El Departamento de Telecomunicaciones de la India (DoT) ha anunciado una serie de nuevas directrices que obligan a los proveedores de servicios de comunicación basados en aplicaciones a garantizar que sus plataformas solo funcionen si están vinculadas a una tarjeta SIM activa y verificada. Esta medida, formalizada como una enmienda a las Reglas de Telecomunicaciones (Ciberseguridad de Telecomunicaciones) de 2024, busca combatir la proliferación de fraudes digitales, estafas transfronterizas, phishing y suplantación de identidad que se apoyan en cuentas de mensajería no vinculadas a un número móvil válido.
Según la directiva, aplicaciones tan populares como WhatsApp, Telegram, Signal, Snapchat, ShareChat, JioChat, Josh y Arattai, entre otras que utilizan un número móvil indio como identificador único de usuario (TIUE), deberán implementar estos cambios técnicos en un periodo máximo de 90 días.
Una medida para frenar el uso malicioso de números móviles indios
Las autoridades indias han detectado un patrón creciente de fraudes digitales que se aprovechan del hecho de que muchas aplicaciones de mensajería permiten seguir operando incluso cuando la SIM asociada ha sido retirada, desactivada o trasladada al extranjero. Según el DoT, este vacío regulatorio ha permitido:
-
Estafas anónimas ejecutadas desde el extranjero.
-
Fraudes de “arresto digital”, donde criminales se hacen pasar por autoridades.
-
Llamadas y mensajes de suplantación gubernamental usando números indios falsos.
-
Control remoto de cuentas durante periodos prolongados gracias a sesiones web y de escritorio que no se cierran automáticamente.
En palabras del DoT, “las sesiones web de larga duración permiten a los estafadores controlar de forma remota las cuentas de las víctimas sin necesidad de poseer la SIM original, dificultando el rastreo, la atribución y la suspensión de la actividad maliciosa”.
Este escenario ha incrementado de manera significativa los incidentes de phishing, fraude financiero, captación de cuentas mula y otras variantes de ciberdelincuencia que utilizan números indios como fachada.
Qué exige exactamente la nueva directiva del DoT
Las nuevas reglas introducen cambios obligatorios que afectarán tanto a las plataformas de mensajería como a sus usuarios. Las dos exigencias principales son:
1. Vinculación permanente de la app con la SIM activa
Las aplicaciones deben verificar continuamente que la tarjeta SIM instalada en el dispositivo sigue activa.
Esto significa que:
-
La aplicación no podrá utilizarse si la SIM asociada ha sido retirada o desactivada.
-
No será posible mantener la cuenta activa desde el extranjero sin la SIM india original.
-
Se bloquea la operación de cuentas configuradas en dispositivos secundarios o remotos sin la SIM presente.
Este requisito pretende eliminar el uso de cuentas fantasma, clones o accesos remotos sin verificación del usuario real.
2. Cierre automático de sesiones web cada seis horas
El DoT exige que cualquier instancia web o de escritorio vinculada a la cuenta:
-
se cierre automáticamente cada seis horas, y
-
requiera un nuevo proceso de vinculación mediante QR para continuar operando.
Esto obliga a reautenticar la sesión recurrentemente, añadiendo una capa de seguridad que dificulta los ataques de toma de control prolongados.
Impacto en la ciberseguridad: más rastreo y menos anonimato operativo
El gobierno indio afirma que estos cambios no solo endurecen la supervisión, sino que también cierran una brecha que los actores maliciosos han explotado durante años. Las nuevas reglas permiten:
-
Garantizar que todas las cuentas activas estén vinculadas a una SIM verificada por KYC, reduciendo el anonimato.
-
Rastrear rápidamente números utilizados en campañas de phishing, préstamos fraudulentos, estafas de inversión y engaños de “arresto digital”.
-
Introducir fricción adicional que obliga a los criminales a reautenticar su presencia, dificultando la automatización de operaciones desde el extranjero.
De este modo, las autoridades esperan reducir la capacidad de los estafadores para operar durante largos periodos con una única autenticación inicial.
Extensión de una política ya aplicada a apps financieras
Las reglas de vinculación de SIM y cierre periódico de sesión ya son obligatorias para:
-
aplicaciones bancarias
-
plataformas UPI (Unified Payments Interface)
-
apps de pago instantáneo
La diferencia ahora es que esta política se amplía a todas las aplicaciones de mensajería, un movimiento que reconoce el papel central de estas plataformas como vectores de fraude digital.
La Plataforma de Validación de Números Móviles (MNV): el siguiente paso
Este anuncio llega días después de que el DoT confirmara la creación de una Plataforma de Validación de Números Móviles (MNV), diseñada para frenar:
-
cuentas mula
-
fraude de identidad
-
creación de perfiles falsos
-
vínculos no verificados entre números móviles y servicios digitales
Según la enmienda, tanto una entidad TIUE como una agencia gubernamental pueden solicitar validación a través del sistema MNV. Este mecanismo permite comprobar, de forma descentralizada y conforme a principios de privacidad, si un número realmente pertenece a la persona que afirma utilizarlo.
El DoT asegura que este proceso reforzará la confianza en las transacciones digitales y mejorará la trazabilidad en casos de fraude.
Un movimiento estratégico para reforzar la ciberseguridad en India
La decisión del DoT marca un punto de inflexión en la forma en que India regula las comunicaciones digitales. Con un enorme volumen de fraude transfronterizo y cuentas no verificadas operando desde el extranjero, exigir que las aplicaciones de mensajería dependen de una SIM activa vinculada por KYC representa un paso decisivo hacia una infraestructura digital más segura, trazable y resistente al abuso.
Fuente: The Hacker News
