Incidentes Asociados
La mayoría de los propietarios de empresas hacen al menos un esfuerzo para defenderse de los riesgos crecientes de los ciberataques, las demandas de ransomware y los esquemas de fraude llevados a cabo por falsos solicitantes de empleo. Ahora reciben advertencias de expertos en seguridad sobre la creciente amenaza que representan miles de agentes norcoreanos que crean identidades falsas para trabajar como teletrabajadores informáticos en empresas estadounidenses y luego envían salarios e información a su gobierno en Pyongyang.
La amenaza de impostores de la República Popular Democrática de Corea (RPDC) que se infiltran en empresas estadounidenses haciéndose pasar por teletrabajadores tecnológicos no es nueva, pero los expertos afirman que ha aumentado a un ritmo alarmante. Una investigación publicada el mes pasado por SentinelOne, un especialista en ciberseguridad, detalló una trama amplia, extremadamente activa y a menudo efectiva que involucra a miles de norcoreanos que consiguen empleos en grandes empresas tecnológicas, así como en muchas compañías de la lista Fortune 500. Su informe advirtió sobre un "asombroso volumen de intentos de infiltración en curso" que, según afirmó, "supera con creces cualquier otro vector de amenaza interna que monitoreamos".
Según expertos citados en un informe reciente de Politico, los agentes norcoreanos roban o inventan información personal vinculada a empleados reales de TI estadounidenses y rastrean portales de empleo en busca de vacantes tecnológicas bien remuneradas. Luego, se postulan masivamente para esas vacantes para aumentar las probabilidades de que algunos agentes pasen a las entrevistas. Politico informó que los impostores utilizan inteligencia artificial (https://www.fastcompany.com/section/artificial-intelligence) para crear "deepfakes que imitan la apariencia de la persona a la que intentan suplantar, a menudo en tiempo real".
"Estos actores no solo se postulan a ciegas, sino que están perfeccionando su proceso, aprovechando perfiles falsos o falsificados, y adaptando sus tácticas de comunicación para imitar a los solicitantes de empleo legítimos de formas cada vez más convincentes", afirma el informe de SentinelOne. Nuestro equipo ha rastreado aproximadamente 360 perfiles falsos y más de 1000 solicitudes de empleo vinculados a operaciones de TI de la RPDC que solicitan puestos en SentinelOne, incluyendo descarados intentos de conseguir puestos en el propio equipo de ingeniería de inteligencia de SentinelLabs.
Una vez contratados, los infiltrados ofrecen trabajo remoto real de TI, dejando pocas pistas que permitan a los empleadores descubrir su engaño. Su objetivo inicial, según los expertos, es destinar los generosos salarios que reciben al programa de desarrollo militar de su gobierno. Pero mientras desempeñan esos trabajos, también suelen instalar malware y configurar redes de acceso para realizar robos de datos o ataques de rescate si alguna vez son capturados y despedidos.
La ubicación del trabajo realizado en Corea del Norte está enmascarada por cómplices en EE. UU., a quienes los empleadores, sin saberlo, env�ían computadoras portátiles proporcionadas por la empresa. Estas computadoras se mantienen en funcionamiento para simular su uso en EE. UU., y los infiltrados norcoreanos acceden a ellas mientras realizan su trabajo. Los empleadores pueden creer que están sacando el máximo provecho de sus técnicos informáticos remotos, cuando en realidad son vulnerables a graves amenazas.
"Ese trabajador informático norcoreano tiene acceso a todo su software de desarrollo web, a todos los recursos que han estado recopilando... (y) ese trabajador recibe su pago, lo canaliza de vuelta al estado norcoreano y, al mismo tiempo, realiza espionaje", declaró a Politico Alexander Leslie, analista de inteligencia de amenazas de la firma cibernética Recorded Future. "Esto supone un importante riesgo financiero y de cumplimiento normativo".
También expone a las empresas a posibles acciones legales por parte de las autoridades estadounidenses por haber empleado y pagado a ciudadanos norcoreanos, una violación de la ley, sea intencional o no. Esa es una de las razones por las que, según los expertos, muchas empresas que descubren la artimaña no la hacen pública.
Pero eso es un error, según el informe de SentinelOne. Durante su investigación, la empresa descubrió que cuanto más compartía lo aprendido con sus socios, tanto internos como externos, más rápido se multiplicaban en su red las pistas, la información y las técnicas para identificar a los impostores.
"Los reclutadores comenzaron a detectar patrones por sí mismos, lo que impulsó un aumento en la escalada temprana de perfiles sospechosos", afirma el informe. "Se convirtieron en un socio activo que continúa detectando nuevos avistamientos desde la primera línea. A su vez, estamos codificando esta información en sistemas automatizados que detectan, filtran, enriquecen y bloquean proactivamente estas campañas para reducir la carga de nuestros reclutadores y gerentes de contratación, y reducir el riesgo de infiltración".
El Grupo de Inteligencia de Amenazas de Google también ha documentado el creciente número de solicitantes de empleo e infiltrados norcoreanos, así como la expansión de sus medios para recaudar fondos para el régimen del líder de la nación, Kim Jong-un. Esto los ha llevado a intensificar las campañas de extorsión contra empleadores, y han comenzado a realizar operaciones en escritorios, redes y servidores virtuales corporativos, según un artículo publicado en marzo por la unidad.
Por ello, el Grupo de Inteligencia de Amenazas de Google instó a las empresas a tomar medidas defensivas contra las nuevas variantes norcoreanas de la ciberdelincuencia. Estas incluyen:
- Desarrollar un programa sólido de gestión de riesgos internos: Establecer un programa de riesgos internos formal mediante el desarrollo de una estrategia, la creación de políticas claras, la capacitación de ejecutivos, la creación de marcos organizacionales, la garantía de la gobernanza y la capacitación de los empleados para fomentar una cultura de seguridad.
- Desarrollar un proceso y una cultura de contratación con enfoque en la seguridad: Verificaciones de antecedentes rigurosas, procesos minuciosos de entrevistas presenciales que requieren una mayor interacción personal con el candidato y una investigación exhaustiva del historial laboral pueden ayudar a mitigar el riesgo que representan los trabajadores de TI norcoreanos. > - Prácticas seguras de teletrabajo: Verificar la identidad y la ubicación de los trabajadores remotos, incluyendo ser precavido si el trabajador sugiere repentinamente una dirección de envío diferente y exigir la recogida presencial del dispositivo siempre que sea posible.
- Monitoreo del riesgo interno: Los equipos de seguridad deben contar con la visibilidad y las capacidades de registro adecuadas para determinar cuándo los empleados han extraído datos confidenciales y proporcionado acceso a la red. Si bien lo ideal es detectar y prevenir esto antes de que ocurra un incidente significativo, las organizaciones también deben considerar el riesgo interno en sus planes de respuesta a incidentes.
¿Qué más pueden hacer los reclutadores, ejecutivos de contratación y dueños de negocios si sospechan que podrían estar lidiando con un posible infiltrado norcoreano durante una entrevista de contratación remota?
Harrison Leggio, inversor ángel y cofundador de la startup de criptomonedas G8keep, tiene un truco de defensa sencillo que también podría brindar a los gerentes una mayor sensación de retribución.
"Digan algo negativo sobre Kim Jong Un", declaró Leggio a Fortune, refiriéndose al líder central del gobierno de culto a la personalidad de Corea del Norte. "La primera vez que lo hice, la persona empezó a ponerse histérica y a maldecir".
Otros ejecutivos de empresas han adaptado esa táctica para frustrar a los presuntos solicitantes norcoreanos de forma similar.
"Mi pregunta favorita en las entrevistas, porque hemos entrevistado a bastantes de estas personas, es algo como '¿Cuánto peso tiene Kim Jong Un?'", declaró Adam Meyers, vicepresidente sénior de operaciones antiadversas de Crowdstrike, en una reciente conferencia tecnológica, según el sitio web de noticias sobre ciberseguridad The Register. "Cortan la llamada al instante, porque no vale la pena decir nada negativo al respecto."
Además, además de posiblemente proteger su negocio de infiltraciones maliciosas, usar esa artimaña puede ser una de las pocas ocasiones imaginables en que avergonzar a la gente por su peso sirve al bien común.