Corea del Norte se financia con falsos empleados que se infiltran en compañías tecnológicas. Y ya van a por Europa, según Google

Desde hace primaveras, Corea del Ideal ha mantenido una red sofisticada de trabajadores informáticos encubiertos que operan desde el extranjero para financiar al régimen de Kim Jong Un. Si perfectamente Estados Unidos había sido hasta ahora el principal blanco de esta operación cibernética, los recientes esfuerzos de la imparcialidad estadounidense para desmantelar estas redes han empujado a estos operativos alrededor de un nuevo frente: Europa.

¿Quiénes son estos trabajadores IT falsos?

Durante primaveras, Corea del Ideal ha desplegado miles de 'trabajadores IT' en el extranjero, especialmente en modalidad remota, con el objetivo de crear ingresos para su software armamentístico. Según un reciente informe del Google Threat Intelligence Group, esta expansión incluye la infiltración en sectores esencia como defensa, inteligencia sintético, blockchain y avance web.

El esquema consiste en obtener trabajos legítimos usando identidades falsas, actuar desde países aliados —como China, Rusia o Laos— y desviar sus salarios a Pyongyang. Pero su objetivo no es solo obtener empleos remunerados —con ingresos que pueden exceder los 300.000 dólares anuales por persona—, sino además instalar malware, robar información sensible y trastornar a sus empleadores una vez descubiertos.

Para ello, amenazan con editar o entregar información sensible robada —como código fuente, datos propietarios o credenciales— si no se les paga una suma específica. Esta nueva táctica ha sido particularmente efectiva contra empresas grandes que buscan evitar escándalos de seguridad.

¿Cómo operan?

Tras ser contratados, utilizan 'facilitadores' locales que reciben los equipos de trabajo y los mantienen conectados, mientras los operadores reales se conectan vía VPN desde el extranjero. Esta gran operación de fraude se apoya en una infraestructura completo, que incluye redes para mover el cuartos alrededor de Corea del Ideal.

El 'modus operandi' está meticulosamente estructurado. Algunos de los métodos más comunes incluyen:

• Uso de plataformas como Upwork o Freelancer para postularse y cobrar pagos en criptomonedas o servicios como Payoneer y TransferWise.
• Currículums falsos con títulos universitarios inventados y domicilios ficticios en países europeos.
• Despreocupación de entrevistas en vídeo, alegando problemas técnicos o usando imágenes generadas por IA.
• 'Facilitadores' locales que reciben portátiles de las empresas contratantes para afectar presencia física en el país.
• VPNs y 'granjas de laptops' para conectar a trabajadores situados físicamente en China, Rusia o Laos, pero que aparentan trabajar desde Europa.

EE.UU. reacciona. Las empresas europeas caen en la trampa

Estados Unidos ha intensificado su respuesta: el Área de Honestidad ha procesado a ciudadanos estadounidenses que ayudaban a estos trabajadores en sus operaciones, y el Área de Estado ofrece hasta cinco millones de dólares por información que permita desmantelar estas redes. El Área del Hacienda además ha sancionado empresas fachada vinculadas al Profesión de Defensa norcoreano.

En Europa, sin incautación, la respuesta ha sido más fragmentada. Solo recientemente el Reino Unido emitió una advertencia formal sobre los riesgos de contratar inadvertidamente a estos falsos trabajadores. Entre ellos:

• Pérdida de información confidencial (código fuente, propiedad intelectual).
• Trastorno: tras ser despedidos, algunos trabajadores norcoreanos amenazan con divulgar la información robada.
• Sanciones legales: contratar inadvertidamente a estos trabajadores podría violar sanciones internacionales, como advierte la Oficina de Sanciones Financieras del Reino Unido.

Aviso divulgado del FBI

Cómo detectar y avisar el fraude

El FBI y otras agencias de seguridad han emitido guías para detectar estos fraudes. Algunas señales de alerta incluyen:

• Solicitudes de entrevistas solo por texto o voz.
• Cambios frecuentes en métodos de plazo.
• Cuentas sin foto o sin historial comprobable.
• Direcciones de emisión de equipos que no coinciden con la ubicación declarada.

Las empresas, especialmente en Europa, deben proteger sus mecanismos de comprobación de identidad, políticas BYOD ('trae tu propio dispositivo'), y estar atentos a perfiles sospechosos en plataformas freelance.

Vía | The Record

Imagen | Marcos Merino mediante IA

En Genbeta | Un hacker dejó sin Internet a Corea del Ideal. Acaba de desvelar quién es y por qué lo hizo