El Ministerio de Electrónica y Tecnología de la Información (MeitY) de India anunció recientemente que muchos proveedores de servicios de internet, intermediarios y centros de datos responsables de servicios de internet anónimos y privados estarán obligados a guardar una amplia gama de datos de los usuarios durante cinco años. La norma, que vigente a partir de junio, incluye la obligatoriedad de notificar «incidentes cibernéticos», como violaciones o fugas de datos, en las seis horas siguientes a su identificación.
El Equipo de Respuesta a Emergencias Informáticas (CERT-in) del ministerio publicó un anuncio el 28 de abril de 2022, dirigido a las organizaciones que prestan servicios de redes privadas virtuales (VPN), servidores privados virtuales (VPS) y en la nube, así como a los centros de datos. Dado que las VPN y los servicios basados en cadenas de bloques suelen estar diseñados para garantizar el anonimato y la privacidad del usuario, esta directiva podría obligar a muchos proveedores de servicios a cerrar sus operaciones en India o a perturbar la privacidad de sus usuarios.
La organización legal india sin ánimo de lucro Software Freedom Law Centre ha compartido su preocupación por el hecho de que la mayor empresa de VPN del mundo, NordVPN, se retire de India:
NordVPN, one of the world’s largest VPN providers, may pull out of India due to the Indian Computer Emergency Team’s @IndianCERT order last week requiring virtual private network providers to maintain user data.#InfoSec #CyberSecurity #VPNhttps://t.co/wZCBkisI4D
— sflc.in (@SFLCin) May 6, 2022
Exclusivo: NordVPN podría retirar sus servidores de India tras la orden del Ministerio de Tecnologías de la Información.
————
NordVPN, uno de los mayor proveedores de VPN del mundo, podría irse de India por la orden del equipo de emergencia informática de India, equipo indio de respuesta a emergencias informáticas, Ministerio de Electrónica y Tecnología de la Información, Gobierno de India orcdenó la semana pasada que exige que los proveedores de redes privadas virtuales conserven los datos de los usuarios.
El proveedor de servicios internacionales Proton VPN también presentó su protesta:
The new Indian VPN regulations are an assault on #privacy and threaten to put citizens under a microscope of surveillance. We remain committed to our no-logs policy and recommend everyone using our servers in India to follow these guidelines: https://t.co/85WTkUJ5Z6. (1/2)
— ProtonVPN (@ProtonVPN) May 5, 2022
Usar servidores VPN en países de alto riesgo.
——–
Las nuevas regulaciones indias de VPN son un ataque a la privacidad y amenazan con poner a los ciudadanos bajo un microscopio de vigilancia. Seguimos comprometidos con nuestra política de cero registros y recomendamos a todos los que usan nuestros servidores en India que sigan estas pautas: https://protonvpn.com/blog/vpn-servers-high-risk-countries/ .
¿Por qué deberían preocuparse los indios?
Un servicio de VPN puede ocultar tu ubicación y dirección IP y añadir otra capa de seguridad a la red abierta. Sin embargo, estos servicios no guardan registros de tus accesos ni actividades en línea, ni los transmiten a terceros, por lo que, aunque el Gobierno indio no prohíbe las VPN, periodistas, activistas y otras personas que usen estos servicios para ocultar su huella en línea correrán el riesgo de quedar expuestos, aunque usen servicios de VPN.
Internet Freedom Foundation, organización india de defensa de las libertades digitales, planteó varias preocupaciones sobre esta directiva del CERT-In, como falta de definiciones, falta de cumplimiento de las disposiciones de ciberseguridad existentes y excesivos requisitos de retención de datos. También preocupa que se esté creando una vía para la vigilancia masiva:
Statement: We call on @IndianCERT to recall Directions on Information Security Practices issued on April 28 that go into effect on June 27. These directions are vague. They undermine user privacy and information security, contrary to CERT's mandate. 1/n pic.twitter.com/okzMhgIG0y
— Internet Freedom Foundation (IFF) (@internetfreedom) May 4, 2022
DECLARACIÓN: Hacemos un llamado al equipo indio de respuesta a emergencias informáticas del Ministerio de Electrónica y Tecnología de la Información de India para que retire las Instrucciones sobre prácticas de seguridad de la información emitidas el 28 de abril que entrarán en vigencia el 27 de junio. Estas instrucciones son imprecisas. Socavan la privacidad del usuario y la seguridad de la información, en contra del mandato del equipo de respuesta.
Los datos concretos que los proveedores de servicios incluidos en la lista tendrán que almacenar incluyen nombres de los usuarios, duración y fechas de uso, direcciones de protocolo de internet (IP) y de correo electrónico de los usuarios, e incluso la dirección IP y la marca de tiempo usadas al registrarse o al iniciar el servicio. Además, deben documentar la finalidad de los servicios, y las direcciones, números de contacto y patrones de propiedad de quienes los usan. La circular pública también hace hincapié en la designación de un punto de contacto, y en difundir los datos de ese punto con el equipo de respuesta india. Por su parte, el equipo de respuesta afirma que este paso es una medida preventiva contra diversos tipos de ataques maliciosos y selectivos, como las violaciones y filtraciones de datos, y los ataques mediante programas espía, secuestro de datos o phishing.
La circular del equipo de respuesta obliga a informar de estos «incidentes cibernéticos» a las autoridades gubernamentales en las seis horas siguientes a su identificación. La publicación de noticias en línea Medianama informó que el Consejo de la Industria de la Tecnología de la Información (ITI), representante de las empresas tecnológicas –incluidas las grandes corporaciones tecnológicas como Apple, Amazon, Meta (Facebook), Google (Alphabet) y Microsoft– ha expresado su preocupación por esta nueva directiva y por si, además de perjudicar a la industria tecnológica, puede socavar la ciberseguridad de India. El ITIC ha recomendado aumentar el tiempo de notificación de seis horas a 72 horas, y ha considerado que el mantenimiento de los registros de los usuarios durante 180 días es arriesgado para los usuarios y caro para los proveedores de servicios.
La regulación también exige a intermediarios y proveedores de servicios que se conecten a servidores designados del Protocolo de Tiempo de Red (NTP) para sincronizar el reloj de sus sistemas de tecnologías de la información. El NTP es un protocolo de red que usan los sistemas informáticos conectados a través de internet y otras redes de datos, para la sincroniza el reloj. En los últimos años se han registrado importantes incidentes de seguridad por el NTP, y el ITIC ha dicho que este requisito puede «afectar negativamente a las operaciones de seguridad de las empresas, así como a la funcionalidad de sus sistemas, redes y aplicaciones».
Señalando los vacíos de la directiva y destacando cómo el equipo de respuesta no ha hecho su trabajo durante las violaciones de datos, Mishi Choudhary, fundador del Software Freedom Law Centre (SFLC.in) de Nueva Delhi, señaló: «Los requisitos de registro de los usuarios de VPN [y] la vinculación de la identificación a las direcciones IP plantean graves problemas de privacidad y deberían eliminarse. El equipo de respuesta no puede quitar el derecho a usar algunas herramientas con el pretexto de la ciberseguridad”.
Amplias críticas
Mientras tanto, los comentarios en línea sobre la directiva fueron abundantes. El el ingeniero de software y bloguero Manoj Saru hizo la pregunta obvia:
VPN providers in India mandated to collect customer data says Indian goverment 🤯🤯
Simple question what’s the point of using vpn ?? 🤔🤔 pic.twitter.com/0bIRtBOZmE
— Manoj Saru (@ManojSaru) May 6, 2022
Los proveedores de VPN en India están obligados a recopilar datos de los clientes, dice el Gobierno indio
🤯🤯Pregunta simple ¿qué sentido tiene usar VPN?
🤔🤔
El periodista Tanay Singh Thakur tuiteó:
CERT-In has decided that #VPN companies in India will now have to store user data for up to five years. This will definitely be a big disappointment for many who are using VPNs daily to mask their critical communications and browsing online. (🧵).
— Tanay Singh Thakur (@TanaysinghT) May 13, 2022
El equipo de respuesta ha decidido que las empresas de VPN en India tendrán que guardar los datos de los usuarios durante un máximo de cinco años. Esto definitivamente será una gran decepción para muchos que están utilizando VPN diariamente para enmascarar sus comunicaciones críticas y la navegación en línea.
🧵
En Twitter, Vikram Karandikar advirtió:
@narendramodi @rsprasad the latest policy for VPN companies is wrong. Too much government control is worrying. We are going into a wrong direction. #VPN #india
— Vikram Karandikar विक्रम करंदीकर (@vickybadbad) May 13, 2022
Narendra Modi y Ravi Shankar Prasad: la política más reciente para las empresas de VPN es incorrecta. Demasiado control gubernamental es preocupante. Vamos en dirección equivocada.
En una serie de tuits, el célebre experto en ciberseguridad Anand Venkatanarayanan criticó que el equipo de respuesta no haya tenido en cuenta su propia infraestructura, incluso cuando introdujo el mandato relacionado con el NTP. En este sentido, cuestionó el uso recomendado de los servidores del Centro Nacional de Informática, de propiedad estatal, que ya han demostrado ser vulnerables a filtraciones de seguridad, y sugirió que esto podría conducir a más brechas si la directiva entra en acción.
En un boletín informativo, Venkatanarayanan criticó además esta directiva, destacó la escasa capacidad técnica que el equipo de respuesta mostró en 2019 cuando WhatsApp anunció que se estaban explotando las vulnerabilidades de seguridad para usar el software espía Pegasus:
[..]although countries want to be self-reliant, aspiration is no substitute for capacity, capability and budgets.
[…] aunque los países quieran ser autosuficientes, la aspiración no sustituye a la capacidad, la habilidad y los presupuestos.
Amnistía India tuiteó:
The Indian government’s latest directive asking VPN companies to collect and store users’ data for a period of five years or face ban and imprisonment is a new major blow to the rights to privacy and freedom of expression in India.
— Amnesty India (@AIIndia) May 5, 2022
Último minuto: India ha ordenado a las empresas de VPN que recopilen datos de los usuarios y los entreguen al Gobierno indio, o enfrentarán la prohibición en India.
————–
La última directiva del Gobierno indio que solicita a las empresas de VPN que recopilen y almacenen los datos de los usuarios durante cinco años o enfrentarán la prohibición y el encarcelamiento es un nuevo golpe importante a los derechos a la privacidad y la libertad de expresión en India.
En 2021, el Proyecto Pegasus reveló el presunto papel del Gobierno indio en el uso del programa espía Pegasus para espiar a políticos de oposición, a periodistas críticos con el Gobierno y a funcionarios de alto rango.