By 
Los proveedores de redes privadas virtuales (VPN) se oponen y critican una “preocupante” orden del gobierno de la India que les pide que recojan y entreguen los datos de los usuarios.
Esta orden, emitida por el Equipo de Respuesta a Emergencias Informáticas (CERT-In) del gobierno indio el 28 de abril, podría llevar a los proveedores de VPN a retirar su presencia del país.
Exige a todas las empresas de VPN que operan en el país que almacenen los datos de los usuarios durante cinco años o más y que informen de los incidentes cibernéticos en un plazo de seis horas para ayudar a investigar posibles ciberdelitos.
Se espera que las nuevas normas entren en vigor en dos meses.
Una vez que la orden entre en vigor, India podría unirse a países como Corea del Norte, Rusia y China, donde los proveedores nunca han tenido presencia o han retirado sus servidores.
Las VPN cifran los datos de los usuarios y les dan acceso a una dirección IP en Internet en el país que elijan. Protegen la identidad de los usuarios sustituyendo la dirección IP de su dispositivo por una temporal alojada en un servidor remoto.
Según la nueva orden, los proveedores de VPN deberán registrar información precisa y detallada de todos los usuarios de la India.
Dicha información incluye los nombres válidos de los usuarios, el periodo de uso, las IPs que se les han asignado, las direcciones de correo electrónico, el sello de tiempo en el momento del registro, las direcciones válidas y los números de contacto durante un mínimo de cinco años, incluso si los usuarios cancelan sus suscripciones.
El incumplimiento, según la orden, puede llevar a las empresas de VPN a enfrentarse a prohibiciones e incluso a un año de prisión para los ejecutivos.
Los expertos han percibido la orden como un nuevo golpe a los derechos a la privacidad y a la libertad de expresión que ya están en creciente riesgo en la India.
NordVPN, uno de los mayores proveedores del mundo, ha dicho que podría retirarse de la India, portal de noticias de startups y tecnología Entrackr informó el jueves.
“Estamos comprometidos con la protección de la privacidad de nuestros clientes, por lo tanto, es posible que retiremos nuestros servidores de la India si no quedan otras opciones”, dijo Patricija Cerniauskaite, portavoz de la empresa matriz de NordVPN, Nord Security.
Otros proveedores de servicios, incluyendo ExpressVPN y ProtonVPN, también han compartido sus preocupaciones, añadiendo que pueden optar por no cumplir.
“La nueva normativa india sobre VPN es un asalto a la privacidad y amenaza con poner a los ciudadanos bajo el microscopio de la vigilancia. Seguimos comprometidos con nuestra política de no-logs,” ProtonVPN, tuiteó el jueves, compartiendo sus directrices para sus usuarios en “países de alto riesgo.”
Harold Li, vicepresidente de ExpressVPN dijo Wired que la medida del gobierno indio “representa un intento preocupante” de infringir los derechos digitales de sus ciudadanos, y añadió que la empresa nunca registraría la información o la actividad de los usuarios.
Dijo que la compañía ajustaría sus operaciones e infraestructura “para preservar este principio si y cuando fuera necesario.”
Los grupos de derechos humanos también han expresado su preocupación por la nueva medida.
La rama de Amnistía Internacional en la India tuiteó su crítica a la ley, diciendo que las VPN proporcionan “anonimato digital que ha sido fundamental para proteger los derechos de los periodistas, activistas y estudiantes que se han enfrentado a una represión implacable por decir la verdad al poder.”
“Las restricciones al anonimato digital deben cumplir los requisitos de legalidad, necesidad y proporcionalidad, y legitimidad. Esta directiva falla es en [sic] clara contravención de las obligaciones de India en virtud del derecho internacional de los derechos humanos”, añadió.
Sin embargo, los funcionarios indios afirmaron que la directiva no pretende obstaculizar la libertad de expresión y la privacidad, sino contrarrestar la creciente amenaza de ciberdelincuencia a la que se enfrentan los ciudadanos.
El proveedor de VPN Surfshark, con sede en los Países Bajos señaló en un estudio reciente, que alrededor de 675.000 usuarios indios se enfrentaron a infracciones este trimestre, mientras que los datos de 1,77 millones de usuarios fueron robados en el cuarto trimestre de 2021, y que el país sigue estando entre las cinco principales naciones objetivo de los hackers.
Si bien la nueva orden sugiere que los organismos gubernamentales solo exigirán estos registros de VPN cuando realmente se necesiten para una investigación, existe la preocupación de que se abuse de las normas.
La Fundación para la Libertad en Internet (IFF), una organización sin ánimo de lucro con sede en Nueva Delhi que se dedica a la defensa de los derechos y las libertades digitales, también tuiteó que las nuevas instrucciones son “vagas”, “socavan la privacidad del usuario” y la “seguridad de la información”.
Dijo que el CERT-In “amplió su poder” a través de la orden que tiene “potencial para ser utilizado para la masavigilancia”.
La preocupación de la población por el uso de la nueva orden para la vigilancia se ve “corroborada” por su indicación de que se mantengan registros en la “jurisdicción india”, señaló.
“La recopilación obligatoria y el almacenamiento perpetuo de grandes cantidades de datos sensibles de los usuarios crea riesgos de ciberseguridad. Más allá de la vigilancia, debido a las vulnerabilidades técnicas, dichos datos pueden y están expuestos”, explicó el FIB.
La nueva orden también parece indicar que India se aleja de una democracia libre y abierta, donde ya se han producido crecientes niveles de represión contra organizaciones sin ánimo de lucro, periodistas y activistas.
El país sufrió 106 cortes deliberados de Internet, el mayor número del mundo en 2021.
Recientemente, Reporteros sin Fronteras señaló que la India se encuentra ahora en el puesto 150 de 189 países en la Clasificación de la Libertad de Prensa, un descenso de ocho puestos en un año.
Comments