Incidentes Asociados
Ciudadanos norcoreanos se han infiltrado en empresas de todo el mundo con un nivel de organización más amplio y un acceso más profundo de lo que se creía, según declaró a CyberScoop la firma de gestión de riesgos internos DTEX.
Este enjambre de expertos técnicos norcoreanos no solo se infiltra en las empresas como trabajadores autónomos de TI ocasionales, sino que han conseguido empleos a tiempo completo como ingenieros y especialistas con diversas habilidades y el mayor acceso a los sistemas empresariales.
"Trabajamos con una muestra representativa de las organizaciones de la lista Fortune Global 2000, y actualmente tenemos investigaciones activas en curso con el 7% de nuestra base de clientes", declaró Mohan Koo, cofundador y presidente de DTEX, en una entrevista. DTEX tiene unos doscientos clientes y estima que miles de organizaciones de infraestructura crítica han sido infiltradas por agentes norcoreanos.
"Algunos de los puestos que estamos investigando, los infiltrados que estamos investigando ahora mismo, tienen las llaves del reino", afirmó Koo. Tienen derechos de acceso privilegiados. Pueden activar y desactivar el acceso para otros trabajadores. Pueden instalar y desinstalar software. Pueden escribir código.
La investigación en curso de DTEX indica que el esquema del régimen norcoreano, que ya lleva años en funcionamiento, va mucho más allá del trabajo por contrato y se extiende a funciones que van más allá del ámbito informático tradicional. Los Departamentos de Justicia y del Tesoro han emitido acusaciones formales y sancionado a personas y entidades presuntamente involucradas en el intento de Corea del Norte de enviar a miles de profesionales técnicos especializados fuera del país para conseguir trabajos independientes bajo falsas promesas y canalizar sus salarios a Pyongyang.
Múltiples cazadores de amenazas han observado un aumento repentino de la actividad de amenazas internas vinculadas a Corea del Norte. Adam Meyers, director de operaciones antiadversario de CrowdStrike, afirmó el mes pasado que una enorme cantidad de empresas han contratado, sin saberlo, a norcoreanos para puestos de desarrollo técnico.
Casi el 40 % de los casos de respuesta a incidentes en los que CrowdStrike trabajó el año pasado, relacionados con el grupo respaldado por el estado norcoreano, al que rastrea como Famous Chollima, fueron operaciones de amenazas internas. Las amenazas internas representaron el 5 % de los casos de respuesta a incidentes de la Unidad 42 de Palo Alto Networks el año pasado, y el número de casos vinculados a Corea del Norte se triplicó en 2024.
Con frecuencia, las organizaciones contratan, sin saberlo, a varios norcoreanos. "Normalmente no se trata de uno solo", declaró Rob Schuett, director de investigaciones de inteligencia interna en DTEX.
"Una sola vulneración es solo el principio", concluyó. Es como una plaga de insectos en casa. Ves un insecto y quizás puedas rociarlo con productos químicos para eliminarlo, o sacarlo al exterior. Sin embargo, sabes que en las paredes, grietas y hendiduras hay un problema mayor.
Cambios rápidos, saltos a otras redes
Una vez que se contrata a un norcoreano y comienza el proceso de incorporación, se apresura a infiltrarse aún más en la organización.
Se trasladan a entornos de infraestructura de escritorios virtuales, utilizando el acceso otorgado por una entidad para cambiar a un tercero, a menudo un socio de confianza.
"Eso abre toda la amenaza de infiltración en la cadena de suministro, y es un problema muy complejo", dijo Koo.
La investigación de DTEX sobre amenazas internas respaldadas por Corea del Norte llegó a una "conclusión alarmante", dijo Koo, una realidad impactante: el alcance de la vulneración conocida es generalizado y probablemente más frecuente de lo confirmado hasta ahora.
"Solo estamos detectando a los ingenuos, a los que cometen errores de seguridad operacional y se desplazan a lugares que desconocíamos que estaban infiltrados", dijo Schuett. Esto significa que los técnicos norcoreanos probablemente operan simultáneamente en docenas de organizaciones infiltradas, incluyendo aquellas en las que no trabajan.
Los ciudadanos norcoreanos también están instalando diversas herramientas de acceso remoto, aprobadas para su uso, que a menudo se integran en las actividades habituales de incorporación, cuando la mayoría de los empleados configuran y obtienen acceso inicial a los sistemas de trabajo.
"Utilizan una identidad y una persona específicas para conseguir empleo, y las habilidades de esa persona están específicamente diseñadas para conseguir empleo en la organización", dijo Koo. "Pero una vez que consiguen empleo, solo se trata de un derecho de acceso, y luego utilizan estas herramientas remotas para que los demás puedan realizar el trabajo".
Los norcoreanos hacen su trabajo mejor que la mayoría
La amenaza que representan los trabajadores técnicos norcoreanos destaca, en comparación con otras actividades respaldadas por estados-nación, porque realizan el trabajo por el que les pagan las empresas. "En algunos casos, hacen un mejor trabajo que la mayoría", afirmó Koo.
Con varias personas realizando tareas asignadas a una sola persona, con la ayuda de miles de expertos en cualquier campo, estos empleados pueden convertirse en estrellas de rock a ojos de su empleador. Para la organización, parece que su mejor empleado está realizando una cantidad de trabajo desmesurada.
Sin embargo, DTEX descubrió múltiples señales de alerta al comenzar a rastrear las actividades sospechosas de trabajadores norcoreanos en sus equipos de trabajo.
"Lo que observamos con el trabajador de la RPDC es completamente anómalo en comparación con todos los demás, lo que significa que se observa un tiempo de inicio de sesión extremadamente largo y luego no hay actividad de cierre de sesión", afirmó Schuett.
"Trabajan tiempos imposibles de soportar para un ser humano, así que pasan de cuatro a cinco días seguidos antes de que se cierre la sesión, si es que se ve alguna", dijo.
Este elevado e inimaginable nivel de productividad se debe a que los trabajadores norcoreanos abren sesiones remotas y comparten su escritorio con otros presuntos cómplices con habilidades especializadas similares. Los picos de actividad se atribuyen al periodo de cambio de turno, de un trabajador por turnos a otro, o cuando varias personas trabajan juntas, vigilándose mutuamente.
Si bien el tiempo promedio transcurrido entre el inicio y el cierre de sesión de los trabajadores norcoreanos o el desbloqueo y bloqueo de las máquinas es de seis a siete días, DTEX observó un caso de actividad incesante que se prolongó durante tres semanas.
Motivados económicamente por los salarios ahora, ¿pero qué sigue?
Por ahora, los trabajadores técnicos norcoreanos se centran en conseguir empleo, realizar esos trabajos y enviar el dinero que ganan a Pyongyang.
Los técnicos norcoreanos generan cientos de millones de dólares para el régimen norcoreano, según Unit 42.
El potencial de actividades posteriores, como espionaje, extorsión y ataques disruptivos a infraestructuras críticas, es considerable.
"Es ridículo que cualquiera de nosotros sea tan ingenuo como para pensar que eso es todo lo que van a hacer", declaró Koo. "Debemos estar atentos porque, en el momento en que decidan usar armas de otra manera, tendrán el acceso para hacerlo".
Si bien sigue siendo hipotético, Koo afirmó que es "inconcebible" pensar que los técnicos norcoreanos que trabajan para un número indeterminado de empresas en todo el mundo no instalen una puerta trasera, desconecten infraestructuras críticas o cometan algún otro sabotaje en algún momento.
"Solo se requiere el momento oportuno en el que tengan la motivación para hacerlo", afirmó.
Los profesionales de la seguridad reconocen que es difícil para las organizaciones identificar una posible amenaza interna en los solicitantes de empleo, pero no imposible.
Exigir a los candidatos a empleos remotos que aparezcan ante la cámara y muestren una identificación oficial es una buena práctica, pero no es infalible. Prestar atención a lo que hacen las personas ante la cámara —mirar hacia otro lado, posiblemente seguir las indicaciones de alguien que las ayuda durante la entrevista— puede proporcionar información valiosa, afirmó Schuett.
"Podemos ver a otras personas en la sala mientras ellos realizan una entrevista", dijo Schuett. "No sé ustedes, pero cuando solicito un trabajo, probablemente no lo hago en un Starbucks ni en ningún otro lugar público".
Otras posibles señales incluyen largas pausas e inconsistencias en los currículums de los candidatos, como la supuesta experiencia en tecnologías antes de que se desarrollaran y estuvieran ampliamente disponibles.
Los profesionales de recursos humanos y los reclutadores son la primera línea de defensa contra las amenazas internas norcoreanas. Pero si superan esa etapa y consiguen el empleo, las empresas aún pueden buscar idiosincrasias, como la falta de comunicación en reuniones, correos electrónicos o plataformas de colaboración, para detectar posibles problemas.
Los trabajadores técnicos norcoreanos "no preguntan cómo le fue a su hijo en el fútbol anoche", dijo Schuett. "No hablan del nuevo y genial restaurante que encontraron, porque no pueden".