En un nuevo capítulo del ciberespionaje global, expertos advierten sobre una modalidad de ataque que combina ingeniería social, inteligencia artificial y vulnerabilidades en los procesos de contratación. Según la firma de ciberseguridad ESET, grupos de falsos informáticos norcoreanos están logrando ser contratados por empresas occidentales bajo identidades falsas, utilizando deepfakes y documentación adulterada para obtener acceso a información sensible y sistemas corporativos.
El caso más reciente fue detectado en julio por la empresa KnowBe4, cuando un supuesto empleado comenzó a manipular archivos dañinos y ejecutar software no autorizado. Tras una investigación, se descubrió que se trataba de un trabajador norcoreano que había superado con éxito cuatro entrevistas por videoconferencia, además de verificaciones de antecedentes.
"Las amenazas basadas en la identidad no se limitan al robo de contraseñas o la apropiación de cuentas, sino que se extienden a las personas que se incorporan a la plantilla. A medida que la IA mejora en la falsificación de la realidad, es el momento de mejorar los procesos de contratación", advirtió Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
De acuerdo con ESET, esta práctica fue rastreada como WageMole, activa al menos desde 2017, y está vinculada a otra campaña denominada DeceptiveDevelopment, ambas operadas desde Corea del Norte. El FBI y Microsoft identificaron más de 300 empresas -incluidas varias Fortune 500- que habrían sido víctimas de este tipo de infiltraciones entre 2020 y 2022.
Solo Microsoft suspendió unas 3.000 cuentas de correo creadas por falsos solicitantes.
Además, el Departamento de Justicia de Estados Unidos acusó a dos norcoreanos y tres facilitadores extranjeros por haber obtenido más de u$s860.000 a través de empleos fraudulentos. El fenómeno comenzó en Norteamérica, pero ESET advierte que el foco se desplazó hacia Europa, con casos detectados en Francia, Polonia, Ucrania y Reino Unido.
Los falsos trabajadores crean o roban identidades que coinciden con la ubicación de la empresa objetivo y luego abren perfiles en redes sociales, GitHub y plataformas de empleo para aparentar legitimidad. Durante las entrevistas, pueden utilizar deepfakes, intercambio de rostros o de voz para simular ser otra persona. En muchos casos, los reclutadores ni siquiera sospechan del engaño.
Una vez contratados, los equipos informáticos se envían a "granjas de portátiles" ubicadas en el país de la empresa contratante. Desde allí, el atacante se conecta de forma remota mediante VPN o servidores proxy, ocultando su verdadera ubicación.
"El impacto en las organizaciones engañadas podría ser enorme. No solo pagan a trabajadores de un país fuertemente sancionado, sino que les otorgan acceso privilegiado a sistemas críticos", señaló Gutiérrez Amaya.
ESET recomienda a las compañías reforzar sus procesos de selección y vigilancia interna para prevenir infiltraciones:
Verificar la huella digital del candidato, redes sociales y experiencia laboral.
Sospechar de perfiles recientes o repositorios de código genéricos.
Confirmar referencias y existencia real de las empresas previas.
Repetir entrevistas por videollamada y detectar señales de deepfake (labios desincronizados, movimientos rígidos o fallos visuales).
Comprobar números de teléfono y ubicaciones reales.
Una vez dentro de la empresa, es clave monitorear comportamientos anómalos, como conexiones desde IP extranjeras, instalación de software remoto o transferencias inusuales de archivos. "Los mejores métodos para evitar que los falsos candidatos se conviertan en informadores maliciosos combinan los conocimientos humanos y los controles técnicos", concluyó Gutiérrez Amaya.