En los últimos años, el panorama cibernético ha experimentado una evolución constante con actores maliciosos cada vez más ingeniosos y decididos a explotar vulnerabilidades en las organizaciones a nivel global. Un caso que ha llamado especialmente la atención es el de un grupo de hackers provenientes de Corea del Norte que, disfrazándose como trabajadores legítimos de tecnología de la información (TI), están apuntando a empresas en Reino Unido y otras regiones de Europa. Según investigaciones llevadas a cabo por el grupo de inteligencia contra amenazas de Google, esta estrategia representa un giro peligroso y sofisticado en la manera en que los ciberdelincuentes buscan acceso y control sobre infraestructuras críticas empresariales. Tradicionalmente, las operaciones norcoreanas se han enfocado en ataques directos como el ransomware, el robo de criptomonedas y comprometer cadenas de suministro digitales. No obstante, la actual tendencia de simular empleados remotos con currículos falsos y referencias elaboradas indica una intención más prolongada de infiltración y robo de información confidencial aprovechando el auge del trabajo a distancia.
El declive de estas tácticas en los Estados Unidos, debido a medidas legales y controles más estrictos de verificación laboral, ha provocado que estos actores adapten su enfoque y busquen nuevas víctimas fuera del territorio norteamericano, encontrando en Europa un terreno fértil. Este desplazamiento se evidencia en un aumento notable de solicitudes de empleo fraudulentas enviadas a empresas en Reino Unido, Alemania, Portugal, Serbia y otros países. Para facilitar su encubrimiento, los atacantes se valen incluso de sofisticadas herramientas tecnológicas como la creación de fotos de perfil mediante inteligencia artificial, generación de videos deepfake para entrevistas remotas e incluso traducciones automáticas de sus comunicaciones para aparentar fluidez en el idioma local. Estas maniobras no solo denotan una capacidad técnica avanzada, sino también una preparación meticulosa, que incluye la creación de documentación falsa como títulos universitarios, referencias laborales y domicilios inexistentes en países como Serbia y Eslovaquia. La presencia de facilitadores locales — intermediarios que ayudan en la obtención de empleos y evitan la detección mediante pasaportes falsificados o la manipulación de procesos administrativos— incrementa la efectividad de esta operación, haciendo que las víctimas al principio confíen en estos trabajadores falsos.
Un aspecto crítico de este modus operandi es la apuesta por ambientes de Bring Your Own Device (BYOD), donde los empleados usan sus propios dispositivos para labores laborales. Esta modalidad, en auge debido a la flexibilidad que brinda, también aumenta las vulnerabilidades, pues los dispositivos personales suelen carecer de los sofisticados controles de seguridad que tienen los equipos corporativos. De esta manera, los hackers disfrazados pueden acceder a sistemas internos a través de máquinas virtuales otorgadas por la empresa, evitando ser detectados por herramientas de monitoreo tradicionales. Este entorno favorable ha llevado a que los grupos norcoreanos adopten tácticas más agresivas, muchas veces vinculadas a su desesperación por mantener ingresos constantes frente a las restricciones legales en Estados Unidos. Algunos de estos trabajadores simulados han manifestado amenazas de divulgar información propietaria o sensible de las compañías tras ser despedidos, exigiendo rescates económicos para no hacer pública dicha información.
Este giro representa un nivel adicional de peligro para las organizaciones afectadas, ya que implica un riesgo tanto a largo como a corto plazo para su seguridad y reputación. Los objetivos de estos ataques se extienden más allá del sector privado, alcanzando entidades gubernamentales, de defensa y sectores estratégicos, lo que implica un riesgo geopolítico significativo. La actitud abierta y la vastedad de plataformas digitales para reclutamiento y contratación, como Upwork, Freelancer y Telegram, se convierten en medios para que estos hackers entren en contacto con las víctimas y establezcan vínculos de confianza mediante referencias multiplicadas y identidades ficticias validadas a través de múltiples subcuentas. El modelado de perfiles falsos no solo se limita a nombres o antecedentes, sino que abarca aspectos tecnológicos, culturales y psicológicos. La integración de detalles culturalmente específicos, el uso deliberado de zonas horarias locales y la participación activa en comunidades digitales regionales contribuyen a que estas identidades falsas resulten creíbles y difíciles de detectar a simple vista.
Las entrevistas se llevan a cabo con la ayuda de programas de inteligencia artificial para traducir o producir respuestas adecuadas, haciendo que el disfraz sea aún más realista. En cuanto a la monetización, estas redes criminales emplean criptomonedas y plataformas de pagos transfronterizos como Payoneer y TransferWise para transferir fondos de forma segura y evitar el rastreo. Estos métodos dificultan la labor de las fuerzas legales y los especialistas en ciberseguridad, ya que los pagos quedan escondidos en un entramado global y digital que escapa a las jurisdicciones tradicionales. La lucha contra esta modalidad de ataque representa un desafío considerable para las organizaciones europeas que, a menudo, subestiman los riesgos de la ciberdelincuencia norcoreana, percibiéndolos erróneamente como un problema exclusivo de Estados Unidos. Expertos en inteligencia de amenazas advierten que esta percepción conlleva un retraso peligroso en la implementación de medidas preventivas y la formación de personal en ciberseguridad.
La detección temprana y la verificación rigurosa de candidatos remotos son claves para bloquear este tipo de infiltraciones. Es imprescindible que las empresas fortalezcan los procesos de due diligence durante la contratación remota, implementando tecnologías que puedan validar la autenticidad de identidades y documentos, así como que realicen seguimientos continuos a la actividad de sus empleados remotos. Además, en entornos BYOD, se recomienda establecer políticas estrictas que regulen el uso de dispositivos personales, integrando soluciones de seguridad como VPNs, autenticación multifactor y monitorización de accesos. En definitiva, la amenaza que representan estos hackers norcoreanos disfrazados de trabajadores de TI exige un cambio de paradigma en la forma en que las compañías abordan la seguridad en la era del trabajo remoto. La adaptabilidad y sofisticación de estos actores maliciosos demandan no solo tecnologías avanzadas sino también una conciencia elevada y preparación continua en ciberseguridad para salvaguardar tanto los activos digitales como la confianza de los clientes y socios.
El panorama es dinámico y se encuentra en constante evolución, por lo que la colaboración entre sectores, países y especialistas resulta fundamental para anticipar ataques y mitigar impactos. La experiencia indica que solo con un enfoque proactivo y coordinado se podrá contener el avance de estas tácticas cada vez más audaces y difíciles de desenmascarar, garantizando así una defensa robusta frente a las persistentes amenazas del ciberespacio.
