El auge del trabajo remoto ha abierto una nueva vía para el espionaje digital. Falsos informáticos norcoreanos están logrando empleos a distancia en empresas occidentales, advierte ESET, compañía líder en detección proactiva de amenazas.
El caso más reciente comenzó en julio de 2024, cuando la firma de ciberseguridad KnowBe4 detectó actividad sospechosa de un nuevo empleado que manipulaba archivos y ejecutaba software no autorizado. Tras una investigación, se descubrió que el trabajador era en realidad un ciudadano norcoreano que había engañado al equipo de recursos humanos y superado cuatro entrevistas por videoconferencia, además de verificaciones de antecedentes.
“Las amenazas basadas en la identidad no se limitan al robo de contraseñas o cuentas. Ahora alcanzan a quienes se incorporan a las organizaciones”, explicó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. “A medida que la inteligencia artificial facilita falsificaciones más realistas, es urgente reforzar los procesos de contratación”.
Una amenaza global en expansión
Según ESET Research, esta práctica —identificada como WageMole— se remonta al menos a 2017 y fue confirmada por una alerta del FBI. De acuerdo con Microsoft, más de 300 empresas, incluidas algunas del índice Fortune 500, fueron víctimas de estas infiltraciones entre 2020 y 2022. En junio pasado, la tecnológica suspendió 3.000 cuentas de Outlook y Hotmail creadas por solicitantes norcoreanos.
Las autoridades estadounidenses también han imputado a dos ciudadanos norcoreanos y tres intermediarios por haber obtenido más de 860.000 dólares en diez de las más de 60 empresas afectadas. ESET advierte que el foco de los ataques se ha desplazado hacia Europa, con casos detectados en Francia, Polonia y Ucrania, mientras que Google alerta sobre intentos dirigidos a empresas del Reino Unido.
Cómo logran infiltrarse
Los estafadores crean o roban identidades digitales de trabajadores que coinciden con la ubicación de la empresa objetivo. Con esas identidades abren correos electrónicos, perfiles en redes sociales y cuentas en plataformas de desarrolladores como GitHub para dar credibilidad a sus perfiles.
Durante el proceso de contratación, utilizan deepfakes, software de intercambio de rostros o de voz, e incluso imágenes sintéticas para ocultar su verdadera identidad. En algunos casos, los “facilitadores” extranjeros ayudan a validar las identidades falsas, abrir cuentas bancarias y adquirir números de teléfono locales.
Una vez contratados, los falsos empleados reciben el portátil corporativo, que instalan en una “granja de portátiles” ubicada en el país de la empresa contratante. Desde allí, el trabajador norcoreano accede de forma remota mediante VPN, servidores privados virtuales (VPS) y herramientas de administración remota, ocultando su ubicación real.
“Las consecuencias pueden ser graves. Las empresas pagan sin saberlo a trabajadores de un país sancionado y les otorgan acceso a sistemas críticos”, señala Gutiérrez Amaya. “Eso abre la puerta al robo de información sensible o incluso a intentos de extorsión”.
Cómo prevenir la infiltración
ESET recomienda fortalecer las prácticas de contratación y vigilancia interna:
Durante el proceso de selección
Verificar los perfiles digitales y las redes sociales del candidato.
Revisar que la experiencia laboral coincida con la información pública disponible.
Confirmar que los números telefónicos sean legítimos y las empresas mencionadas existan.
Realizar entrevistas por videollamada y repetirlas en diferentes etapas del proceso.
Desconfiar de candidatos que alegan fallas de cámara o usan filtros de fondo.
Durante la relación laboral
Detectar comportamientos inusuales, como inicios de sesión desde IP extranjeras o la instalación de software remoto sin autorización.
Supervisar transferencias de archivos de gran tamaño y accesos fuera del horario laboral.
Utilizar herramientas de detección de amenazas internas y correlacionar alertas con el contexto del trabajo.
Si se sospecha de un infiltrado
Actuar con cautela y restringir el acceso del sospechoso a información sensible.
Revisar la actividad de red y conservar pruebas antes de notificar a las autoridades.
Limitar la investigación a un grupo de confianza entre los equipos de seguridad, recursos humanos y jurídico.
Finalmente, ESET recomienda actualizar los programas de formación en ciberseguridad y capacitar especialmente al personal de recursos humanos y tecnología en la detección de señales de alerta. “Las tácticas de los atacantes evolucionan constantemente; los controles técnicos deben acompañarse de la observación humana”, concluye Gutiérrez Amaya.
