Durante años, Corea del Norte ha sido un ciberdelincuente notorio, lanzando ataques para robar fondos e interrumpir sistemas. Ahora, está empleando una estrategia más sutil y sorprendentemente lucrativa: infiltrarse en empresas occidentales con falsos trabajadores de TI, todo mientras operan bajo identidades falsas y respaldados por una red de facilitadores.
A primera vista, el primer candidato, Thomas, parecía ideal. Poseía las credenciales de un codificador hábil, incluyendo un título en informática y ocho años de experiencia profesional. Sin embargo, sutiles señales de alerta, como una conexión a internet lenta, ruido de fondo y un enfoque principal en el salario, generaron preocupación para el posible empleador, Simon Wijckmans. Estas observaciones iniciales insinuaban algo sospechoso, preparando el escenario para una investigación más profunda sobre una sofisticada operación de cibercrimen.
Entrevistas posteriores revelaron un patrón. Otro solicitante, que se presentaba bajo un nombre anglosajón, mostraba características similares: un acento no estadounidense, una mala conexión a internet y un interés excesivo en la compensación. La presencia de múltiples pantallas reflejadas en las gafas del solicitante, junto con un cuadro de chat que se desplazaba, sugería fuertemente el uso de una herramienta de IA o la colaboración con otros. Wijckmans, reconociendo el potencial de engaño, comenzó a documentar sus hallazgos, sentando las bases para descubrir un esquema mayor.
La investigación se amplió cuando Wijckmans descubrió un aumento en las solicitudes, particularmente para puestos remotos. Muchos solicitantes utilizaban VPN, enmascarando sus ubicaciones reales. Esto, junto con los comportamientos sospechosos en las entrevistas, apuntaba a un esfuerzo coordinado. Wijckmans se había topado inadvertidamente con una operación de cibercrimen global orquestada por Corea del Norte, diseñada para generar ingresos ilícitos para el régimen.
El artículo luego presenta a Christina Chapman, una mujer aparentemente ordinaria que se convirtió en una facilitadora involuntaria en el esquema norcoreano. Chapman, reclutada a través de un mensaje de LinkedIn, fue encargada de encontrar empleo remoto para trabajadores en el extranjero. Su papel se intensificó con el tiempo, permitiéndole mejorar su situación de vida, pasando de un remolque a una casa de cuatro dormitorios. Documentó su vida en las redes sociales, revelando sin saberlo detalles que luego servirían como evidencia en su contra.
La participación de Chapman se centró en la gestión de una “granja de portátiles”. Recibía computadoras de la empresa para los trabajadores falsos, instalaba software de acceso remoto y reenviaba los portátiles o permitía que los trabajadores se conectaran de forma remota. También gestionaba transacciones financieras, recibiendo cheques de pago, tomando una parte y transfiriendo el resto de los fondos al extranjero. Los documentos judiciales revelan que se le prometió un porcentaje significativo del dinero que pasaba por sus manos.
La operación norcoreana dependía de una red de individuos como Chapman. Estos “facilitadores” proporcionaban un apoyo crucial, gestionando la logística, gestionando las comunicaciones y proporcionando cobertura a los trabajadores falsos. Las acciones de Chapman, desde la firma de documentos fraudulentos hasta la solución de problemas técnicos, fueron esenciales para el éxito del esquema. Su participación, tal como la describe el experto en ciberseguridad Michael Barnhart, siguió un patrón estándar de solicitudes crecientes, que finalmente implicaron la obtención de identificaciones gubernamentales.
El artículo destaca la escala de la operación. La casa de Chapman albergaba docenas de portátiles, cada uno vinculado a un trabajador y empleador falsos. El esquema atrapó al menos a 300 empresas, incluidos nombres prominentes en los medios, la tecnología y la manufactura. Las acciones de Chapman facilitaron la transferencia de al menos 17 millones de dólares, lo que subraya el impacto financiero de la campaña de cibercrimen norcoreana.
El artículo luego cambia a los orígenes de las capacidades cibernéticas de Corea del Norte, rastreando su desarrollo bajo Kim Jong Un. El régimen priorizó la educación en TI, capacitando a estudiantes prometedores en hacking e idiomas extranjeros. Los graduados de las mejores universidades fueron reclutados por agencias gubernamentales, se les ofrecieron salarios lucrativos y se les concedió acceso a internet.
Se detallan la evolución de los ciberataques norcoreanos. Inicialmente, los ataques eran básicos, involucrando la defacement de sitios web y ataques de denegación de servicio. Escalaron a operaciones más sofisticadas, incluyendo el hackeo de Sony en 2014 y el robo de 81 millones de dólares del Banco de Bangladesh. El régimen luego cambió a ataques de ransomware, como WannaCry, que causó miles de millones de dólares en daños.
Ante el aumento de las sanciones y las medidas de seguridad, Corea del Norte se orientó hacia esquemas más silenciosos y lucrativos, con el robo de criptomonedas como foco principal. En 2022, los hackers robaron más de 600 millones de dólares en criptomonedas de Axie Infinity, y a principios de 2024, robaron 1.500 millones de dólares del intercambio de criptomonedas Bybit. La estafa de los “pretendientes” en TI, que capitaliza el auge del trabajo remoto, se convirtió en un componente clave de su estrategia.
El artículo proporciona estadísticas sobre el crecimiento de las divisiones cibernéticas de Corea del Norte. El número de trabajadores involucrados en estafas de “pretendientes”, robo de criptomonedas y hacking militar alcanzó los 8.400 en 2024, frente a los 6.800 de dos años antes. Estos trabajadores, a menudo estacionados en el extranjero, enfrentan condiciones duras, viviendo en apartamentos estrechos y trabajando largas horas para cumplir con las cuotas. Los desertores, como Hyun-Seung Lee, describen la falta de libertad y el estricto control sobre sus vidas.
El gobierno de EE. UU. estima que un equipo típico de “pretendientes” puede ganar hasta 3 millones de dólares anuales para Pyongyang. Este dinero se canaliza a varios programas, incluidos los fondos personales de Kim Jong Un y el programa de armas nucleares del país. El fraude es efectivo porque es tan mundano, operando en la oscuridad con numerosos equipos.
El artículo presenta un estudio de caso de una empresa multinacional que, sin saberlo, empleó a un agente norcoreano durante casi un año. El agente, descrito como el miembro más productivo del equipo, fue finalmente expuesto cuando olvidó su propio cumpleaños. El equipo de seguridad de la empresa descubrió el uso de herramientas de acceso remoto, lo que llevó a la terminación del agente. Fue solo más tarde, cuando se encontró la nómina del agente en la granja de portátiles de Chapman, que la empresa se dio cuenta de la magnitud del engaño.
El artículo destaca la naturaleza a largo plazo de algunas de estas operaciones. Algunos operativos norcoreanos trabajan durante períodos prolongados, descargando datos de la empresa o plantando software malicioso. Otros pueden durar solo unos días, tiempo suficiente para causar daños significativos. Expertos como Adam Meyers de CrowdStrike enfatizan el potencial de las operaciones de “cola larga”, donde los operativos permanecen sin ser detectados durante meses.
El artículo subraya los riesgos potenciales y la necesidad de una debida diligencia rigurosa. Los expertos instan a las empresas a hablar directamente con las referencias, estar atentos a los cambios repentinos de dirección, utilizar herramientas de detección de buena reputación y realizar entrevistas físicas. Sin embargo, el artículo también reconoce las limitaciones de estos métodos, particularmente frente a las herramientas impulsadas por la IA.
El artículo explora los desafíos que plantea la IA en el contexto de la amenaza cibernética norcoreana. Las herramientas de IA como ChatGPT pueden generar respuestas convincentes a preguntas técnicas, lo que dificulta distinguir entre candidatos genuinos y falsos. Los filtros de video impulsados por IA y los deepfakes complican aún más el proceso, permitiendo a los estafadores manipular la información visual.
El artículo proporciona ejemplos de las sofisticadas tácticas utilizadas por los agentes norcoreanos. Utilizan tarjetas de color verde para proyectar imágenes de identificaciones y emplean dobles para realizar pruebas o recoger documentos físicos. Incluso los expertos en seguridad pueden ser engañados, como lo ilustra el caso de KnowBe4, donde un nuevo empleado aprobó todos los controles estándar pero finalmente fue identificado como un agente extranjero.
El artículo vuelve a los esfuerzos de Simon Wijckmans para combatir la estafa de los “pretendientes”. Decidió realizar su propio contra-ejercicio, invitando al autor a observar. Prepararon una entrevista simulada en un momento inoportuno para probar el compromiso del candidato.
La entrevista con “Harry” reveló varias señales de alerta. Su fondo virtual, la conexión lenta y el inglés con fuerte acento, a pesar de afirmar ser un neoyorquino nativo, generaron sospechas. Cuando se le hicieron preguntas técnicas, Harry pareció confundido y solicitó volver a unirse a la reunión, posiblemente para consultar con un chatbot o un colega.
La entrevista posterior con “Nic” confirmó aún más el engaño. El inglés de Nic era peor que el de Harry, y sus respuestas se volvieron sin sentido, revelando las limitaciones del bot de IA que probablemente estaba usando. La reacción de Simon, “Qué pérdida de tiempo”, reflejaba la frustración de lidiar con estos candidatos falsos.
El autor reflexiona sobre los desafíos que enfrentan los gerentes de contratación. Los currículos y las puntuaciones de las pruebas de los estafadores pueden parecer legítimos, engañando potencialmente a los reclutadores menos informados. El autor sugiere que al menos uno de los candidatos podría haber avanzado a la siguiente etapa del proceso de contratación.
La contramedida de Wijckmans implica una página web de evaluación de codificación diseñada para exponer a los “pretendientes”. Al iniciar la prueba, el navegador generará numerosas páginas emergentes con información sobre la deserción de Corea del Norte, seguida de un rickroll y la descarga de archivos aleatorios. Wijckmans espera que esto irrite a los “pretendientes”, incluso si no los detiene. El artículo concluye enfatizando la naturaleza continua de la amenaza y la necesidad de vigilancia.
Corea del Norte utiliza sofisticadas operaciones cibernéticas, empleando a trabajadores de TI con identidades falsas para obtener empleos remotos y desviar fondos al régimen. El caso de Christina Chapman ilustra el papel de los “facilitadores” en la gestión logística y financiera. Las empresas deben ser extremadamente vigilantes, ya que las herramientas de IA complejizan la verificación de identidad y la seguridad. La amenaza se expande, exigiendo un enfoque proactivo e innovador en ciberseguridad.
Leave a Reply