El problema de los falsos trabajadores de TI norcoreanos está en todas partes

 (theregister.com)
1 puntos por GN⁺ 2025-07-14 | 1 comentarios | Compartir por WhatsApp
  • El problema de los falsos solicitantes de empleo de TI provenientes de Corea del Norte se ha confirmado ampliamente en la mayoría de las grandes empresas
  • Sus métodos de infiltración son diversos, incluyendo IA, deepfakes e identidades falsificadas, e incluso llegan al robo de materiales internos y la exigencia de rescates
  • Recientemente, no solo empresas de Estados Unidos sino también empresas europeas están siendo objetivo, y la mayoría de los casos ocurren en puestos de trabajo remoto
  • Las empresas están incorporando diversas estrategias de defensa durante el proceso de contratación, como verificación de documentos, onboarding presencial y compartir indicadores de compromiso (IoC)
  • Como las tácticas criminales están evolucionando y extendiéndose hacia el crimen organizado, es indispensable reforzar la colaboración entre seguridad y reclutamiento, la capacitación y el firewall humano

Panorama general y situación actual

  • En tiempos recientes, el problema de los falsos postulantes de TI vinculados a Corea del Norte se está presentando de forma generalizada en grandes empresas globales
  • Muchos CISO de compañías Fortune 500 han mencionado haber enfrentado este problema, y responsables de seguridad de Google y Snowflake también confirmaron casos de este tipo dentro de sus procesos internos de contratación
  • El Departamento de Justicia de Estados Unidos anunció que, en los últimos seis años, las pérdidas causadas por estas personas ascienden a 88 millones de dólares
  • En algunos casos, se reportó que, tras obtener acceso a sistemas internos, llegaron al robo de código fuente e información confidencial y a exigir rescates
  • A medida que las empresas estadounidenses han reforzado su vigilancia, actualmente también está aumentando con rapidez el targeting del mercado europeo

Tendencias características en el proceso de contratación

  • En empresas como Socure, recientemente están llegando miles de solicitudes anómalas
  • Se detectan inconsistencias como perfiles de LinkedIn superficiales o con pocas conexiones pero con una trayectoria llamativa, así como discrepancias en número telefónico, correo electrónico y uso de VPN
  • Durante entrevistas por video, se repiten casos demográficamente incoherentes, como nombres occidentales con apariencia de Asia Oriental o acento que no coincide
  • También se ha detectado en muchos casos que las respuestas de los postulantes se parecen a las generadas por herramientas de IA como ChatGPT
  • En la práctica suelen parecer amables y normales, pero al revisar a fondo aparecen múltiples indicios sospechosos

Necesidad de colaboración entre seguridad y reclutamiento

  • La mayoría del personal de contratación carece de conocimientos de ciberseguridad o gestión de identidad, y la falta de comunicación entre RR. HH. y el equipo de seguridad es un problema
  • Empresas como Netskope están armando esquemas de colaboración multiactor, con reuniones entre seguridad, RR. HH. y legal, además de briefings locales del FBI
  • En un entorno de trabajo remoto, los procesos de verificación real, como visitas presenciales para recibir la PC o validación de direcciones, juegan un papel importante
  • También se ha observado repetidamente que los falsos postulantes abandonan el proceso cuando se les exige verificación documental

Respuestas mediante IA e intercambio de información

  • Aunque aumentan los casos que abusan de nuevas tecnologías como IA y deepfakes, en Snowflake y otras empresas se aprovecha la creación de datasets de IoC (indicadores de compromiso) y el intercambio de información con socios
  • Los IoC incluyen información con alta probabilidad de falsificación, como correos electrónicos, direcciones físicas y números telefónicos
  • Mediante la estrategia de firewall humano (capacitación del personal de contratación), se enseñan formas de detectar señales como currículums exagerados, demora en responder durante la entrevista, confusión técnica o entornos tipo call center
  • En última instancia, una entrevista presencial y las excusas de fuerza mayor para no presentarse en persona se consideran motivos de fuerte sospecha
  • La cooperación entre empresas, socios y organismos gubernamentales busca bloquear desde el prefiltrado el ingreso mismo de postulantes sospechosos

Perspectiva de expansión hacia la organización y el crimen

  • Las organizaciones criminales tienden a imitar y expandir rápidamente los métodos cuando comprueban que son rentables
  • Es muy probable que esto no se limite a un fenómeno liderado por Corea del Norte, sino que se amplíe a otros países y al crimen organizado
  • Está creciendo la necesidad de reforzar la colaboración entre seguridad y equipos de contratación y de capacitar sobre los casos más recientes en todos los procesos de contratación

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-07-14
Comentarios en Hacker News

  • Creo que este tipo de problemas se puede evitar si se hacen obligatorios los procedimientos de verificación de identidad en persona.

  • Dicen que distinguen entre perfiles reales y falsos por cosas como que en LinkedIn solo tengan 25 conexiones, pero la realidad es que también existen cuentas de LinkedIn hackeadas. A un colega le hackearon la cuenta y ya tenía más de 1,000 contactos reales. Le cambiaron la foto y el nombre por algo con apariencia de Asia Oriental, y también modificaron el CV para mostrar experiencia en contratistas de defensa de EE. UU. Por suerte lo detectaron gracias al bloqueo automático de la cuenta, pero perfectamente pudo haber quedado así durante mucho tiempo. Además, aunque alguien tenga miles de contactos, no va a recordar uno por uno a toda su red, así que como no hay alertas por cambio de nombre, es totalmente posible que estos perfiles hackeados se vendan y terminen siendo explotados por personal IT norcoreano.

    • Mucha gente como yo ni siquiera tiene cuenta de LinkedIn. Me parece mucho más efectiva la idea de una verificación offline del tipo "tienes que venir en persona a recoger la laptop".

  • Jeff Geerling compartió hace poco una experiencia en la que lo contactó el FBI sobre el uso estratégico de dispositivos mini KVM por parte de falsos solicitantes de empleo encubiertos de Corea del Norte. Video relacionado

    • Según entiendo, estos dispositivos KVM se conectan a varias laptops y de verdad se operan desde lugares como sótanos o cuartos en casas de otras personas. Alguien recibe una cantidad fija al mes por cada laptop proporcionada por la empresa, le conecta un KVM pequeño y así permite que el trabajador remoto acceda. Eso hace que el rastreo sea mucho más difícil.

    • Puede que yo no esté entendiendo bien, pero ¿qué hace exactamente un KVM? ¿Es solo un aparato con puertos Ethernet y HDMI para permitir control remoto? Y también se habla como si fuera común que norcoreanos entren a casas ajenas y conecten esto, pero me cuesta imaginarlo. Tampoco entiendo por qué el FBI contactaría a Jeff Geerling. Sinceramente, yo solo conocía KVM como virtualización basada en el kernel de Linux.

  • Había una parte que decía: "A medida que las empresas de IT en Estados Unidos empiezan a detectar mejor a los candidatos falsos, ahora las compañías europeas se están convirtiendo en el nuevo objetivo". Todas las empresas en las que he trabajado en EE. UU. verificaron mi identidad de manera muy estricta. Casi todas hacen background checks por defecto. Las empresas europeas parecen ser un poco más laxas.

    • A veces los background checks en empresas de EE. UU. se pasan al punto de invadir mi privacidad. Por ejemplo, antes de contratarte piden revisar tu historial crediticio, las deudas pendientes de tarjetas, auto y casa, tu pago mensual y hasta todos tus salarios de los últimos 7 años. Eso me parece excesivo. Terminan sabiendo toda tu situación y eso también te deja en desventaja en negociaciones salariales y similares.

    • También se ha reportado que en empresas realmente le proponen a alguien algo como: "¿Nos prestas tu identidad?". Usan la apariencia externa de esa persona, pero el trabajo real lo hacen ellos. Luego se reparten el salario. Obviamente hay muchísimos elementos ilegales y de alto riesgo, pero aun así hay bastante gente que quiere ganar dinero fácil.

    • Muchas empresas europeas ni siquiera ofrecen trabajo remoto, o lo hacen muy rara vez, y aunque hagan entrevistas por videollamada o teléfono, casi siempre exigen una entrevista presencial. Así que al menos se da por hecho que la persona realmente vive en ese país. Además, suelen exigir dominio del idioma local, lo que hace mucho más difícil que personal IT norcoreano supere ese proceso.

    • Los background checks tampoco son perfectos. El currículum puede estar asociado a una identidad fabricada, o incluso pueden estar usando una identidad comprada de un ciudadano estadounidense. Esa es casi la única manera de romper la verificación de identidad del I-9. Además, hay muchos tipos de background check, y varias empresas directamente omiten los procesos más engorrosos, como verificar empleos anteriores. Las referencias tampoco sirven de mucho, porque también se pueden falsificar. Al final, hasta a las referencias habría que verificarles la identidad.

    • Eso es una modalidad de fraude. Un inmigrante reciente en EE. UU. incluso puede pasar un background check sin problema. Una táctica común es conseguir trabajo como programador contratista con títulos y experiencia falsificados, y luego subcontratar el trabajo a Asia durante la noche. Con ayuda de ChatGPT, basta tomarle foto al monitor para convertir de inmediato todo a texto y facilitar más el trabajo remoto. Incluso hay desarrolladores que externalizan parte de su propio trabajo; también hay personas que trabajan en varios lugares al mismo tiempo de esta manera.

  • Me da curiosidad cuál es el objetivo una vez que estos estafadores logran conseguir empleo de verdad. Si solo recopilan información como espías industriales, si hacen el trabajo que les asignan, o si apenas entran intentan sacar toda la información o dinero posible y luego huyen cuando los descubren. También me pregunto si realmente tienen habilidades de IT. Me da curiosidad todo eso.

    • El artículo menciona casos en los que toman datos de la empresa o código fuente como rehén para exigir un rescate. Incluso cuando no son de Corea del Norte, la estrategia básica suele ser cobrar sueldo en la mayor cantidad posible de empresas hasta que los descubren, y luego pasar a otra. A veces solo duran uno o dos meses en una empresa, pero en otros casos el gerente presta tan poca atención que logran trabajar unas cuantas horas sin problemas y cobrar sueldos de varios lados. Así sacan ganancias de corto plazo y, si todo el equipo termina despedido en una reestructuración, simplemente vuelven al mercado laboral.

  • Según un tuit que vi por ahí, si le pides al candidato que critique a Kim Jong-un, puedes detectar si pertenece a Corea del Norte.

    • Ese método se volvería inútil muy rápido con apenas uno o dos intentos. Si yo fuera un espía o estuviera en una operación encubierta, asumiría que mi organización me haría decir lo que fuera necesario.

    • Si alguien me pide que critique a Kim Jong-un, para mí la conversación se acaba ahí mismo. Yo critico a quien quiero cuando quiero. Con ese tipo de filtro, hasta podrías terminar descartando a candidatos reales.

    • Si este tipo de screening se vuelve común, también es posible que algunos piensen "ah, ya me descubrieron" o que el riesgo ya subió demasiado y se retiren solos. Es como los estafadores por email que usan mala gramática a propósito: buscan filtrar rápido a los casos difíciles y quedarse solo con los fáciles.

    • Ese tipo de preguntas hay que manejarlas con cuidado. Tiene que quedar constancia de que se les hizo exactamente la misma pregunta a todos los candidatos, sin importar raza o estatus migratorio. En la práctica, por seguridad habría que hacérsela incluso a gente no asiática o a nativos angloparlantes, porque Corea del Norte podría empezar a usar intermediarios o terceros externos para postular.

  • Me sorprende que sigan apareciendo tantos casos así. Yo, siendo una persona normal y decente, ya tengo bastante dificultad para conseguir un trabajo aceptable. Y aun así estos candidatos falsos sí logran que los contraten una y otra vez. Me pregunto qué están haciendo las empresas.

    • Estas personas mienten desde la solicitud misma. Roban identidades, fabrican experiencia, inventan referencias y hackean LinkedIn. Son especialistas en fraude y entrevistas. Como para ellos conseguir empleo es literalmente su modo de vida, se mueven de forma organizada y terminan logrando colocarse de una manera u otra. Además, ni siquiera les importa la calidad del puesto. Solo aguantan lo más que puedan donde sea posible. En muchas empresas eso puede tardar años en descubrirse.

  • ¿Qué tal si simplemente se obligara a trabajar presencialmente durante la primera semana? Se puede vender fácilmente como parte del onboarding, y creo que con eso se resolvería este problema.

    • No todas las empresas tienen oficina. En mi trabajo anterior, la oficina apareció hasta después de 6 meses de haber entrado, y más de la mitad del país estaba a una distancia de 3 o 4 horas de ella. De hecho, solo conocí presencialmente a algunos compañeros; el resto estaba repartido por tres continentes.

    • Después del COVID, el trabajo totalmente remoto y la contratación totalmente remota se volvieron algo común, así que en la práctica el onboarding presencial desapareció rápido. Pero ahora, con una mayor conciencia de este problema, es muy probable que las entrevistas y la asistencia presencial vuelvan a convertirse en el estándar.

    • Se puede, claro. Es como decir que sería mejor para la seguridad si todos usaran buenas contraseñas. En la práctica, muchas empresas todavía no lo hacen. Otra razón es que obligar a una primera semana presencial reduce el pool de talento. Incluso ahora, con todo el ambiente de regreso forzado a oficina y jornadas de 100 horas, sigue teniendo desventajas.

    • En un lugar donde trabajé, era obligatorio ir presencialmente durante 3 meses. La oficina no era más que un departamento pequeño, pero bastaba para cumplir el objetivo.

    • Creo que obligar a una primera semana presencial sí mejoraría bastante las cosas. Claro, aun así aparecerían muchas excusas, como largas historias o que solo quieren pedir cierta comida por DoorDash, etc.

  • A veces pienso que al menos uno de mis colegas habría sido mejor si fuera una persona de este tipo.

  • Hay algo raro aquí. Los desarrolladores mandan solicitudes a cientos de lugares y apenas si consiguen una entrevista, pero de alguna forma personal IT norcoreano con mal inglés sí sigue consiguiendo trabajo. En LinkedIn ya casi faltaría ponerse a alabar al líder supremo.

    • Para que una estafa funcione, tiene que hacerla alguien realmente bueno. Mienten de manera totalmente profesional, y tienen roles separados para encontrar pipelines de candidatos, equipos que logran colocarlos, manejo de entrevistas, etc. También usan mucha automatización, lo que multiplica bastante la eficiencia. Un desarrollador individual solo pasa decenas de filtros en postulaciones, CV e entrevistas, y además intenta no mentir, así que sus probabilidades son menores. En cambio, estas organizaciones de fraude se dedican a esto todo el día, así que cada vez se vuelven mejores. Un desarrollador real deja de buscar trabajo cuando consigue uno, pero un estafador sigue perfeccionando sus técnicas de búsqueda laboral.

    • A ellos no les importan las limitaciones de la realidad. En el currículum ponen Harvard, experiencia en Meta y todo tipo de antecedentes. Y luego el reclutador ve ese perfil y lo pone por encima del mío porque llama más la atención.

    • A mí también me han llegado varias veces correos desde direcciones raras diciendo cosas como: "Yo te consigo el trabajo, tú solo haz la entrevista y nosotros hacemos todo lo demás. Nombre falso y mucho dinero garantizado". A este punto asumo que mi currículum es lo bastante bueno como para que este tipo de estafa me tenga en la mira. Pero este método está tan mal hecho que 99% de los ingenieros ni siquiera le presta atención o lo ignora de inmediato.

    • En realidad, probablemente esta gente ni siquiera consigue el trabajo; más bien logra pasar hasta la etapa de entrevista.

    • Supongo que esta gente usa varias identidades.