Espías norcoreanos infiltran empresas con empleos falsos usando deepfakes

Una nueva amenaza acecha a las empresas del mundo: espías norcoreanos que se hacen pasar por trabajadores remotos para robar información confidencial y extorsionar a las compañías. Este engaño sofisticado ya afectó a más de 300 empresas, incluyendo gigantes de la lista Fortune 500.

El caso que destapó la trama

En julio de 2024, la empresa de ciberseguridad KnowBe4 descubrió que uno de sus nuevos empleados remotos era en realidad un espía norcoreano. El falso trabajador había superado cuatro entrevistas por videoconferencia y todas las verificaciones de antecedentes, pero una vez dentro comenzó a manipular archivos y ejecutar software malicioso.

"Las amenazas basadas en la identidad no se limitan al robo de contraseñas, sino que se extienden a las personas que se incorporan a la plantilla", advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Una amenaza global en expansión

Según el FBI, esta práctica existe desde al menos abril de 2017. Microsoft tuvo que suspender 3.000 cuentas de Outlook y Hotmail creadas por solicitantes norcoreanos. El foco ahora se desplaza hacia Europa, incluyendo Francia, Polonia y Ucrania, mientras que Google alerta que las empresas británicas también están en la mira.

Los estafadores crean identidades falsas completas con correos electrónicos, perfiles en redes sociales y cuentas en plataformas como GitHub. Durante las entrevistas, utilizan deepfakes, software de intercambio de caras y cambio de voz para ocultar su verdadera identidad.

Cómo funciona la estafa

El grupo WageMole, vinculado a la campaña norcoreana DeceptiveDevelopment, engaña primero a desarrolladores occidentales ofreciéndoles trabajos falsos. Les piden participar en desafíos de codificación que contienen código troyanizado, robando así sus identidades para usarlas en los esquemas de trabajadores falsos.

Una vez contratado el espía, facilitadores extranjeros reciben el equipo corporativo y lo instalan en granjas de computadoras. El trabajador norcoreano usa VPN, servicios proxy y servidores privados virtuales para ocultar su ubicación real.

El impacto devastador

"El impacto en las organizaciones engañadas podría ser enorme. No solo están pagando involuntariamente a trabajadores de un país fuertemente sancionado, sino que estos empleados obtienen acceso privilegiado a sistemas críticos", resalta el investigador de ESET.

Esto abre la puerta al robo masivo de datos confidenciales y ataques de ransomware que pueden paralizar empresas enteras.

Señales de alarma para detectar espías

ESET recomienda estar atento a estas señales:

• Perfiles digitales sospechosos: Repositorios de código genéricos o cuentas creadas recientemente
• Problemas técnicos constantes: Cámaras que "no funcionan" durante entrevistas
• Números telefónicos chinos o comportamiento fuera del horario normal
• Descarga inmediata de software de gestión remota en equipos nuevos
• Autenticación desde direcciones IP chinas o rusas

Medidas de protección urgentes

Las empresas deben implementar múltiples entrevistas por video, verificar referencias por teléfono, hacer preguntas sobre cultura local y monitorear constantemente el comportamiento de empleados remotos.

"Los mejores métodos para evitar que los falsos candidatos se conviertan en informadores maliciosos combinan conocimientos humanos y controles técnicos", concluye Gutiérrez Amaya.

Esta nueva forma de espionaje corporativo demuestra cómo las grandes potencias utilizan la tecnología para infiltrar la economía global, poniendo en riesgo tanto a empresas como a trabajadores honestos que buscan oportunidades laborales.