Cómo identificó Kraken a un hacker norcoreano que intentó conseguir empleo

 (blog.kraken.com)
7 puntos por GN⁺ 2025-05-03 | 3 comentarios | Compartir por WhatsApp
  • El exchange de criptomonedas Kraken detectó y analizó recientemente de forma anticipada un intento de infiltración de un hacker norcoreano a través de una postulación laboral
  • El postulante intentó infiltrarse usando múltiples identidades, una combinación de VPN y escritorio remoto, y documentos de identidad robados
  • El equipo de seguridad lo mantuvo deliberadamente dentro del proceso de contratación para llevar a cabo tareas de detección y recopilación de inteligencia
  • A través de correo electrónico, cuentas de GitHub y análisis OSINT, demostraron vínculos con grupos de hacking norcoreanos
  • Este caso subraya la importancia de la autenticación biométrica y la verificación en tiempo real, así como la necesidad de una cultura de seguridad en toda la organización

Resumen del incidente

  • Los equipos de seguridad e IT de Kraken bloquean de forma rutinaria diversos intentos de ataque
  • Recientemente detectaron y respondieron a un intento de intrusión de un hacker norcoreano aprovechando el proceso de contratación
  • El postulante aplicó a un puesto de ingeniería, y un proceso de contratación aparentemente normal se convirtió en una operación de recopilación de inteligencia
  • Se estima que hackers norcoreanos robaron más de 650 millones de dólares a empresas de criptomonedas en 2024

Indicios sospechosos

  • Entró a la entrevista en línea con un nombre distinto al del currículum y luego lo cambió a mitad de la sesión
  • Durante la entrevista se detectó la posibilidad de coaching en tiempo real, incluso por cambios en la voz
  • Kraken había recibido información de que hackers norcoreanos estaban postulando activamente a empresas de criptomonedas, y la solicitud llegó desde una dirección que coincidía con una de las direcciones de correo de hackers norcoreanos obtenidas previamente

Investigación interna y hallazgos

  • El Red Team investigó el correo y el historial de actividad del atacante mediante análisis OSINT
  • Al analizar registros de filtraciones de datos, confirmaron correos asociados a múltiples identidades falsas
  • Varias de esas identidades falsas habían sido contratadas por otras empresas, y algunas correspondían a agentes extranjeros sancionados

Señales técnicas anómalas

  • El candidato ocultó su ubicación combinando una VPN con un escritorio remoto de Mac
  • El correo vinculado a la cuenta de GitHub coincidía con datos filtrados en el pasado
  • El documento de identidad enviado parecía haber sido alterado a partir de información robada hace dos años

Cómo respondió la organización

  • En lugar de descartarlo, decidieron mantenerlo deliberadamente en el proceso de contratación
  • Se enfocaron en comprender sus tácticas mediante pruebas de seguridad, ejercicios técnicos y solicitudes de verificación
  • La entrevista final se realizó con el Chief Security Officer (CSO) de Kraken e incluyó preguntas de verificación en tiempo real

Ejemplos de preguntas de verificación en tiempo real

  • Solicitud de verificación de la ubicación actual
  • Solicitud de mostrar físicamente una identificación oficial emitida por el gobierno
  • Inserción en tiempo real de preguntas improvisadas, como pedir recomendaciones de restaurantes de la ciudad donde decía vivir
  • Como resultado, el postulante no logró superar la verificación

Declaración del CSO Nick Percoco

  • El principio de “no confíes, verifica” es hoy más importante que nunca
  • Toda persona y empresa que maneje algo valioso puede convertirse en objetivo de ataque
  • La conciencia de seguridad a nivel organizacional y una estrategia de respuesta anticipada son clave

Lecciones clave

  • Los atacantes intentan entrar por la puerta principal: además de la intrusión técnica, también existe el acceso por ingeniería social
  • La verificación en tiempo real es un arma poderosa: aunque puedan engañar con IA generativa, no pueden superar una verificación real
  • La seguridad no es solo un tema de IT: toda la organización, incluido el equipo de contratación, debe tener criterio de seguridad

Recuérdalo cuando recibas postulaciones sospechosas: la mayor amenaza suele disfrazarse de oportunidad

Lecturas relacionadas

3 comentarios

 
ahwjdekf 2025-05-04

¿Podría decir en voz alta: "Kim Jong-un es un maldito bastardo"? Le doy 5 segundos.
 
cnaa97 2025-05-03

Flagelo social
 
GN⁺ 2025-05-03
Opiniones en Hacker News

  • Afirman que usaron técnicas de "OSINT" mediante preguntas básicas e investigación de antecedentes

    • Da la impresión de que a la industria de la seguridad le faltan procedimientos básicos de seguridad al contratar
    • Es un problema que personas talentosas desempleadas no puedan conseguir trabajo mientras contratan a identidades falsas

  • Se piensa que la contratación remota es una gran debilidad

    • Hubo un caso en el que contrataron a un ingeniero sobresaliente, pero el trabajo real se delegó a trabajadores remotos en Pakistán e India
    • El trabajo remoto tiene muchas ventajas, pero también grandes problemas de seguridad

  • Artículo interesante, pero decir que investigaron con métodos OSINT es básicamente lo mismo que solo googlear

  • En el artículo no se menciona que esa persona sea norcoreana

    • Una dirección de correo expuesta en una filtración de datos anterior estaba vinculada a un perfil de GitHub
    • Eso no es un indicador especial

  • Antes de la entrevista, recibieron información de que hackers norcoreanos estaban postulándose activamente a empresas de criptomonedas

    • Recibieron una lista de correos electrónicos vinculados al grupo de hackers, y uno de ellos coincidía con el postulante
    • Esta única señal de alerta debería bastar para descalificar de inmediato al postulante

  • Declaración del CSO Nick Percoco

    • El principio de "no confiar, sino verificar" es aún más importante en la era digital
    • Los ataques patrocinados por estados son una amenaza global, y la resiliencia empieza con prepararse para este tipo de ataques
    • Es curioso que el CSO de una empresa de criptomonedas diga algo así

  • En 2024 hice muchas entrevistas para contratar ingenieros frontend y backend en modalidad remota

    • Había muchos postulantes con nombres europeos, y todos eran asiáticos
    • Decían ser de Suecia, Finlandia o Noruega, pero tenían un marcado acento asiático
    • La situación me pareció sospechosa y detuve la entrevista

  • En un viejo hilo de Reddit, alguien recomendó hacer la pregunta: "¿Qué tan gordo es Kim Jong-un?"

  • Esta historia es aburrida

    • Que me avisen cuando participen en un plan de largo plazo para instalar implantes en los dispositivos anfitriones, moverse luego a los dispositivos de otros atacantes, o atraerlos a un país desde el cual puedan ser extraditados a EE. UU.

  • Ya sabían que el nombre, el correo y el GitHub del postulante estaban incluidos en filtraciones anteriores

    • No entiendo el plan de seguir con la entrevista para obtener más información
    • Preguntar directamente por las inconsistencias habría sido tan útil como una entrevista final