TechCrunch se enteró de que dos altos funcionarios que trabajaban para la policía antiterrorista en Bangladesh supuestamente recopilaron y vendieron información personal y clasificada de ciudadanos a delincuentes en Telegram.
Los datos supuestamente vendidos incluían detalles de identidad nacional de los ciudadanos, registros de llamadas de teléfonos móviles y otra “información secreta clasificada”, según una carta firmada por un alto funcionario de inteligencia de Bangladesh, vista por TechCrunch.
La carta, fechada el 28 de abril, fue escrita por el general de brigada Mohammad Baker, director del Centro Nacional de Monitoreo de Telecomunicaciones de Bangladesh (NTMC), la agencia de escuchas electrónicas del país. Baker confirmó la legitimidad de la carta y su contenido en una entrevista con TechCrunch.
“La investigación departamental está en curso para ambos casos”, dijo Baker en un chat en línea, y agregó que el Ministerio del Interior de Bangladesh ordenó a las organizaciones policiales afectadas que tomaran las “medidas necesarias contra esos agentes”.
La carta, que fue escrita originalmente en bengalí y dirigida al secretario principal de la División de Seguridad Pública del Ministerio del Interior, alega que los dos agentes de policía accedieron y transmitieron “información extremadamente sensible” de ciudadanos privados en Telegram a cambio de dinero.
Según la carta, los agentes de policía fueron capturados después de que los investigadores analizaron los registros de los sistemas del NTMC y con qué frecuencia accedían a ellos.
La carta revela la identidad de los funcionarios. Uno de los acusados es un superintendente de policía que trabaja en la Unidad Antiterrorista (ATU). El otro es un superintendente adjunto de policía en el Batallón de Acción Rápida, también conocido como RAB 6, una controvertida unidad paramilitar que el gobierno de Estados Unidos sancionó en 2021 por acusaciones de que la unidad está vinculada a cientos de desapariciones y ejecuciones extrajudiciales. TechCrunch no nombra a las dos personas acusadas, ya que no está claro si han sido acusadas según el sistema legal del país.
El NTMC es una agencia de inteligencia gubernamental establecida bajo el Ministerio del Interior de Bangladesh. La tarea principal de la agencia es monitorear todo el tráfico de telecomunicaciones e interceptar comunicaciones telefónicas y web para detectar y prevenir amenazas a la seguridad nacional.
Organizaciones como Human Rights Watch y Freedom House han criticado al NTMC por carecer de salvaguardias contra abusos, tanto contra la libertad de expresión como contra la privacidad. A lo largo de los años, NTMC adquirió tecnología sofisticada de empresas de Israel, que Bangladesh no reconoce oficialmente, así como de otros países occidentales, para llevar a cabo una vigilancia masiva, en gran medida, de miembros de partidos de oposición, periodistas, miembros de la sociedad civil y activistas.
Como parte de su misión, el NTMC administra la Plataforma Nacional de Inteligencia, o NIP, un portal web interno del gobierno que contiene información clasificada de los ciudadanos, como detalles de identificación nacional, registro de teléfonos celulares y registros de datos celulares, perfiles criminales y otra información.
Varias agencias policiales y de inteligencia tienen cuentas de usuario en el portal NIP proporcionado por el NTMC.
La propia investigación de NTMC concluyó que los agentes utilizaban la plataforma NIP con más frecuencia que otros y accedían y recopilaban información que no era relevante para ellos.
“Teniendo en cuenta el contexto, dicho acceso irrelevante y entrega ilegal de datos clasificados extremadamente sensibles debe investigarse para identificar a todos los involucrados en esto y también solicitamos que se tomen las medidas adecuadas contra todos los identificados/involucrados”, decía la carta.
Baker le dijo a TechCrunch que había “varios canales de Telegram”, y agregó que uno de ellos se llamaba BD CYBER GANG.
TechCrunch no pudo identificar el canal específico en Telegram.
Contáctenos
¿Tiene más información sobre este incidente o incidentes similares? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico. También puede comunicarse con Zulkarnain Saer Khan en Signal al +36707723819 o en X @ZulkarnainSaer. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
Baker le dijo a TechCrunch que parece que los dos agentes enviaron la información al administrador de al menos un grupo de Telegram, quien luego intentó venderla.
Baker dijo que los dos agentes han sido notificados de la investigación.
Debido a la investigación, se suspendió el acceso a todos los usuarios de NIP de ATU y RAB 6 “hasta que se identifique a los funcionarios involucrados y se tomen las medidas adecuadas”, según la carta.
Baker confirmó el acceso suspendido y dijo que si los agentes “necesitan información con fines de investigación, pueden recopilarla a través de la policía y el cuartel general del RAB”.
Los portavoces del Ministerio del Interior de Bangladesh y ATU no respondieron a múltiples solicitudes de comentarios. Una persona que se identificó únicamente como “oficial de operaciones” en RAB 6 le dijo a TechCrunch que la agencia no tenía comentarios.
El año pasado, un investigador de seguridad descubrió que el NTMC estaba filtrando información personal de las personas en un servidor no seguro. Los datos filtrados incluían nombres, números de teléfono, direcciones de correo electrónico, ubicaciones y resultados de exámenes del mundo real, según Wired. Otra agencia gubernamental de Bangladesh, la Oficina del Registro General, Registro de Nacimientos y Defunciones, también filtró datos confidenciales de los ciudadanos el año pasado, como informó TechCrunch en ese momento.
En ambos casos, las filtraciones fueron encontradas por Viktor Markopoulos, investigador que trabaja en Bitcrack Cyber Security.
Si bien esos fueron casos importantes de exposición de datos, este incidente que supuestamente involucró a los agentes de ATU y RAB 6 es potencialmente más dañino, dado que los agentes supuestamente vendieron información en línea en un intento de sacar provecho de su acceso privilegiado a información personal clasificada.
Aunque el incidente está bajo investigación, una fuente bien ubicada dentro del gobierno le dijo a TechCrunch que todavía hay funcionarios que ofrecen vender datos de los ciudadanos.
