En abril de 2022, el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) introdujo pautas de seguridad cibernética en un esfuerzo por contrarrestar los ataques cibernéticos y fortalecer la seguridad en línea. Las nuevas reglas exigirían que los servicios de VPN y otros proveedores de servicios en la nube mantengan todos los datos de los clientes y las transacciones de TIC durante cinco años.
La industria de VPN ha denunciado las nuevas directivas, diciendo que leyes tan estrictas van en contra del propósito básico y la política de las Redes Privadas Virtuales. Varios proveedores de VPN han eliminado sus servidores indios físicos.
¿Cuáles son estas nuevas reglas? ¿Y hay una solución?
¿Qué significan las nuevas reglas de privacidad para los proveedores de VPN?
Según las nuevas instrucciones, los proveedores de servicios deben mantener un registro de la información de los clientes durante cinco años o más y entregarlo al gobierno cuando lo solicite.
Las reglas se aplican a las VPN de consumo ; las VPN corporativas o empresariales no entran en esta categoría.
Las nuevas regulaciones, una vez implementadas, significarían que cualquier VPN de consumo con servidores físicos en India se vería obligada a almacenar los registros de los clientes, incluidos:
- Nombre completo y dirección.
- Número de teléfono.
- Dirección de correo electrónico.
- Dirección IP real.
- Nueva dirección IP (emitida por la VPN).
- Marca de tiempo de registro.
- Patrón de propiedad de los clientes.
- Propósito de usar la VPN.
Los servicios de VPN también están obligados a mantener registros de los usuarios incluso después de que hayan cancelado el servicio. Estas reglas no solo violan la privacidad de los usuarios; también son incompatibles con la forma en que funcionan la mayoría de las VPN. Además de las estrictas políticas de no registros , la configuración del hardware hace que sea imposible que algunos proveedores de VPN registren datos.
ExpressVPN, PIA y Surfshark, por ejemplo, operan servidores basados en RAM que usan módulos RAM volátiles en lugar de discos duros tradicionales. Una vez que se corta la alimentación de los servidores, se pierden todos los datos.
Inicialmente, se esperaba que las nuevas reglas entraran en vigencia dentro de los 60 días posteriores a su anuncio, es decir, el 27 de julio. Pero según una actualización de CERT-In, la fecha límite se extendió por tres meses hasta el 25 de septiembre de 2022.
La extensión brindará a los proveedores de servicios en la nube y a las pymes el tiempo necesario para desarrollar la capacidad de implementar nuevas direcciones. El incumplimiento de estos podría conducir al encarcelamiento u otras acciones punitivas.
¿Cómo reaccionó la industria de la ciberseguridad a las reglas de privacidad de la India?
La Internet Freedom Foundation (IFF) emitió un comunicado llamando a esta ley una violación de la privacidad y la seguridad de la información de los usuarios.
Los proveedores de servicios de VPN, en particular, están en contra de las pautas, ya que van en contra de los principios básicos de las VPN, que es mantener la privacidad de la actividad de los usuarios.
ExpressVPN fue el primero en trasladar sus servidores fuera de la India. Describió las reglas como "amplias" y "excesivas" y sostuvo que el mal uso potencial de tal ley supera con creces los beneficios.
NordVPN también confirmó que está terminando los servidores indios en respuesta a la directiva de seguridad cibernética del país.
Varios otros proveedores de servicios VPN están considerando la misma ruta si la ley de privacidad se implementa en su forma actual, incluidos:
- Protón VPN.
- ciberfantasma.
- Escondeme.
- VPN pura.
- Privado.
A pesar de esto, algunas VPN aún ofrecen una forma de obtener una dirección IP india utilizando servidores virtuales.
¿Son seguros de usar los servidores virtuales?
Si es un usuario consciente de la privacidad y necesita desbloquear contenido indio, existe una solución alternativa en forma de servidores virtuales. No es lo ideal, pero sigue siendo la siguiente mejor opción.
Un servidor virtual es una representación basada en software de un servidor físico dedicado. Recrea la funcionalidad pero carece de la maquinaria subyacente de un servidor físico. Los administradores de red utilizan software de virtualización para dividir un servidor físico en varios servidores virtuales.
Las VPN como Surfshark y ExpressVPN usan servidores virtuales para ayudar a los usuarios a desbloquear contenido indio. Estos servidores están ubicados físicamente en el Reino Unido y Singapur, pero usan un rango de direcciones IP indias que hacen que parezca que estás navegando por la web desde India.
Dado que los servidores virtuales no están ubicados físicamente en India, las nuevas leyes de retención de datos no se aplican a ellos. Todavía disfruta de la política normal de cero registros, con algunos inconvenientes menores. Estos incluyen el acaparamiento de recursos y problemas de bajo rendimiento. Esto suele suceder cuando una sola máquina física alberga varios servidores virtuales, algunos de los cuales pueden comenzar a usar recursos en exceso.
El segundo inconveniente se relaciona con su disponibilidad. No todos los servicios VPN ofrecen servidores virtuales; los que lo hacen, por lo general sufren retrasos y velocidades de conexión lentas. Sin embargo, es posible que vea velocidades más rápidas si se conecta desde un país en el que se encuentra.
¿Qué significa esto para los usuarios de VPN?
Dado que las principales empresas de VPN finalizan sus servidores en la India, los usuarios están preocupados por cómo utilizarán los servicios de VPN. Muchas VPN han comenzado a proporcionar servidores virtuales para satisfacer sus necesidades.
Hasta el momento, no conocemos ninguna empresa de VPN que haya aceptado las leyes de retención de datos. Pero si usa una VPN y ve un servidor indio en la lista de países, vale la pena consultar con la compañía por su propia privacidad.