Problema 5379

Un experto en ciberamenazas ofrece un consejo poco convencional a los responsables de contratación que entrevistan a trabajadores de TI remotos: evaluar la disposición de los candidatos a insultar al autoritario líder supremo de Corea del Norte.

"Mi pregunta favorita es algo como '¿Cuánto peso tiene Kim Jong-un?'", declaró Adam Meyers, vicepresidente sénior de operaciones antiadversas de CrowdStrike, durante una mesa redonda en la Conferencia RSAC 2025. Añadió que ha visto cómo esta pregunta ha provocado que muchos candidatos cuelguen el teléfono. La razón: eran ciudadanos norcoreanos que se hacían pasar por estadounidenses, con el objetivo de evadir sanciones y ganar dinero para la República Popular Democrática de Corea (RPDC). "No merece la pena que digan algo negativo sobre el líder geopolítico de allí", afirmó Meyers.

Según el Departamento del Tesoro de Estados Unidos, miles de trabajadores informáticos cualificados de Corea del Norte utilizan identidades robadas para realizar trabajos remotos bien remunerados en empresas occidentales, lo que genera ingresos ilegales para el régimen de Kim Jong-un. Los expertos estiman que la RPDC recibe cientos de millones de dólares al año del esquema de trabajadores informáticos falsos, lo que financia directamente el programa de armas ilegales del país. Durante el panel del RSAC, expertos en seguridad del FBI y del sector privado informaron a los asistentes sobre la amenaza actual, así como sobre las estrategias que las organizaciones pueden utilizar para evitar la contratación de agentes norcoreanos y descubrir a los que ya están en sus filas.

Generalmente, los trabajadores remotos de la RPDC buscan empleos de ingenieros de software, desarrolladores front-end y desarrolladores full-stack, según Elizabeth Pelker, agente especial del FBI. Ciudadanos norcoreanos han conseguido empleo remoto con éxito en empresas de la lista Fortune 500, incluyendo una cadena minorista de alta gama, un importante fabricante de automóviles estadounidense, una importante empresa tecnológica de Silicon Valley, una de las cinco principales empresas de medios de comunicación nacionales y un fabricante aeroespacial y de defensa, según el Departamento de Justicia de EE. UU..

Los equipos más pequeños también se han visto en la mira. Greg Schloemer, analista sénior de inteligencia de amenazas de Microsoft, afirmó haber visto cómo organizaciones con tan solo cinco empleados contrataban sin querer a trabajadores de TI remotos norcoreanos. "Puede que exista la idea errónea de que las organizaciones más grandes son particularmente vulnerables, pero cualquier organización es un objetivo", afirmó.

Para los trabajadores de TI norcoreanos, la búsqueda de empleo comienza como para la mayoría: en las redes sociales. Equipos de agentes, a menudo residentes en Rusia o China, utilizan identidades robadas e IA generativa (GenAI) para crear perfiles falsos de LinkedIn. Posteriormente, buscan oportunidades de empleo en plataformas como LinkedIn, Indeed, Craigslist y plataformas de contratación externas.

Se trata de una red altamente sofisticada, y quienes participan en las entrevistas están altamente capacitados. Es muy difícil identificarlos.

Chris Horne, Director sénior de inteligencia e investigaciones de confianza y seguridad, Upwork

En ocasiones, un candidato puede cometer un desliz durante una entrevista; por ejemplo, al permitir que el responsable de contratación vea una aplicación de traducción de idiomas mientras comparte la pantalla. Pero no cuente con ello, advirtió Chris Horne, director sénior de inteligencia e investigaciones de confianza y seguridad de la plataforma de contratación freelance Upwork.

"Se trata de una red altamente sofisticada, y quienes participan en las entrevistas están altamente capacitados", afirmó Horne. Es muy difícil identificarlos. Las mejoras en GenAI y los deepfakes en tiempo real están agravando rápidamente un problema grave, añadió.

Una vez que un trabajador de la RPDC consigue un trabajo, suele pedirle a su nuevo empleador que envíe su equipo corporativo a una dirección distinta a la que figura en su solicitud, a menudo alegando una emergencia familiar u otra razón plausible para el cambio de ubicación. La dirección secundaria alberga un almacén de portátiles, donde un residente estadounidense que trabaja para la RPDC mantiene y gestiona una flota de dispositivos, junto con tecnología que proporciona acceso remoto a los trabajadores de TI norcoreanos.

Meyers afirmó que el equipo de contraataque de CrowdStrike descubrió inicialmente la actividad de la RPDC en los entornos de sus clientes en 2024, cuando observaron la aparición de grupos de KVM en la plataforma Falcon XDR de CrowdStrike. Un KVM (que significa teclado, video (monitor) y mouse) permite al usuario controlar varias computadoras desde una sola consola. CrowdStrike compartió la información con el FBI y pronto confirmó la actividad interna maliciosa relacionada con la RPDC en más de 150 organizaciones de clientes, con robo de datos en la mitad de esos casos.

"Las notificaciones a los clientes fueron muy numerosas, como: 'Tienen un desarrollador senior en su entorno que es un infiltrado malicioso'", dijo Meyers. "Resultó que, al hablar con las víctimas, todas eran realmente positivas".

Desde entonces, CrowdStrike ha seguido detectando actividad interna maliciosa en los entornos de sus clientes. Durante los tres meses previos al panel del RSAC, Meyers afirmó que su equipo descubrió a más de 90 trabajadores de TI norcoreanos haciéndose pasar por ciudadanos estadounidenses.

Si logran mantener su identidad encubierta, los agentes de la RPDC podrían continuar trabajando en empresas occidentales durante muchos meses, afirmó Meyers. Sin embargo, tras su despido, suelen dejar malware o llevarse consigo datos extraídos.

"Esta amenaza es muy adaptable", afirmó Pelker, del FBI. "Incluso si saben que los van a despedir en algún momento, tienen una estrategia de salida y un plan para obtener mayores ganancias económicas".

Pelker comentó que ha visto casos de exfiltración de datos que se han producido de forma lenta y constante a lo largo de un empleo a largo plazo. "Piensen en el peor de los casos: la exfiltración de código propietario de IA", afirmó. "Y luego, cuando los despiden, vemos que se produce la extorsión de datos".

Los panelistas instaron a los empleadores a estar alerta ante las siguientes señales de alerta, que podrían indicar actividad interna maliciosa por parte de trabajadores de TI norcoreanos:

1. Cambios de última hora en las direcciones de entrega. Si un nuevo empleado solicita recibir equipos corporativos en una dirección distinta a la que figura en la documentación oficial de empleo, esa ubicación podría ser una granja de portátiles.

2. Problemas de asistencia a reuniones. Un agente de la RPDC podría justificar con frecuencia su ausencia, especialmente con poca antelación.

3. Ruido de fondo durante las llamadas. Dado que los trabajadores de TI norcoreanos trabajan en equipo, podría parecer que trabajan en un centro de llamadas en lugar de en una oficina en casa.

4. Conexión a internet lenta. Los empleados que trabajan en secreto fuera de EE. UU. podrían tener una conexión a internet inusualmente lenta.

5. Uso de VPN. Los trabajadores remotos norcoreanos a veces utilizan servicios de VPN para ocultar su geolocalización. 6. Uso de KVM o herramientas de monitorización y gestión remotas. En el mejor de los casos, el uso no autorizado de KVM y herramientas RMM expone a la organización a vectores de amenaza adicionales. En el peor de los casos, indica actividad ilícita.

6. Problemas de rendimiento. Los trabajadores de la RPDC podrían tener problemas de rendimiento laboral si, por ejemplo, desempeñan múltiples funciones simultáneamente para maximizar los ingresos del régimen. Sin embargo, Pelker advirtió que el FBI también ha visto casos en los que los empleados norcoreanos eran los miembros con mayor rendimiento de sus equipos.

7. Configuración de idioma inesperada en los dispositivos. La configuración multilingüe, por ejemplo, coreano en el dispositivo de un usuario que afirma hablar solo inglés y chino, debería ser motivo de alarma.

Los ciberoperativos norcoreanos adaptan constantemente sus estrategias para superar a los defensores, advirtieron el FBI y expertos en seguridad del sector privado, lo que dificulta combatir la amenaza del teletrabajo. Las organizaciones deben ser ágiles en sus esfuerzos de detección y respuesta. Los expertos aconsejaron comenzar con las siguientes estrategias de mitigación:

• Supervisar las pruebas de habilidades. Pelker sugirió exigir a los candidatos que completen cualquier prueba de habilidades técnicas en el entorno de TI corporativo. Buscar anomalías en la actividad digital de los solicitantes, como direcciones IP inesperadas, configuraciones de idioma múltiples y cambios excesivos de pantalla.
• Buscar visibilidad en los procesos de reclutamiento. Según Schloemer de Microsoft, las empresas de contratación externas representan uno de los principales vectores de ataque para los trabajadores de TI norcoreanos que buscan empleo remoto. Las organizaciones que trabajan con reclutadores externos deben compartir sus preocupaciones sobre el personal interno malicioso y solicitar información sobre cómo las empresas externas encuentran y evalúan el talento.
• Capacitar y capacitar al personal. Todos los empleados, pero especialmente los gerentes de contratación de primera línea, el personal de RR. HH. y los investigadores de ciberamenazas, deben comprender la amenaza de la RPDC, qué buscar y cómo reportar inquietudes. Las señales de actividad interna maliciosa rara vez son obvias y, a menudo, parecen insignificantes por sí solas, añadió Horne de Upwork. Por ello, la concienciación, la intuición y la comunicación de los empleados son clave para ayudar a las organizaciones a conectar los puntos.
• Aceptación de la dirección y la junta directiva. Los líderes de seguridad deben educar a los altos ejecutivos y directores corporativos sobre los riesgos que los trabajadores de TI norcoreanos encubiertos representan para las empresas occidentales. "Asegúrense de que comprendan que este no es un problema específico de la empresa", afirmó Horne. "Es, sin duda, un problema del sector que todos debemos abordar".
• Colaboraciones internas y externas. La naturaleza insidiosa y sofisticada de las ciberoperaciones norcoreanas hace que la cooperación entre equipos sea crucial. "Especialmente en grandes organizaciones, es posible que haya pequeños grupos de personas que trabajen en esta amenaza desde diferentes perspectivas", afirmó Schloemer. Asegúrese de que compartan información, perspectivas y experiencia para maximizar la eficiencia y la eficacia. Las colaboraciones externas entre organizaciones del sector privado y las fuerzas del orden federales también son clave. Planificación de respuesta a incidentes. Incluya contingencias contra infiltrados maliciosos en los planes de respuesta a incidentes de la organización. Implemente procesos para evaluar a qué datos y sistemas accedieron los infiltrados maliciosos y cualquier código que pudieran haber escrito. Para obtener apoyo de las fuerzas del orden, contacte con una oficina local del FBI y solicite hablar con los expertos en amenazas a trabajadores de TI de la RPDC.

En los próximos meses y años, se espera que la amenaza de los trabajadores remotos norcoreanos siga adaptándose y evolucionando, según los expertos. A medida que aumenta la concienciación sobre el problema entre las empresas estadounidenses, los grupos ya han comenzado a atacar nuevas regiones, como Europa y Australia.

El equipo de Schloemer en Microsoft rastrea toda la ciberactividad maliciosa fuera de la RPDC, de la cual la estafa de los trabajadores remotos es solo una parte. Otras operaciones de ciberdelincuencia norcoreanas buscan robar criptomonedas, propiedad intelectual y secretos de defensa. Los métodos de ataque varían; en algunos casos, los actores de amenazas se dirigen a quienes buscan empleo en lugar de a los empleadores, lo contrario del esquema de teletrabajo. Schloemer expresó su preocupación por la posible evolución de las relaciones entre los distintos grupos de amenazas norcoreanos y la posible convergencia de sus intereses.

"Necesitamos anticiparnos a esto con recomendaciones sólidas de detección y respuesta ahora", afirmó. "No queremos terminar en un escenario futuro en el que el empleo de personal de TI permita el robo de información de seguridad nacional realmente sensible y crítica".

Alissa Irei es editora senior del sitio SearchSecurity de Informa TechTarget.