El Ministerio de Comunicaciones de India ha ordenado que todos los fabricantes de dispositivos móviles preinstalen obligatoriamente la aplicación gubernamental Sanchar Saathi en cada smartphone destinado al mercado interno. La norma otorga un plazo de 90 días y se aplica tanto a terminales nuevos como a equipos ya presentes en la cadena de suministro, que deberán recibir la app mediante actualizaciones de software.
Sanchar Saathi: aplicación obligatoria de ciberseguridad móvil en India
Sanchar Saathi, desarrollada por el Departamento de Telecomunicaciones (DoT) de India, se presenta como una plataforma integral para combatir el ciberdelito vinculado a servicios de telecomunicaciones. Disponible para Android y iOS, su objetivo es facilitar a los ciudadanos la gestión de incidentes de seguridad relacionados con sus líneas móviles y dispositivos.
Entre sus funciones principales destacan:
- Reportar llamadas, SMS y mensajes de WhatsApp sospechosos, incluyendo intentos de phishing y estafas.
- Bloquear móviles perdidos o robados de forma remota a través de la infraestructura del operador.
- Verificar la autenticidad de un terminal mediante su número IMEI, detectando equipos con identificadores clonados o incluidos en listas negras.
- Marcar y bloquear llamadas internacionales que se hacen pasar por números locales, una táctica habitual en campañas de fraude.
Según datos oficiales indios, desde su lanzamiento en mayo de 2023, Sanchar Saathi ha permitido bloquear más de 4,2 millones de dispositivos perdidos y facilitar la recuperación de aproximadamente 724 000 smartphones por parte de sus legítimos propietarios. El servicio supera ya los 11,4 millones de instalaciones, reflejando un interés creciente por las herramientas de ciberseguridad móvil en el país.
Impacto en la ciberseguridad móvil: IMEI, mercado de robos y fraude telefónico
Control de IMEI duplicados y reducción del mercado de móviles robados
Una de las prioridades de Sanchar Saathi es combatir el uso de IMEI falsos o duplicados. El IMEI (International Mobile Equipment Identity) es un identificador único de cada dispositivo móvil que permite a los operadores localizar, bloquear y rastrear terminales implicados en delitos. Cuando varios dispositivos comparten el mismo IMEI, la trazabilidad se degrada y se dificulta el trabajo de las fuerzas de seguridad.
En India, la existencia de un amplio mercado de móviles robados o manipulados agrava este problema. Un comprador de segunda mano puede adquirir sin saberlo un terminal con IMEI clonado y verse implicado en investigaciones o bloqueos de red. Al permitir a cualquier usuario comprobar si un dispositivo está en una lista negra nacional, Sanchar Saathi pretende desincentivar la compraventa de terminales robados y hacer más transparente el mercado secundario.
Lucha contra el fraude telefónico y las campañas de ingeniería social
El fraude telefónico y las estafas a través de mensajería instantánea son una de las principales amenazas en la región Asia-Pacífico, según múltiples informes de organismos como la Unión Internacional de Telecomunicaciones (UIT). En este contexto, India busca reforzar la detección temprana de patrones maliciosos centralizando los reportes en una sola plataforma.
La posibilidad de denunciar y bloquear llamadas internacionales disfrazadas de locales aborda una de las técnicas favoritas de los ciberdelincuentes para obtener contraseñas de un solo uso, datos bancarios o información personal sensible. Al consolidar estas denuncias, los reguladores y operadores pueden correlacionar evidencias, identificar campañas a gran escala y activar medidas de mitigación más rápidas, como bloqueos a nivel de red.
Permisos amplios, privacidad de datos y tensión con los fabricantes
El principal foco de controversia reside en el amplio conjunto de permisos que solicita Sanchar Saathi. De acuerdo con su ficha en Google Play, la app accede a SMS, historial de llamadas, cámara, almacenamiento del dispositivo e identificadores del teléfono. Desde una perspectiva técnica, muchos de estos accesos pueden ser necesarios para bloquear equipos o analizar patrones de fraude, pero al mismo tiempo aumentan significativamente la superficie de riesgo para la privacidad.
La orden gubernamental exige a los fabricantes que la aplicación sea visible y accesible durante la configuración inicial del smartphone y que sus funciones esenciales no puedan deshabilitarse de forma sustancial. Paralelamente, el ministro de Comunicaciones Jyotiraditya Scindia ha afirmado públicamente que el uso de Sanchar Saathi es «totalmente voluntario» y que el usuario puede desinstalarla, una posición que los medios destacan como contradictoria respecto al texto de la directiva.
Según Reuters, Apple ya habría manifestado su intención de no cumplir con la exigencia de preinstalación, invocando su política uniforme de privacidad y seguridad para iOS en todos los países. Este desacuerdo anticipa un posible conflicto regulatorio y plantea una cuestión clave: hasta dónde pueden los Estados imponer la integración de aplicaciones de seguridad con privilegios elevados en ecosistemas cerrados y globales.
Desde una óptica de buenas prácticas de ciberseguridad y protección de datos, cualquier aplicación estatal preinstalada con permisos sensibles requiere máxima transparencia: políticas de tratamiento de datos detalladas y comprensibles, auditorías independientes, principios de minimización de datos, plazos claros de conservación y mecanismos sencillos para que el usuario ejerza control sobre su información.
Nuevas reglas para mensajería: vinculación estricta a la SIM y menos anonimato
La preinstalación de Sanchar Saathi se complementa con un segundo paquete regulatorio dirigido a servicios de mensajería como WhatsApp, Telegram, Signal, Snapchat, JioChat, Arattai y otras plataformas. El Gobierno indio exige ahora que estos servicios bloqueen el acceso cuando no haya una tarjeta SIM activa en el dispositivo y mantengan una vinculación continua entre cuenta y SIM en un periodo de 90 días desde la entrada en vigor de la norma.
Además, las versiones web de los mensajeros deberán limitar la duración de las sesiones a un máximo de seis horas, tras las cuales será obligatoria una nueva autenticación, por ejemplo, escaneando un código QR desde el móvil asociado. Las autoridades justifican esta medida como respuesta a esquemas de fraude donde los delincuentes verifican un número solo en el alta y continúan usando la cuenta tras retirar o desactivar la SIM.
Sin embargo, esta vinculación rígida reduce el grado de anonimato y flexibilidad en las comunicaciones. Colectivos como periodistas, defensores de derechos humanos o activistas, que dependen de canales discretos y, en ocasiones, desvinculados de su identidad física y su número de teléfono, podrían ver comprometida su capacidad de operar con seguridad.
En un entorno de regulación cada vez más estricta, los usuarios de smartphones en India deberían reforzar su higiene digital: revisar de forma sistemática los permisos concedidos a las aplicaciones, activar la autenticación multifactor, mantener el sistema operativo actualizado y seguir de cerca los cambios legales que afecten a la ciberseguridad y la privacidad. Para las empresas tecnológicas, estos desarrollos subrayan la necesidad de incorporar desde el diseño principios de privacidad por defecto, minimizar la recolección de datos y preparar evaluaciones de impacto que permitan cumplir la normativa sin erosionar la confianza de los usuarios.
