India propone obligar a los fabricantes de smartphones a entregar el código fuente en una revisión de seguridad

NUEVA DELHI, India – India propone exigir a los fabricantes de teléfonos inteligentes que compartan el código fuente con el gobierno y realicen varios cambios de software como parte de un conjunto de medidas de seguridad, lo que ha provocado oposición entre bastidores de gigantes como Apple y Samsung.

Las empresas tecnológicas han argumentado que el paquete de 83 estándares de seguridad, que también incluiría un requisito de alertar al gobierno sobre actualizaciones importantes de software, carece de precedentes globales y corre el riesgo de revelar detalles de propiedad, según cuatro personas familiarizadas con las discusiones y una revisión de Reuters de documentos confidenciales del gobierno y la industria.

El plan es parte de los esfuerzos del Primer Ministro Narendra Modi para aumentar la seguridad de los datos de los usuarios a medida que el fraude en línea y las violaciones de datos aumentan en el segundo mercado de teléfonos inteligentes más grande del mundo, con casi 750 millones de teléfonos.

El Secretario de TI S. Krishnan dijo a Reuters el sábado 10 de enero que "cualquier preocupación legítima de la industria será abordada con una mente abierta", añadiendo que era "prematuro leer más al respecto".

Un portavoz del ministerio dijo en un comunicado por correo electrónico el sábado que no podía hacer más comentarios debido a la consulta en curso con las empresas tecnológicas sobre las propuestas.

Después de que se publicara la historia, una declaración del ministerio de TI dijo tarde el domingo que las consultas tienen como objetivo desarrollar "un marco regulatorio apropiado y robusto para la seguridad móvil", y que "rutinariamente" se involucra con la industria "para comprender mejor la carga técnica y de cumplimiento".

El ministerio de TI añadió que "refuta la declaración" de que está considerando solicitar código fuente de los fabricantes de teléfonos inteligentes, sin elaborar ni comentar sobre los documentos del gobierno o la industria citados por Reuters.

Tira y afloja continuo sobre los requisitos gubernamentales

Apple, la surcoreana Samsung, Google, la china Xiaomi y MAIT, el grupo industrial indio que representa a las empresas, no respondieron a las solicitudes de comentarios.

Los requisitos del gobierno indio han irritado antes a las empresas tecnológicas. El mes pasado revocó una orden que exigía una aplicación de seguridad cibernética administrada por el estado en los teléfonos en medio de preocupaciones sobre vigilancia. Pero el gobierno ignoró el cabildeo el año pasado y requirió pruebas rigurosas para cámaras de seguridad por temores de espionaje chino.

Xiaomi y Samsung, cuyos teléfonos usan el sistema operativo Android de Google, tienen el 19% y el 15%, respectivamente, de la cuota de mercado de India y Apple el 5%, estima Counterpoint Research.

Entre los requisitos más sensibles en los nuevos Requisitos de Garantía de Seguridad de Telecomunicaciones de India está el acceso al código fuente, las instrucciones de programación subyacentes que hacen que los teléfonos funcionen. Esto sería analizado y posiblemente probado en laboratorios indios designados, muestran los documentos.

Las propuestas indias también requieren que las empresas realicen cambios de software para permitir que las aplicaciones preinstaladas sean desinstaladas y para bloquear que las aplicaciones usen cámaras y micrófonos en segundo plano para "evitar el uso malicioso".

"La industria planteó preocupaciones de que globalmente los requisitos de seguridad no han sido ordenados por ningún país", dijo un documento del ministerio de TI de diciembre que detalla reuniones que los funcionarios mantuvieron con Apple, Samsung, Google y Xiaomi.

Los estándares de seguridad, redactados en 2023, están en el centro de atención ahora ya que el gobierno está considerando imponerlos legalmente. Los ejecutivos del ministerio de TI y tecnología deben reunirse el martes para más discusiones, dijeron fuentes.

Las empresas dicen que la revisión y análisis del código fuente 'no es posible'

Los fabricantes de teléfonos inteligentes protegen estrictamente su código fuente. Apple rechazó la solicitud de China de código fuente entre 2014 y 2016, y las fuerzas del orden de EE. UU. también han intentado y fallado en obtenerlo.

Las propuestas de India para "análisis de vulnerabilidad" y "revisión de código fuente" requerirían que los fabricantes de teléfonos inteligentes realicen una "evaluación de seguridad completa", después de lo cual los laboratorios de prueba en India podrían verificar sus afirmaciones mediante revisión y análisis del código fuente.

"Esto no es posible... debido al secreto y la privacidad", dijo MAIT en un documento confidencial redactado en respuesta a la propuesta del gobierno, y visto por Reuters. "Los principales países de la UE, América del Norte, Australia y África no exigen estos requisitos".

MAIT pidió al ministerio la semana pasada que abandonara la propuesta, dijo una fuente con conocimiento directo.

Las propuestas indias exigirían escaneo automático y periódico de malware en los teléfonos. Los fabricantes de dispositivos también tendrían que informar al Centro Nacional de Seguridad de las Comunicaciones sobre actualizaciones importantes de software y parches de seguridad antes de lanzarlos a los usuarios, y el centro tendría derecho a probarlos.

El documento de MAIT dice que el escaneo regular de malware agota significativamente la batería de un teléfono y buscar la aprobación del gobierno para actualizaciones de software es "poco práctico" ya que deben emitirse con prontitud.

India también quiere que los registros del teléfono, registros digitales de su actividad del sistema, se almacenen durante al menos 12 meses en el dispositivo.

"No hay suficiente espacio en el dispositivo para almacenar eventos de registro de 1 año", dijo MAIT en el documento. –Rappler.com