¡Cuidado! Operadores de TI norcoreanos se aprovechan del teletrabajo para infiltrarse en organizaciones globales.
La amenaza de la ciberinfiltración norcoreana ya no es solo una preocupación estadounidense, sino una crisis global. Según nuevos hallazgos del Grupo de Inteligencia de Amenazas de Google (GTIG), agentes de la República Popular Democrática de Corea (RPDC) están expandiendo su presencia cibernética por Europa y otros países, utilizando plataformas de teletrabajo, identidades falsas y tácticas cada vez más agresivas como la extorsión. Lo que comenzó como una operación encubierta se ha convertido en una extensa red internacional diseñada para robar dinero e información de forma discreta.
Tabla de contenido
Una invasión silenciosa de la fuerza laboral mundial
Los operadores de TI norcoreanos se aprovechan de la demanda global de trabajadores tecnológicos remotos. Haciéndose pasar por freelancers cualificados de países como Japón, Malasia, Ucrania, Vietnam e incluso Estados Unidos, estos individuos han conseguido contratos legítimos a través de plataformas como Upwork, Freelancer y Telegram.
Una vez dentro, pueden acceder a sistemas sensibles y, en ocasiones, incluso manejar infraestructura crítica como sistemas de gestión de contenido (CMS), bots web y aplicaciones de blockchain. Estos agentes suelen operar bajo múltiples identidades —a veces hasta una docena por persona—, y cada una actúa como referencia para las demás. En un caso, un solo trabajador vinculado a la RPDC manejaba doce identidades distintas en Estados Unidos y Europa, cada una diseñada para engañar a empleadores y plataformas de contratación.
Europa en la mira
Si bien Estados Unidos sigue siendo un objetivo principal, el creciente escrutinio legal y las medidas reforzadas de verificación del derecho al trabajo están impulsando a los agentes de la RPDC a expandirse más a los mercados europeos. Alemania, Portugal y el Reino Unido han reportado casos de infiltración, con algunos trabajadores participando en proyectos de desarrollo de IA e integración de blockchain, campos que a menudo otorgan amplio acceso al sistema y manejan bases de código propietario o sensibles.
En el Reino Unido, se ha vinculado a infiltrados incluso con el uso indebido de infraestructura corporativa, como el uso de ordenadores portátiles destinados a oficinas estadounidenses desde ubicaciones en Londres. Estas operaciones suelen contar con el apoyo de facilitadores locales o internacionales que ayudan a ocultar la identidad y el origen de los agentes informáticos. GTIG señala el descubrimiento de datos de contacto de intermediarios que comercian con pasaportes fraudulentos, lo que pone de relieve la sólida dotación de recursos y la organización de la red.
El auge de la extorsión: una táctica nueva y alarmante
Desde finales de octubre de 2024, ha surgido un nuevo nivel de riesgo. Ante la represión de las fuerzas del orden estadounidenses (las interrupciones y las acusaciones van en aumento), algunos trabajadores vinculados con la RPDC recurren a la extorsión como fuente de ingresos alternativa. Las tácticas son aterradoras: tras ser despedidos o detectar su presencia, los agentes amenazan con filtrar datos confidenciales, incluyendo el código fuente e información crítica para la empresa.
Los investigadores del GTIG creen que la presión sobre estos agentes está forzando un cambio de comportamiento, del robo sigiloso de datos a la coerción financiera agresiva. Este cambio de rumbo marca una inquietante escalada en el enfoque de Corea del Norte hacia el ciberespionaje y la delincuencia digital.
Apuntando a los lugares de trabajo BYOD
La estrategia de la RPDC también se ha adaptado a la realidad del teletrabajo. GTIG informa que los agentes norcoreanos atacan cada vez más a las empresas con políticas BYOD (traiga su propio dispositivo). Estas organizaciones, al intentar reducir costos al no proporcionar computadoras portátiles corporativas, facilitan sin querer que trabajadores autónomos maliciosos operen con poca supervisión.
Esta vulnerabilidad se ve agravada por el uso de criptomonedas y plataformas de pago digitales como Payoneer, que ayudan a ocultar el origen y el destino de los fondos. Se trata de un sistema cuidadosamente diseñado para explotar los puntos más débiles de las defensas de ciberseguridad global: la confianza humana, el acceso remoto y los sistemas descentralizados.
Un ecosistema global de engaño
El alcance de las operaciones de la RPDC sugiere una infraestructura global en rápida maduración, con redes de apoyo estratificadas, intermediarios de identidad falsa y sistemas de lavado de pagos. Los últimos hallazgos de GTIG subrayan la agilidad y peligrosidad de estos actores.
“En respuesta a la mayor conciencia de la amenaza en Estados Unidos, [los trabajadores de TI de la RPDC] han establecido un ecosistema global de personas fraudulentas para mejorar la agilidad operativa”, afirma GTIG. Su capacidad para trasladar rápidamente las operaciones transfronterizas, manteniendo al mismo tiempo un flujo de ingresos estable, es una seria preocupación para las organizaciones de todo el mundo.
¿Qué pueden hacer las organizaciones?
- Fortalecer la verificación de identidad : implementar procesos de verificación rigurosos de varios pasos para la contratación de trabajadores remotos.
Reflexiones finales
La expansión global de la infiltración informática norcoreana no es solo un problema de ciberseguridad, sino una amenaza para la seguridad nacional y la economía. A medida que sus tácticas se vuelven más sofisticadas, las empresas deben adaptarse con defensas igualmente avanzadas. Se acabó la época de contratar freelancers de todo el mundo sin una verificación exhaustiva de antecedentes. El costo de la inacción podría ser el robo o la utilización de sus activos digitales más críticos como arma.