Espionaje norcoreano infiltra empresas con empleados falsos

El régimen de Kim Jong-un ha perfeccionado una nueva modalidad de guerra cibernética que amenaza directamente la seguridad empresarial occidental: la infiltración de organizaciones criminales norcoreanas mediante trabajadores remotos falsos que utilizan tecnología deepfake para engañar a los departamentos de recursos humanos.

El caso KnowBe4: cuando la amenaza se materializa

En julio de 2024, la empresa de ciberseguridad KnowBe4 detectó actividad sospechosa de un nuevo empleado que manipulaba archivos confidenciales e intentaba ejecutar software no autorizado. La investigación reveló que se trataba de un trabajador norcoreano que había superado cuatro entrevistas por videoconferencia y todas las verificaciones de antecedentes.

Este caso ilustra la sofisticación alcanzada por las operaciones de inteligencia del régimen comunista, que combina recursos estatales con técnicas criminales para penetrar empresas occidentales.

Dimensión del problema: 300 empresas infiltradas

Según datos de Microsoft, el gobierno estadounidense identificó más de 300 empresas víctimas de estos ataques entre 2020 y 2022, incluyendo compañías del Fortune 500. La magnitud del problema obligó a Microsoft a suspender 3.000 cuentas de Outlook y Hotmail creadas por solicitantes norcoreanos.

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, advierte que "las amenazas basadas en la identidad se extienden a las personas que se incorporan a la plantilla. A medida que la IA mejora en la falsificación de la realidad, es momento de fortalecer los procesos de contratación".

Expansión hacia Europa y nuevas técnicas

Los investigadores de ESET confirman que el foco se ha desplazado hacia Europa, incluyendo Francia, Polonia y Ucrania. Google ha alertado que las empresas británicas también están bajo amenaza directa.

Los estafadores han perfeccionado sus métodos:

• Creación de identidades sintéticas que coinciden con la ubicación objetivo
• Perfiles falsos en redes sociales y plataformas como GitHub
• Uso de deepfakes y software de intercambio de caras durante entrevistas
• Facilitadores extranjeros que reciben equipos corporativos y los instalan en granjas de laptops

El grupo WageMole y la operación DeceptiveDevelopment

Los investigadores han identificado al grupo WageMole, vinculado a la campaña DeceptiveDevelopment, que engaña a desarrolladores occidentales ofreciendo trabajos inexistentes. Los estafadores solicitan participación en desafíos de codificación que contienen código troyanizado para robar identidades de desarrolladores legítimos.

Impacto económico y de seguridad nacional

"El impacto en las organizaciones engañadas podría ser enorme", destaca el investigador de ESET. "No solo están pagando involuntariamente a trabajadores de un país fuertemente sancionado, sino que estos empleados obtienen acceso privilegiado a sistemas críticos. Es una invitación abierta al robo de datos confidenciales o extorsión empresarial".

Protocolo de detección y protección empresarial

ESET recomienda un protocolo integral de verificación:

Verificación digital exhaustiva

• Análisis de perfiles en redes sociales y cuentas online
• Detección de múltiples perfiles falsos con nombres diferentes
• Verificación de repositorios de código y antigüedad de cuentas

Proceso de entrevistas reforzado

• Múltiples entrevistas por videollamada obligatorias
• Desactivación de filtros de fondo para detectar deepfakes
• Preguntas específicas sobre cultura y ubicación local

Monitoreo técnico continuo

• Vigilancia de números telefónicos chinos o direcciones IP sospechosas
• Control de descargas inmediatas de software RMM
• Análisis de patrones de trabajo fuera del horario normal

Respuesta institucional ante la amenaza

Si se identifica un trabajador falso, ESET recomienda actuar con cautela para no alertar al infiltrado, limitar su acceso a recursos sensibles y coordinar con un equipo reducido de seguridad informática, recursos humanos y asesoría jurídica.

"Los mejores métodos combinan conocimientos humanos y controles técnicos. Las tácticas de los actores de amenazas evolucionan constantemente, por lo que estos protocolos deben actualizarse periódicamente", concluye Gutiérrez Amaya.

Esta nueva modalidad de guerra híbrida exige una respuesta coordinada entre el sector privado y las autoridades de seguridad nacional para proteger la infraestructura crítica empresarial occidental.