Dos altos funcionarios que trabajan en la policía anti-terrorista de Bangladesh presuntamente recopilaron y vendieron información clasificada y personal de ciudadanos a criminales en Telegram, según ha aprendido TechCrunch.
La información supuestamente vendida incluía detalles de identidad nacional de ciudadanos, registros de llamadas telefónicas y otra «información secreta clasificada», según una carta firmada por un alto funcionario de inteligencia bangladesí, vista por TechCrunch.
La carta, fechada el 28 de abril, fue escrita por el Brigadier General Mohammad Baker, quien sirve como director del Centro Nacional de Monitoreo de Telecomunicaciones de Bangladesh, o NTMC, la agencia de espionaje electrónico del país. Baker confirmó la legitimidad de la carta y su contenido en una entrevista con TechCrunch.
«La investigación departamental está en curso para ambos casos», dijo Baker en un chat en línea, agregando que el Ministerio de Asuntos Internos de Bangladesh ordenó a las organizaciones policiales afectadas que tomen «las medidas necesarias contra esos oficiales».
La carta, que fue originalmente escrita en bengalí y dirigida al secretario senior de la División de Seguridad Pública del Ministerio de Asuntos Internos, alega que los dos agentes de policía accedieron y pasaron «información extremadamente sensible» de ciudadanos privados en Telegram a cambio de dinero.
Según la carta, los agentes de policía fueron atrapados después de que los investigadores analizaron los registros de los sistemas del NTMC y con qué frecuencia los dos accedían a ellos. La carta revela la identidad de los oficiales. Uno de los acusados es un superintendente de policía que sirve en la Unidad Anti-Terrorista (ATU). El otro es un subcomisario asistente de policía en el Batallón de Acción Rápida, también conocido como RAB 6, una unidad paramilitar controvertida que el gobierno de EE. UU. sancionó en 2021 por acusaciones de que la unidad está vinculada con cientos de desapariciones y asesinatos extrajudiciales. TechCrunch no nombra a las dos personas acusadas, ya que no está claro si han sido acusadas bajo el sistema legal del país.
El NTMC es una agencia de inteligencia gubernamental establecida bajo el Ministerio de Asuntos Internos de Bangladesh. La tarea principal de la agencia es monitorear todo el tráfico de telecomunicaciones e interceptar comunicaciones telefónicas y web para detectar y prevenir amenazas a la seguridad nacional.
Organizaciones como Human Rights Watch y Freedom House han criticado al NTMC por carecer de salvaguardias contra abusos, tanto contra la libertad de expresión como la privacidad. A lo largo de los años, el NTMC adquirió tecnología sofisticada de empresas en Israel, que Bangladesh no reconoce oficialmente, así como de otros países occidentales, para llevar a cabo amplias operaciones de vigilancia principalmente en miembros de partidos de oposición, periodistas, miembros de la sociedad civil y activistas.
Como parte de su misión, el NTMC ejecuta la Plataforma Nacional de Inteligencia, o NIP, un portal web interno del gobierno que contiene información clasificada de ciudadanos, como detalles de identificación nacional, registro de teléfonos celulares y registros de datos de celulares, perfiles criminales y otra información.
Varias agencias de aplicación de la ley y de inteligencia tienen cuentas de usuario en el portal NIP proporcionadas por el NTMC. La propia investigación del NTMC concluyó que los agentes usaban la plataforma NIP con más frecuencia que otros, y accedían y recopilaban información que no les corresponde.
«Dadas las circunstancias, dicho acceso irrelevante y la entrega ilegal de datos clasificados extremadamente sensibles deben investigarse para identificar a todos los involucrados en esto y también solicitamos la acción adecuada contra todos los identificados / involucrados», dice la carta.
Baker le dijo a TechCrunch que había «varios canales de Telegram», agregando que uno de ellos se llamaba BD CYBER GANG.
TechCrunch no pudo identificar el canal específico en Telegram.
Baker dijo que aparentemente los dos agentes enviaron la información al administrador de al menos un grupo de Telegram, quien luego intentó venderla.
Baker dijo que los dos agentes han sido notificados de la investigación.
Debido a la investigación, se ha suspendido el acceso de todos los usuarios de NIP de la ATU y RAB 6 «hasta que se identifiquen a los funcionarios involucrados y se tomen las medidas adecuadas», según la carta.
Baker confirmó el acceso suspendido, diciendo que si los agentes «necesitan alguna información para fines de investigación, pueden obtenerla a través de la Policía y la RAB HQ».
Los portavoces del Ministerio de Asuntos Internos de Bangladesh y de ATU no respondieron a múltiples solicitudes de comentarios. Una persona identificada solo como «oficial de operaciones» en RAB 6 le dijo a TechCrunch que la agencia no tenía comentarios.
El año pasado, un investigador de seguridad descubrió que el NTMC estaba filtrando la información personal de las personas en un servidor no seguro. La información filtrada incluía nombres reales, números de teléfono, direcciones de correo electrónico, ubicaciones y resultados de exámenes, según Wired. Otra agencia gubernamental de Bangladesh, la Oficina del Registrador General, Registro de Nacimientos y Defunciones, también filtró datos sensibles de ciudadanos el año pasado, como informó TechCrunch en ese momento.
En ambos casos, las filtraciones fueron encontradas por Viktor Markopoulos, un investigador que trabaja en Bitcrack Cyber Security.
Si bien esos fueron casos significativos de exposición de datos, este incidente supuestamente involucrando a los agentes de la ATU y RAB 6 es potencialmente más perjudicial, dado que los agentes presuntamente vendieron información en línea en un intento de lucrar con su acceso privilegiado a información personal clasificada.
Aunque el incidente está bajo investigación, una fuente bien ubicada dentro del gobierno le dijo a TechCrunch que todavía hay funcionarios que ofrecen vender los datos de los ciudadanos.
En resumen, es fundamental que se tomen medidas enérgicas contra cualquier forma de corrupción y abuso de poder en organismos encargados de proteger a los ciudadanos. La privacidad y la seguridad de los datos de los ciudadanos son fundamentales y deben ser respetadas en todo momento.