Como parte de las medidas enérgicas del gobierno contra el delito cibernético, India ha introducido nuevas reglas estrictas sobre el manejo de datos digitales por parte de los operadores de VPN en el territorio. Entre estas medidas, la directiva n° 20(3)/2022-CERT-In impone la retención de información personal a partir del 27 de junio de 2022. Considerando esta decisión como una invasión a la privacidad, los principales proveedores de VPN como Express VPN, y recientemente AIP formalizó su retiro del país.
Los principales proveedores de VPN se retiran de la India
El 28 de abril de 2022, el Equipo de Respuesta a Emergencias Informáticas (CERT-In) del Gobierno de la India publicó la nueva Política Operativa de VPN. La directiva implica el registro de una multitud de datos personales durante un período de al menos 5 años.
El fin de Internet Explorer trastorna a Japón
Para respaldar esto, el Ministro de Estado de Electrónica y Computación, Rajeev Chandrasekhar, ha emitido un aviso formal a los operadores que buscan eludir la ley. Según su declaración, las empresas con servidores físicos en India deben cumplir o abandonar India.
Desde entonces, las empresas de VPN activas en el territorio se han ido precipitando sucesivamente. NordVPN fue uno de los primeros en anunciar su salida. ” Nuestros servidores indios permanecerán hasta el 26 de junio de 2022. Para asegurarnos de que nuestros usuarios estén al tanto de esta decisión, enviaremos notificaciones con toda la información a través de la aplicación NordVPN a partir del 20 de junio. Como defensores de la privacidad y seguridad digital, nos preocupa el posible efecto que esta regulación pueda tener en los datos de las personas. “, confiesa entonces Laura Tyrylyte, jefa de relaciones públicas de la empresa.
Al mismo tiempo, Matt Fossen de Proton VPN afirma estar monitoreando la situación antes de especificar el compromiso de la compañía con una política de ” sin registro “. Otras empresas también han seguido su ejemplo, a saber, ExpressVPN, SurfShark, Hide.me y PIA (Acceso privado a Internet).
El contenido de la directiva N°20(3)/2022-CERT-In incluye una impresionante lista de medidas sobre el almacenamiento de datos de clientes.
El documento detalla la información a recopilar de la siguiente manera:
- Nombres validados de suscriptores/clientes que contratan los servicios
- Período de alquiler incluyendo fechas
- IP asignada a/usada por los miembros
- Dirección de correo electrónico, dirección IP y marca de tiempo utilizada en el momento del registro/incorporación
- Finalidad de la contratación de servicios
- Dirección validada y números de contacto
- Modelo de propiedad de los suscriptores/clientes que contratan servicios
A través de estas “precauciones”, el gobierno indio busca en particular fortalecer la seguridad digital ante el resurgimiento de los piratas, el envenenamiento de los medios y el lavado de dinero. Sin embargo, esta disposición distorsiona la función principal de una VPN que garantiza la privacidad. Así lo señaló Prateek Waghre, activista de una organización de derechos de los ciudadanos digitales en Delhi.
” Es cierto que existe una clara necesidad de mejorar la ciberseguridad […] Pero si exige la recopilación de datos a gran escala, todos están en riesgo, y el riesgo aumenta aún más para aquellos que ya están en riesgo, como activistas, periodistas, disidentes y minorías. “, el explica.