La propuesta de la India de obligar a los fabricantes de teléfonos inteligentes a compartir su código fuente con el gobierno y realizar varios cambios de software como parte de una serie de medidas de seguridad ha provocado la oposición detrás de escena de gigantes como Apple y Samsung.
Las empresas tecnológicas han respondido que el conjunto de 83 estándares de seguridad, que también incluirían un requisito para alertar al gobierno sobre actualizaciones importantes de software, no tiene precedentes globales y corre el riesgo de revelar detalles de propiedad, según cuatro personas familiarizadas con las discusiones y una revisión de Reuters de documentos confidenciales del gobierno y la industria.
El plan es parte de los esfuerzos del Primer Ministro Narendra Modi para fortalecer la seguridad de los datos de los usuarios a medida que aumentan el fraude en línea y las violaciones de datos en el segundo mercado de teléfonos inteligentes más grande del mundo, con casi 750 millones de teléfonos.
El secretario de TI, S. Krishnan, dijo a Reuters que “todas las preocupaciones legítimas de la industria se abordarán con una mente abierta”, y añadió que era “prematuro saber más”. Un portavoz del ministerio dijo que no podía hacer más comentarios debido a las consultas en curso con las empresas de tecnología sobre las propuestas.
Apple, Samsung de Corea del Sur, Google, Xiaomi de China y MAIT, el grupo industrial indio que representa a las empresas, no respondieron a las solicitudes de comentarios.
Las demandas del gobierno indio ya han enfurecido a las empresas tecnológicas. El mes pasado, revocó una orden que obligaba a instalar una aplicación de ciberseguridad estatal en los teléfonos debido a preocupaciones sobre la vigilancia. Pero el gobierno hizo a un lado el cabildeo el año pasado y exigió pruebas rigurosas para las cámaras de seguridad por temor al espionaje chino.
Xiaomi y Samsung -cuyos teléfonos utilizan el sistema operativo Android de Google- tienen una cuota de mercado del 19% y el 15% respectivamente en India y Apple del 5%, según estimaciones de Counterpoint Research.
Uno de los requisitos más sensibles de los nuevos requisitos de garantía de seguridad de las telecomunicaciones de la India tiene que ver con el acceso al código fuente, es decir, las instrucciones de programación subyacentes que hacen que los teléfonos funcionen. Esto sería analizado y posiblemente probado en laboratorios indios designados, según los documentos.
Las propuestas indias también exigen que las empresas realicen cambios de software para permitir la desinstalación de aplicaciones preinstaladas y evitar que las aplicaciones utilicen cámaras y micrófonos en segundo plano para “evitar el uso malicioso”.
“Ha habido preocupación entre la industria de que ningún país haya impuesto requisitos de seguridad global”, dice un documento del Ministerio de TI de diciembre que detalla las reuniones celebradas por funcionarios con Apple, Samsung, Google y Xiaomi.
Las normas de seguridad, desarrolladas en 2023, están ahora en el centro de atención mientras el gobierno considera imponerlas legalmente. El Ministerio de TI y los funcionarios de tecnología tienen previsto reunirse el martes para mantener más conversaciones, dijeron las fuentes.
Los fabricantes de teléfonos inteligentes guardan de cerca su código fuente. Apple rechazó la solicitud de China código fuente entre 2014 y 2016, y las fuerzas del orden estadounidenses también intentaron, sin éxito, obtenerlo.
Las propuestas de “escaneo de vulnerabilidades” y “revisión del código fuente” de la India requerirían que los fabricantes de teléfonos inteligentes realicen una “evaluación de seguridad integral”, después de lo cual los laboratorios de pruebas indios podrían verificar sus afirmaciones revisando y analizando el código fuente.
“Esto no es posible… debido al secreto y la privacidad”, dijo MAIT en un documento confidencial redactado en respuesta a la propuesta del gobierno y visto por Reuters. “Los principales países de la UE, América del Norte, Australia y África no imponen estos requisitos”.
MAIT pidió al ministerio la semana pasada que abandonara la propuesta, dijo una fuente con conocimiento directo.
Las propuestas indias requerirían análisis periódicos y automáticos de malware en los teléfonos. Los fabricantes de dispositivos también tendrían que notificar al Centro Nacional para la Seguridad de las Comunicaciones sobre las principales actualizaciones de software y parches de seguridad antes de entregárselos a los usuarios, y el centro tendría derecho a probarlos.
El documento MAIT dice que el escaneo regular de malware agota significativamente la batería de un teléfono y que es “poco práctico” buscar la aprobación del gobierno para las actualizaciones de software porque deben publicarse rápidamente.
India también quiere que los registros del teléfono (registros digitales de la actividad de su sistema) se almacenen durante al menos 12 meses en el dispositivo.
“No hay suficiente espacio en el dispositivo para almacenar el valor de un año de registros de eventos”, dijo MAIT en el documento.
