Incidentes Asociados
SAN FRANCISCO --- Ciudadanos norcoreanos se han infiltrado en las filas de empleados de las principales empresas globales más de lo que se creía, lo que representa una amenaza generalizada y potencialmente creciente contra la infraestructura de TI y los datos confidenciales.
"Cientos de organizaciones de la lista Fortune 500 han contratado a estos trabajadores de TI norcoreanos", declaró el martes Charles Carmakal, director de tecnología de Mandiant Consulting, durante una rueda de prensa en la Conferencia RSAC 2025.
"Literalmente, todas las empresas de la lista Fortune 500 tienen al menos docenas, si no cientos, de solicitudes para trabajadores de TI norcoreanos", añadió Carmakal. "Casi todos los CISO con los que he hablado sobre el problema de los trabajadores de TI norcoreanos han admitido haber contratado al menos a un trabajador de TI norcoreano, si no a una docena o varias docenas".
Google, que ocupa el octavo lugar en la lista anual de las principales empresas globales por ingresos, también se ve afectada por esta amenaza generalizada.
Se han detectado técnicos norcoreanos en la cartera de talento de Google como candidatos y solicitantes de empleo, pero ninguno ha sido contratado por la compañía hasta la fecha, según Iain Mulholland, director sénior de ingeniería de seguridad de Google Cloud.
Cazadores de amenazas, empresas de gestión de riesgos internos y analistas de seguridad siguen alertando sobre la incorporación de ciudadanos norcoreanos a grandes corporaciones, lo que pone de relieve el amplio ecosistema de herramientas, infraestructura y talento especializado que el régimen norcoreano ha establecido para este fin.
Las últimas advertencias e información de Mandiant y Google constituyen una escalada de esta amenaza. La empresa de gestión de riesgos internos DTEX informó recientemente a CyberScoop que el 7 % de su base de clientes, que representa una muestra representativa de las empresas de la lista Fortune 2000, ha sido infiltrada por agentes norcoreanos que trabajan como empleados a tiempo completo con acceso privilegiado (https://cyberscoop.com/north-korea-technical-workers-full-time-jobs/).
El riesgo de que ciudadanos norcoreanos trabajen para cualquier gran organización ha pasado de ser una posibilidad a una simple suposición. "Si no lo ven, es porque no lo detectan, no porque no les esté sucediendo", afirmó Mulholland.
"La forma en que los hemos visto colocar a trabajadores de TI en empresas de la lista Fortune 500 ha sido asombrosa", afirmó Sandra Joyce, vicepresidenta de Inteligencia de Amenazas de Google.
Por ahora, este grupo de norcoreanos especializados se gana principalmente la vida con su trabajo y envía sus salarios a Pyongyang.
Carmakal comentó que este esquema le desconcertó hace unos años, ya que parecía ser una cantidad relativamente pequeña de dinero en juego. Pero el dinero ganado por el régimen norcoreano se ha acumulado con el tiempo y ahora tiene el potencial de generar ingresos sustanciales.
Mil trabajadores de TI que ganan salarios de seis cifras, que se canalizan al gobierno norcoreano, ascienden a 100 millones de dólares al año, y muchos de estos agentes desempeñan varios trabajos en diferentes organizaciones simultáneamente, afirmó Carmakal.
"La mayor parte de esta actividad suele ser para recaudar fondos", afirmó John Hultquist, analista jefe de Google Threat Intelligence Group.
Sin embargo, a medida que más agentes norcoreanos consiguen empleo en puestos técnicos, la amenaza potencial que representa su acceso a sistemas críticos ha aumentado.
"Cuando empiezan a ser erradicados, puede resultar perjudicial y luego empezar a causar problemas", afirmó Hultquist. "Ya hemos visto evidencia de que lo hacen, especialmente cuando sus empleos se ven prácticamente amenazados".
La presión se traduce en pérdida de salarios. Muchas empresas ahora son conscientes de la amenaza que representan los trabajadores de TI norcoreanos, y las compañías los están detectando y eliminando de sus sistemas con mayor rapidez.
Mandiant observó un cambio en la actividad hace unos seis meses, cuando Corea del Norte modificó sus tácticas y comenzó a extorsionar a las empresas para compensar los salarios perdidos por los empleados desenmascarados.
Estos escenarios de extorsión, que representan "un porcentaje muy pequeño de los casos", adoptaron diversas formas, afirmó Carmakal. Exempleados se pusieron en contacto con sus supervisores, amenazando con filtrar datos a los que tuvieron acceso durante su tiempo de empleo si la empresa no les pagaba su bono de contratación o el último mes de salario.
En otros casos, nuevas personas enviaron correos electrónicos a las organizaciones víctimas haciéndose pasar por un actor de amenazas que había irrumpido en su red y robado datos.
"Al analizar la muestra de datos que tomaron, pudimos vincularla con una investigación que realizamos seis meses antes y descubrimos que esos eran exactamente los datos que un presunto trabajador de TI norcoreano había tomado de la empresa como parte de su empleo", declaró Carmakal. "Nos preocupa la posibilidad de que, en algún momento, estos actores que han utilizado datos como parte de su trabajo los publiquen en internet", declaró Carmakal. "Aún no lo hemos visto, pero ese es el temor que tienen la mayoría de estas organizaciones hoy en día".
Los daños podrían presentarse de formas aún más desestabilizadoras, incluyendo la interrupción total de servicios o infraestructuras críticas.
Mandiant ha visto a la Oficina General de Reconocimiento de Corea del Norte, vinculada a ataques destructivos y disruptivos previos, utilizando las mismas direcciones IP que los trabajadores de TI norcoreanos, afirmó Hultquist.
"Existen varias conexiones técnicas allí, por lo que creo que es una amenaza muy real", afirmó. "Dondequiera que lleguen, son básicamente internos. Así que pueden entregar la información fácilmente a los servicios de inteligencia, si no están monitoreando literalmente todo lo que hicieron, lo cual creo que también es muy posible".