra Modi en materia de seguridad de datos. Sin embargo, importantes empresas como Samsung, Apple, Xiaomi y Google, representadas por MAIT, el grupo industrial indio que representa a estas empresas, han expresado su oposición, especialmente en lo que respecta al intercambio de código fuente.

“Esto no es posible… debido al secreto y la privacidad”, declaró en un dent redactado en respuesta a la propuesta del gobierno. “Los principales países de la UE, Norteamérica, Australia y África no exigen estos requisitos”.

Afirman que tampoco existe una forma fiable de detectar teléfonos con jailbreak o prevenir manipulaciones, diciendo que el anti-rollback carece de estándares y que muchas aplicaciones preinstaladas deben conservarse ya que son componentes críticos del sistema. 

Según una fuente con conocimiento directo, MAIT ha solicitado al ministerio que retire la propuesta. Los documentos de la empresa también indican que el análisis regular de malware agotaría considerablemente la batería del teléfono y que resulta "poco práctico" solicitar la aprobación gubernamental para actualizaciones de software, ya que se supone que son soluciones oportunas. 

En cuanto a los registros telefónicos que el gobierno ha solicitado que se almacenen durante al menos 12 meses en los dispositivos, MAIT afirma que la mayoría de los dispositivos carecen de la capacidad para almacenar dichos registros, lo que hace imposible cumplir con esta solicitud. 

En respuesta a los puntos planteados por MAIT, el Secretario de TI, S. Krishnan, afirmó que cualquier inquietud legítima de la industria se abordará con una mente abierta, aunque agregó que era "prematuro leer más al respecto"

Mientras tanto, un portavoz del ministerio se negó a hacer más comentarios, afirmando que se estaban realizando consultas con las empresas tecnológicas sobre las propuestas.

Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete !