El espionaje corporativo toma una nueva forma: falsos informáticos norcoreanos se infiltran en empresas occidentales. ESET advierte sobre cómo identificarlos desde el proceso de selección de personal y proteger a tu organización.
El panorama de la ciberseguridad corporativa se enfrenta a una amenaza interna que evoluciona constantemente. Ya no se trata solo del robo de contraseñas o la apropiación de cuentas; ahora, la preocupación se extiende a personas que se incorporan a la plantilla con fines maliciosos. ESET, una compañía líder en detección proactiva de amenazas, ha alertado sobre una nueva modalidad de espionaje corporativo: la infiltración de falsos informáticos norcoreanos en empresas occidentales, incluso algunas de la lista Fortune 500.
Esta táctica, rastreada como WageMole por ESET Research desde al menos abril de 2017, ha afectado a más de 300 empresas entre el 2020 y el 2022. La gravedad del asunto es tal que el gobierno estadounidense ha descubierto estas víctimas, y empresas tecnológicas como Microsoft se han visto obligadas a suspender miles de cuentas creadas por estos solicitantes de empleo fraudulentos. Incluso, una acusación estadounidense imputa a dos norcoreanos y tres «facilitadores» por haber obtenido más de 860.000 dólares de solo 10 de las 60 empresas en las que se infiltraron.
El foco de esta amenaza se ha expandido. Recientemente, el equipo de investigación de ESET ha notado un desplazamiento hacia Europa, incluyendo países como Francia, Polonia y Ucrania. Además, Google ha advertido que las empresas británicas también se encuentran en el punto de mira de estos ataques.
Un caso revelador ocurrió en julio de 2024, cuando KnowBe4, un proveedor de ciberseguridad, detectó actividad sospechosa en un nuevo empleado remoto que manipulaba y transfería archivos potencialmente dañinos, e intentaba ejecutar software no autorizado. Posteriormente, se descubrió que este individuo era un trabajador norcoreano que había engañado al equipo de recursos humanos. Increíblemente, logró superar cuatro entrevistas por videoconferencia y una comprobación de antecedentes previa a la contratación.
La clave de la infiltración y el papel de la IA
La sofisticación de estos engaños se debe en gran parte a la forma en que los estafadores construyen su identidad falsa. Crean o roban identidades que coinciden con la ubicación de la organización objetivo, abriendo cuentas de correo electrónico, perfiles en redes sociales y cuentas falsas en plataformas para desarrolladores como GitHub para simular legitimidad.
Durante el proceso de selección, la tecnología juega un papel crucial: pueden utilizar imágenes y vídeos deepfake, o software de intercambio de caras y cambio de voz, para disfrazar su identidad o crear otras sintéticas.
«Las amenazas basadas en la identidad no se limitan al robo de contraseñas o la apropiación de cuentas, sino que se extienden a las personas que se incorporan a la plantilla. A medida que la IA mejora en la falsificación de la realidad, es el momento de mejorar los procesos de contratación», advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Los estafadores se apoyan en «facilitadores» extranjeros, quienes son esenciales para la operación, pues se encargan de:
- Crear cuentas en sitios web de trabajo autónomo.
- Crear cuentas bancarias o prestar la propia al trabajador norcoreano.
- Comprar números de móvil o tarjetas SIM.
- Validar la identidad fraudulenta durante la verificación de empleo.
Una vez contratado, el falso empleado recibe el portátil corporativo en una granja de portátiles ubicada en el país de la empresa. Desde allí, el trabajador norcoreano utiliza VPN, servicios proxy o servidores privados virtuales (VPS) para ocultar su verdadera ubicación.
¿Cómo detectar y proteger a tu empresa?
ESET subraya que el impacto de caer en estos engaños puede ser «enorme». Además de pagar involuntariamente a trabajadores de un país fuertemente sancionado, estos individuos obtienen acceso privilegiado a sistemas críticos, lo que se convierte en una invitación abierta a robar datos confidenciales o incluso a pedir un rescate a la empresa.
Para evitar ser víctima, es crucial reforzar los procesos de contratación:
- Revisión del perfil digital: Comprobar redes sociales y cuentas online en busca de similitudes con identidades robadas. Se debe prestar atención a las discrepancias entre la actividad en línea y la experiencia declarada; por ejemplo, un «desarrollador senior» con repositorios de código genéricos o cuentas recién creadas es una señal de alerta.
- Verificación rigurosa: Asegurarse de que el candidato tenga un número de teléfono legítimo y único, y revisar el currículum en busca de inconsistencias. Es vital contactar directamente con las referencias (por teléfono o videollamada) y verificar la existencia de las empresas mencionadas.
- Entrevistas en vídeo: Insistir en entrevistas por vídeo y realizarlas varias veces, ya que los solicitantes pueden usar audio, vídeo e imágenes falsificados.
Señales de alerta durante la videollamada:
- Cualquier excusa de que la cámara funciona mal debe considerarse una advertencia.
- Pedir que se apaguen los filtros de fondo para detectar deepfakes (buscando fallos visuales, expresiones rígidas o movimientos de labios no sincronizados con el audio).
- Realizar preguntas basadas en la ubicación y la cultura del lugar donde dicen vivir o trabajar (sobre comida o deportes locales).
Una vez que el empleado es contratado, la vigilancia no debe cesar. Es necesario estar atento a señales como números de teléfono chinos, la descarga inmediata de software RMM o el trabajo fuera del horario normal de oficina. Las autenticaciones desde direcciones IP chinas o rusas también deben investigarse.
El investigador de ESET concluye que los mejores métodos para combatir a los falsos candidatos combinan el conocimiento humano y los controles técnicos, por lo que es vital actualizar los programas de formación en ciberseguridad, especialmente para el personal de recursos humanos y contratación de IT, para que conozcan las señales de alarma.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
