Después de que las cuentas de WhatsApp de 121 indios fueron comprometidas por el spyware israelí Pegasus, los expertos advirtieron que la función de pago que la plataforma propiedad de Facebook planea lanzar en India puede poner en riesgo el sistema de banca digital. Se espera que WhatsApp Payments se implemente pronto para todos en India.
"El pago de WhatsApp debe verse con ojo microscópico, principalmente porque en el pago se tratará con datos personales confidenciales y la seguridad cibernética será un componente esencial para que WhatsApp demuestre su debida diligencia", dijo Pavan Duggal, uno de los mejores expertos en derecho cibernético de la nación, dijeron a IANS.
El Ministerio de Electrónica y Tecnología de la Información (MeitY) ya ha expresado su descontento por la forma en que WhatsApp se comunicó sobre las cuentas comprometidas.
La pieza de software del Grupo NSO llamada Pegasus supuestamente explotó el sistema de videollamadas de WhatsApp al instalar el spyware a través de llamadas perdidas para espiar a 1.400 usuarios en todo el mundo. Los dispositivos se vieron comprometidos con solo una videollamada de WhatsApp.
En mayo, WhatsApp, que tiene 400 millones de usuarios en India, instó a sus 1.500 millones de usuarios globales a actualizar la aplicación después de descubrir la vulnerabilidad.
"Las operaciones recientes de WhatsApp han demostrado que es difícil para el gobierno obtener información de ella. WhatsApp es un intermediario bajo la Ley de Tecnología de la Información y tiene el mandato de ejercer la debida diligencia bajo la ley. Pero no ha podido hacerlo", dijo Duggal. .
"No debe tener prisa para otorgar nuevas licencias o permisos a WhatsApp sin estar satisfecho con su adhesión a las normas de seguridad cibernética, las mejores prácticas internacionales y las leyes indias", dijo.
Se sabe que la compañía propiedad de Facebook respondió al cargo del gobierno de que no le informó sobre una violación de la privacidad en la plataforma de mensajería. WhatsApp ni siquiera cumplió con la ley de notificación de violación de datos en India, dijo Duggal.
"(WhatsApp) no siguió prácticas de seguridad razonables según lo dispuesto en la Sección 43A de la Ley de TI de 2000. De hecho, también incitó al delito de acceso no autorizado. La concesión de la licencia de pago de WhatsApp debería pensarlo dos veces. Reserve Bank of India ", dijo Prashant Mali, abogado cibernético en el Tribunal Superior de Bombay.
A la luz del reciente ataque, el gobierno, el RBI y la Corporación Nacional de Pagos de la India (NPCI) están evaluando el riesgo de permitir que las aplicaciones de redes sociales ingresen al ecosistema de pagos digitales.
"Con el gobierno, el RBI y el NPCI planeando evaluar los riesgos involucrados en realizar pagos a través de aplicaciones y servicios de redes sociales, la seguridad de la infraestructura de pago UPI en WhatsApp Pay se ha visto bajo una nube de vulnerabilidad", dijo Salman Waris. Socio Director en TechLegis Advocates & Solicitors, una firma de abogados.
El RBI reveló en una declaración jurada en la Corte Suprema anteriormente que WhatsApp no había cumplido con las normas de localización de datos. En una circular de abril de 2018, el RBI declaró que los datos del sistema bancario de pagos deben ubicarse físicamente en la India.
"La historia de WhatsApp ha demostrado que no coopera con el gobierno en el intercambio de información. Si la información financiera se ve comprometida, no solo tendrá un impacto en los usuarios, sino que también puede tener un impacto en la soberanía y seguridad de la India, "Duggal dijo.
El gobierno debe ir lento hasta el momento en que WhatsApp demostró el cumplimiento de la ley india y demostró que la plataforma era segura, dijo.
"Debido a que casi todos los usuarios de teléfonos en India usan WhatsApp, es aún más importante para el gobierno y el RBI garantizar que WhatsApp no solo cumpla con los parámetros de seguridad cibernética y las normas de localización de datos, sino también con la Ley de TI y las reglas y regulaciones a continuación.
"Si WhatsApp no cumple con las normas, reglas y regulaciones de localización de datos de la Ley de TI, entonces no se trata de otorgar un nuevo permiso", dijo Duggal.