Durante años, Corea del Norte ha representado una amenaza cibernética significativa para los países occidentales, robando propiedad intelectual y saqueando miles de millones en criptomonedas. Cada vez más, ha surgido una nueva táctica: trabajadores de TI norcoreanos que se infiltran en empresas occidentales y envían sus salarios a casa. Investigaciones recientes han expuesto una red de estos trabajadores que disfrutan de un estilo de vida sorprendentemente lujoso, y la empresa de ciberseguridad DTEX está identificando públicamente a dos figuras clave y publicando una gran cantidad de datos relacionados con sus actividades.
Trabajadores de TI norcoreanos, operando bajo falsas pretensiones, están infiltrándose en empresas occidentales para generar ingresos para el régimen de Kim Jong Un. Estos trabajadores, a menudo basados en países como China y Rusia, son desarrolladores y hackers expertos, entrenados desde una edad temprana dentro del sistema educativo de Corea del Norte. Son parte de una sofisticada amenaza cibernética, robando propiedad intelectual, evadiendo sanciones a través del robo de criptomonedas y contribuyendo al programa de armas nucleares del régimen.
Las actividades de estos trabajadores de TI no son meros incidentes aislados, sino parte de una operación más amplia y sancionada por el estado. Michael “Barni” Barnhart, un destacado investigador cibernético norcoreano en DTEX, describe el enfoque de Pyongyang como un “sindicato criminal sancionado por el estado”. Todo está ligado a la financiación del régimen, el desarrollo de armamento y la recopilación de información. Esto contrasta con las operaciones militares o de inteligencia tradicionales, destacando el enfoque del régimen en la ganancia financiera.
Un ejemplo de sus actividades incluye la presunta participación de “Naoki Murano” y “Jenson Collins”, dos desarrolladores norcoreanos identificados por DTEX. Se cree que estos individuos, que supuestamente operaban desde Laos antes de trasladarse a Rusia, estuvieron involucrados en la recaudación de fondos para el régimen. Se alega que Murano estuvo vinculado a un robo de 6 millones de dólares en la empresa de criptomonedas DeltaPrime. Las fotos de estos individuos, disfrutando de un estilo de vida lujoso, fueron expuestas en línea, revelando sus actividades.
La escala del problema es significativa. El gobierno de Estados Unidos ha sancionado a empresas norcoreanas por emplear a trabajadores de TI, y el Departamento del Tesoro estima que estos grupos ganan “cientos de millones de dólares” para el régimen. Miles de trabajadores de TI son enviados por todo el mundo, solicitando puestos remotos en volumen. Esta actividad generalizada subraya la necesidad de una mayor concienciación y contramedidas.
Los trabajadores de TI emplean diversas tácticas para infiltrarse en las empresas y evadir la detección. Utilizan identidades robadas, crean falsas personalidades y aprovechan las plataformas de trabajo independiente. A menudo dejan migas de pan digitales, lo que los hace vulnerables a la exposición. Rafe Pilling, director de inteligencia de amenazas en la Unidad de Contra Amenazas de Sophos, señala que a menudo cometen errores, como dejar repositorios de Github de currículums y herramientas accesibles públicamente.
El informe de DTEX, junto con la identificación de Murano y Collins, incluye la publicación de más de 1.000 direcciones de correo electrónico supuestamente vinculadas a la actividad de los trabajadores de TI norcoreanos. Esta medida es una de las mayores revelaciones de este tipo de actividad hasta la fecha. Un análisis de WIRED de estos correos electrónicos revela que muchos carecen de comportamiento en línea auténtico, y algunos están vinculados a herramientas de desarrollo o sitios web de trabajo independiente.
Los trabajadores de TI norcoreanos son cada vez más sofisticados en sus métodos. Utilizan software de cambio de rostro durante las entrevistas en vídeo y emplean asistentes de IA para responder preguntas en tiempo real. Esto demuestra su adaptabilidad y determinación para evitar la detección.
El artículo destaca la vigilancia y el control digital ejercido sobre estos trabajadores de TI por el régimen norcoreano. Una fotografía revela un espacio de trabajo con una cámara de vigilancia y el ordenador de un trabajador que muestra mensajes de WhatsApp. Barnhart explica que el Ministerio de Seguridad del Estado (MSS) supervisa a estos trabajadores para evitar la defección. El software controla su escritura y comunicaciones, marcando contenido relacionado con imágenes sexuales o críticas a Kim Jong Un.
El caso de “Benjamin Martin”, un autoproclamado desarrollador web3 y full-stack, ilustra aún más hasta qué punto estos trabajadores de TI llegan a crear falsas personalidades. Las imágenes de un hombre en una foto se editan para crear un perfil, que luego se utiliza en un sitio web. Las empresas que figuran en el currículum de Martin niegan tener conocimiento de él.
El artículo concluye con un llamamiento a un cambio de enfoque para combatir estas amenazas. Barnhart enfatiza la necesidad de comprender la fluidez y la adaptabilidad de los hackers y trabajadores de TI norcoreanos. Afirma que el régimen está constantemente evolucionando sus tácticas, incluyendo la subcontratación y la creación de capas adicionales de ofuscación.
Los trabajadores de TI norcoreanos representan una amenaza sofisticada y en crecimiento, infiltrándose en empresas occidentales para generar ingresos para el régimen a través del trabajo remoto, a menudo utilizando identidades robadas y falsas. Los investigadores de ciberseguridad exponen cada vez más sus operaciones, revelando una red de individuos involucrados en actividades que van desde robos de criptomonedas hasta tareas de TI rutinarias, todo ello bajo estricta vigilancia. A medida que Corea del Norte adapta sus tácticas, incluyendo el uso de software de alteración facial y asistencia de IA, es evidente que las medidas de seguridad actuales son insuficientes, y se necesita un cambio fundamental de enfoque para desmantelar este sindicato de ciberdelincuencia sancionado por el estado.
Leave a Reply