El Departamento de Justicia de EE. UU. sentenció el 15 de abril a 108 meses y 92 meses de prisión, respectivamente, a dos ciudadanos estadounidenses que ayudaron a trabajadores de TI norcoreanos a infiltrarse en empresas de Estados Unidos.
El método clave consistía en reunir decenas de laptops corporativas en viviendas dentro de Estados Unidos y, mediante un switch KVM, permitir que personal de TI norcoreano ubicado en Dandong y Shenyang, China, trabajara de forma remota.
De cara al exterior, parecía que todo provenía de una IP estadounidense, una cuenta bancaria estadounidense, una laptop estadounidense y una identidad estadounidense, pero quienes realmente realizaban el trabajo eran trabajadores de TI norcoreanos.
Según el anuncio del Departamento de Justicia, se robó la identidad de más de 80 estadounidenses, más de 100 empresas de EE. UU. resultaron afectadas y cerca de 5 millones de dólares fueron transferidos a Corea del Norte.
En algunos casos, incluso se informó que cómplices en el extranjero accedieron a datos controlados por ITAR de una empresa californiana de defensa con IA, por lo que ya no se trata solo de un fraude laboral, sino de un problema ampliado de filtración de tecnología de defensa.
La industria de seguridad considera que el problema es mucho más amplio.
El CTO de Mandiant mencionó en la RSAC 2025 que casi todos los CISO reconocieron haber contratado al menos a un trabajador de TI norcoreano, y en algunos casos a decenas.
Google también informó que detectó postulantes norcoreanos dentro de su propio pipeline de contratación, y algunas startups de criptomonedas afirman que una proporción abrumadora de aspirantes a ingeniero norcoreanos fingen ser estadounidenses.
KnowBe4, empresa de capacitación en concientización de seguridad, también reveló un caso en el que fue víctima.
Aunque se realizaron background checks, cuatro entrevistas por video e incluso verificación por fotografía, el postulante logró pasar, y el malware se ejecutó apenas 25 minutos después de que llegara la workstation Mac enviada por la empresa.
Recientemente, la táctica ha evolucionado: después del despido, toman como rehén el código fuente y los datos internos, y exigen pagos en bitcoin.
Ya no se trata simplemente de cobrar un sueldo sin más, sino de un ataque compuesto que puede derivar en amenaza interna, ransomware y vínculos con grupos estatales de hacking.
El cambio clave es que Corea del Norte ya no solo gana dinero mediante hackeos o robo de criptomonedas, sino entrando al sistema formal de nómina de empresas estadounidenses como si fueran “empleados”.
Si antes la aplicación de sanciones contra Corea del Norte se centraba en rastrear instituciones financieras, navieras y empresas fachada, este caso muestra que RR. HH., la contratación y la propia infraestructura de trabajo remoto pueden convertirse en rutas para evadir sanciones.
La esencia de este caso es que no se trata solo de un problema del equipo de seguridad, sino de que todo el mercado laboral se ha convertido en una superficie de ataque.
Que un candidato que superó entrevistas, verificación de identidad, envío de equipos y acceso a la red interna en realidad pueda ser un desarrollador que ni siquiera está en Estados Unidos se acerca a una nueva forma de ataque a la cadena de suministro en la era de la contratación remota.
1 comentarios
Dicen que hacer que critique a Kim Jong-un es lo más efectivo, así que quizá haya que hacerlo en la entrevista....