Incidentes Asociados
Un número creciente de las principales empresas tecnológicas del país han contratado a trabajadores remotos de tecnología de la información, solo para descubrir que estos empleados eran en realidad ciberoperadores norcoreanos.
¿Su objetivo? Aprovechar los altos salarios de los técnicos para canalizar millones de dólares a Pyongyang para su programa de armas.
Según los principales expertos en ciberseguridad del país, la estafa está más extendida de lo que se creía y recientemente ha afectado a muchas empresas de la lista Fortune 500. El problema se ve agravado por la falta de talento en seguridad de la información en EE. UU. y el auge del teletrabajo desde la pandemia.
A medida que estos operadores perfeccionan sus métodos utilizando sofisticadas herramientas de inteligencia artificial y cómplices estadounidenses, siguen surgiendo nuevos focos de estas estafas en todo Estados Unidos, para frustración de los directores de seguridad de la información y los ejecutivos tecnológicos de todo el mundo corporativo.
Si bien es difícil cuantificar cuántas empresas han sido blanco de esta estafa masiva, cada vez más líderes tecnológicos están hablando de sus experiencias, a medida que las fuerzas del orden continúan tomando medidas enérgicas y arrojando luz sobre cómo se lleva a cabo de forma encubierta esta operación experta.
"He hablado con muchos CISO de empresas de la lista Fortune 500, y casi todos con los que he hablado sobre el problema de los trabajadores de TI norcoreanos han admitido haber contratado al menos a un trabajador de TI norcoreano, si no a una docena o incluso a varias docenas", declaró Charles Carmakal, director de tecnología de Mandiant, de Google Cloud, durante una reciente rueda de prensa.
En casi una docena de entrevistas con los principales expertos en seguridad del sector cibernético, este prolífico esquema se citó como una amenaza importante, y muchos admitieron que sus empresas habían sido víctimas y estaban luchando por detener la propagación. Iain Mulholland, CISO de la nube de Google Cloud, declaró durante la misma rueda de prensa que Google había detectado a trabajadores de TI norcoreanos "en nuestra lista de candidatos", pero se negó a especificar si esto significaba que los solicitantes habían sido detectados en el proceso de selección o si realmente habían sido contratados.
La empresa de ciberseguridad SentinelOne es una de las empresas que han hecho pública su participación en el esquema. El mes pasado, publicó un informe que revelaba haber recibido alrededor de 1000 solicitudes de empleo (https://www.sentinelone.com/labs/top-tier-target-what-it-takes-to-defend-a-cybersecurity-company-from-todays-adversaries/) vinculadas al programa de trabajadores de TI de Corea del Norte. Brandon Wales, exdirector ejecutivo de la Agencia de Seguridad de Infraestructura y Ciberseguridad y actual vicepresidente de estrategia de ciberseguridad de SentinelOne, afirmó que la "escala y velocidad" con la que el gobierno norcoreano utilizó esta estrategia para recaudar fondos para su programa de armas no se había visto antes.
Según los expertos, la trama suele seguir un esquema similar: un agente norcoreano crea un perfil falso de LinkedIn haciéndose pasar por un solicitante de empleo estadounidense, a menudo utilizando información robada, como direcciones y números de la Seguridad Social de una persona real. A menudo, solicitan masivamente empleos bien remunerados o se ponen en contacto con reclutadores utilizando una identidad falsa. Una vez que llegan a la fase de entrevista, utilizan deepfakes generados por IA para simular y sonar como la persona que intentan suplantar, a menudo en tiempo real.
"Hay personas en todo el país que trabajan en desarrollo de software cuyas identidades están siendo utilizadas", declaró Alexander Leslie, analista de inteligencia de amenazas de la empresa de ciberseguridad Recorded Future. "Su información personal identificable ha sido robada: registros de la Seguridad Social, información de pasaportes, datos de identificación".
Tras ser contratados, estos agentes norcoreanos utilizan credenciales robadas para completar el proceso de incorporación y piden a los empleadores que envíen sus portátiles de trabajo a direcciones fachada en EE. UU., que a menudo son "granjas" de portátiles con docenas de dispositivos que unos pocos estadounidenses mantienen en funcionamiento a cambio de dinero.
"En algunos casos, tienen 90 de estos portátiles configurados y simplemente los conectan y mantienen encendidos", explicó Adam Meyers, vicepresidente sénior de operaciones anti-adversarios de la empresa de ciberseguridad CrowdStrike.
Señaló que su equipo ha estado rastreando el crecimiento de agentes norcoreanos que se infiltran en empresas estadounidenses desde 2022. CrowdStrike implementó un programa para rastrear posibles amenazas internas en diversas organizaciones y, en la primera semana, encontró 30 empresas víctimas del esquema. Estos esfuerzos se han intensificado desde principios de 2024, a medida que la tecnología de inteligencia artificial ha avanzado y los espías norcoreanos han sofisticado sus métodos.
Según un aviso publicado por el FBI, los departamentos de Estado y del Tesoro, cada trabajador puede ganar un promedio de hasta 300.000 dólares al año.
"Este dinero va directamente al programa de armas, y en ocasiones se ve que ese dinero va a parar a la familia Kim", añadió Meyers. "Hablamos de decenas de millones de dólares, si no cientos".
Las fuerzas del orden están prestando atención, aunque estos ciberataques se han generalizado y son más difíciles de detectar. En febrero, Christina Chapman, ciudadana estadounidense, se declaró culpable (https://www.justice.gov/usao-dc/pr/arizona-woman-pleads-guilty-fraud-scheme-illegally-generated-17-million-revenue-north) tras ser arrestada por colaborar con agentes norcoreanos durante tres años para robar identidades estadounidenses y gestionar una granja de computadoras portátiles para mantener la operación.
Solo este esquema en particular supuestamente generó más de 17 millones de dólares, que se canalizaron al gobierno norcoreano, e involucró a norcoreanos contratados en más de 300 empresas estadounidenses. A menudo, estos agentes desempeñan varios trabajos en diferentes empresas al mismo tiempo para maximizar sus ganancias y desarrollar aún más sus perfiles de TI.
"Nos resulta difícil determinar cuántas personas operan realmente estos perfiles, pero se estima que son miles", declaró Greg Schloemer, analista sénior de amenazas de Microsoft. "Así que es enorme y está en todas partes".
El Departamento de Justicia anunció acusaciones formales en enero contra dos estadounidenses por ayudar a dirigir una operación fraudulenta independiente durante seis años que permitió a agentes tecnológicos norcoreanos trabajar para más de 60 empresas estadounidenses y generar más de 800.000 dólares en ingresos.
Elizabeth Pelker, agente especial del FBI, declaró durante un panel en la reciente Conferencia RSA en San Francisco que, al contratar a un estafador, este puede proporcionar referencias de otros agentes. Algunas empresas han reportado hasta 10 estafadores en su nómina haciéndose pasar por trabajadores de TI.
Estos estafadores también han encontrado maneras de seguir extorsionando a estas empresas tecnológicas mucho después de haber sido descubiertos y despedidos. Una vez dentro de las redes de las empresas, suelen instalar software malicioso para acceder a datos o inteligencia confidencial, lo que obliga a las empresas a pagar enormes rescates.
"Esto es muy adaptable", dijo Pelker. "Incluso si [los hackers] saben que los van a despedir en algún momento, tienen una estrategia de salida que les permite obtener algún tipo de beneficio económico".
Si bien los esfuerzos del gobierno federal para detener estos esquemas a gran escala han tenido cierto éxito, los expertos afirman que procesar a los operadores de granjas de portátiles es clave para desmantelar el centro neurálgico de los estafadores.
"Si el FBI llama a esa puerta, esposa a esa persona y se lleva todos los portátiles, habrán perdido entre 10 y 15 empleos, y habrán perdido a una persona con la que ya habían invertido en esa relación", dijo Schloemer. "Así que sí, en cierto modo es una gota en el océano, pero también es bastante costoso para el estafador".
Los agentes norcoreanos se están expandiendo más allá de Estados Unidos. Meyers afirmó que CrowdStrike está rastreando esquemas similares de empleados de TI en el Reino Unido, Polonia, Rumania y otros países europeos, mientras que Leslie indicó que Recorded Future observa que la estafa se utiliza en organizaciones de países del sur de Asia.
Aun así, algunas empresas temen revelar que han contratado a trabajadores norcoreanos debido a las posibles ramificaciones legales de pagar a agentes de un gobierno sometido a fuertes sanciones económicas. Leslie afirmó que contratar a un trabajador norcoreano, incluso sin saberlo, expone a las empresas a importantes riesgos de cumplimiento normativo.
"Ese empleado de TI norcoreano tiene acceso a todo su software de desarrollo web, a todos los activos que han estado recopilando. Y luego ese empleado recibe su pago, lo canaliza de vuelta al estado norcoreano y, al mismo tiempo, realiza espionaje", dijo Leslie. "Esto supone un importante riesgo financiero y de cumplimiento normativo".
A menudo, las empresas afectadas por el esquema guardan silencio por vergüenza. Wales afirmó que SentinelOne ha sido abierto sobre su experiencia, en parte porque "no queremos que hablar de esto genere estigma".
"Es fundamental que todos sean abiertos y honestos, porque así es como abordaremos esto, dada la magnitud de lo que estamos enfrentando", declaró Wales.
CORRECCIÓN: Una versión anterior de este artículo tergiversó el impacto del programa de trabajadores de TI de Corea del Norte en SentinelOne. SentinelOne ha recibido numerosas solicitudes de empleo relacionadas con dicho programa, pero no ha contratado activamente a ninguno de estos trabajadores.