Las empresas tecnológicas han respondido que el paquete de 83 estándares de seguridad, que también incluiría la obligación de alertar al gobierno sobre actualizaciones importantes de software, carece de precedentes a nivel mundial y pone en riesgo la revelación de detalles propietarios, según cuatro personas familiarizadas con las conversaciones y una revisión de Reuters de documentos confidenciales del gobierno y la industria.
El plan forma parte de los esfuerzos del primer ministro Narendra Modi para reforzar la seguridad de los datos de los usuarios, en un contexto de aumento del fraude en línea y filtraciones de datos en el segundo mayor mercado de smartphones del mundo, con cerca de 750 millones de teléfonos.
El secretario de TI, S. Krishnan, declaró a Reuters el sábado que "cualquier preocupación legítima de la industria será atendida con una mente abierta", y añadió que "es prematuro sacar más conclusiones".
Un portavoz del ministerio afirmó en una declaración enviada por correo electrónico el sábado que no podía hacer más comentarios debido a la consulta en curso con las empresas tecnológicas sobre las propuestas.
Tras la publicación de la noticia, una declaración del ministerio de TI indicó el domingo por la noche que las consultas tienen como objetivo desarrollar "un marco regulatorio adecuado y robusto para la seguridad móvil", y que "rutinariamente" se relaciona con la industria "para comprender mejor la carga técnica y de cumplimiento".
El ministerio de TI añadió que "rechaza la afirmación" de que esté considerando solicitar el código fuente a los fabricantes de smartphones, sin dar más detalles ni comentar sobre los documentos gubernamentales o de la industria citados por Reuters.
TIRA Y AFLOJA EN CURSO SOBRE LOS REQUISITOS GUBERNAMENTALES
Apple, Samsung de Corea del Sur, Google, Xiaomi de China y MAIT, el grupo industrial indio que representa a las empresas, no respondieron a las solicitudes de comentarios.
Los requisitos del gobierno indio ya han irritado antes a las empresas tecnológicas. El mes pasado revocó una orden que imponía una aplicación estatal de ciberseguridad en los teléfonos, ante preocupaciones por la vigilancia. Sin embargo, el gobierno desoyó las presiones el año pasado y exigió pruebas rigurosas para las cámaras de seguridad por temor al espionaje chino.
Xiaomi y Samsung -cuyos teléfonos usan el sistema operativo Android de Google- tienen respectivamente el 19% y el 15% de la cuota de mercado en India, y Apple el 5%, según estimaciones de Counterpoint Research.
Entre los requisitos más sensibles de las nuevas Exigencias de Garantía de Seguridad de las Telecomunicaciones de India está el acceso al código fuente, es decir, las instrucciones de programación subyacentes que hacen funcionar los teléfonos. Según los documentos, este código sería analizado y posiblemente probado en laboratorios designados en India.
Las propuestas indias también exigen a las empresas realizar cambios de software para permitir la desinstalación de aplicaciones preinstaladas y bloquear que las aplicaciones usen cámaras y micrófonos en segundo plano para "evitar usos maliciosos".
"La industria expresó su preocupación de que a nivel mundial ningún país ha impuesto requisitos de seguridad como estos", según un documento del ministerio de TI de diciembre que detalla reuniones mantenidas con Apple, Samsung, Google y Xiaomi.
Los estándares de seguridad, redactados en 2023, están ahora en el punto de mira ya que el gobierno estudia imponerlos legalmente. Según fuentes, el ministerio de TI y ejecutivos del sector tecnológico se reunirán el martes para continuar las discusiones.
LAS EMPRESAS DICEN QUE LA REVISIÓN Y ANÁLISIS DEL CÓDIGO FUENTE "NO ES POSIBLE"
Los fabricantes de smartphones protegen celosamente su código fuente. Apple rechazó la solicitud de China de entregar el código fuente entre 2014 y 2016, y las autoridades estadounidenses también han intentado, sin éxito, obtenerlo.
Las propuestas de India para el "análisis de vulnerabilidades" y la "revisión del código fuente" exigirían a los fabricantes de smartphones realizar una "evaluación completa de seguridad", tras la cual los laboratorios de pruebas en India podrían verificar sus afirmaciones mediante revisión y análisis del código fuente.
"Esto no es posible... debido al secreto y la privacidad", afirmó MAIT en un documento confidencial elaborado en respuesta a la propuesta gubernamental y visto por Reuters. "Los principales países de la UE, Norteamérica, Australia y África no exigen estos requisitos".
MAIT solicitó al ministerio la semana pasada que retire la propuesta, según una fuente con conocimiento directo.
Las propuestas indias también exigirían el escaneo automático y periódico de malware en los teléfonos. Los fabricantes de dispositivos tendrían que informar al Centro Nacional de Seguridad de las Comunicaciones sobre las principales actualizaciones de software y parches de seguridad antes de lanzarlos a los usuarios, y el centro tendría derecho a probarlos.
El documento de MAIT afirma que el escaneo regular de malware agota significativamente la batería del teléfono y que solicitar la aprobación gubernamental para las actualizaciones de software es "impracticable" ya que deben emitirse con rapidez.
India también quiere que los registros del teléfono -los registros digitales de la actividad del sistema- se almacenen al menos durante 12 meses en el dispositivo.
"No hay suficiente espacio en el dispositivo para almacenar los registros de un año", señala MAIT en el documento.
