Corea del Norte tiene una clara estrategia: infiltrarse en empresas occidentales. Y lo hacen mediante la contratación fraudulenta de sus profesionales de TI.
Estos individuos, se hacen pasar por trabajadores remotos de países como Estados Unidos y logran acceder a información sensible, incluyendo repositorios de código fuente, para más tarde utilizar este acceso con el objetivo de extorsionar a sus propios empleadores.
Acaba de avisar esta misma semana el El FBI. Estos trabajadores norcoreanos copian repositorios de código de la empresa, como GitHub, a sus propios perfiles de usuario y cuentas personales en la nube, lo que representa un riesgo significativo de robo de propiedad intelectual.
¿Cómo están actuando los ciberdelincuentes norcoreanos?
La táctica consiste en que estos profesionales, conocidos como "guerreros de TI", ocultan su verdadera identidad utilizando identidades falsas o robadas, y emplean herramientas avanzadas, como granjas de laptops y software de inteligencia artificial, para simular ubicaciones y apariencias occidentales.
Una vez contratados, no solo cumplen con sus responsabilidades laborales para no levantar sospechas, sino que también recopilan datos confidenciales y, en algunos casos, amenazan con filtrar esta información a menos que se les pague un rescate.
Un caso destacado es el de la empresa de ciberseguridad KnowBe4, que, tras un proceso de selección que incluyó verificaciones de antecedentes y entrevistas por vídeo, contrató a un ingeniero de software principal que resultó ser un agente norcoreano.
Este individuo intentó instalar software malicioso en los dispositivos proporcionados por la empresa desde el primer día, lo que activó las alarmas de seguridad internas. Este incidente pone de relevancia la sofisticación de las tácticas empleadas por estos actores estatales.
Las autoridades estadounidenses han respondido con diferentes medidas. El Departamento del Tesoro de EE.UU. ha sancionado a una red de individuos y empresas fachada vinculadas al Ministerio de Defensa Nacional de Corea del Norte, que han generado ingresos a través de esquemas ilegales de trabajo remoto en TI.
Estas sanciones buscan interrumpir las actividades que financian los programas de armas del régimen norcoreano.
Además, el Departamento de Justicia de EE.UU. ha acusado a catorce nacionales norcoreanos por su participación en conspiraciones para violar sanciones estadounidenses y cometer delitos como fraude electrónico, lavado de dinero y robo de identidad.
Estos individuos, asociados con las empresas fachada Yanbian Silverstar y Volasys Silverstar, generaron al menos 88 millones de dólares en aproximadamente seis años mediante trabajos de TI fraudulentos.
La comunidad internacional también ha tomado nota de estas tácticas. Diferentes informes indican que empresas en países como Australia y el Reino Unido han sido víctimas de estas infiltraciones, donde trabajadores de TI norcoreanos, haciéndose pasar por freelancers locales, han obtenido acceso a información sensible y han contribuido a financiar los programas militares de Corea del Norte.
¿Qué deben hacer las empresas?
Para mitigar estos riesgos, las empresas deben implementar medidas de seguridad rigurosas al contratar trabajadores remotos. Esto incluye la verificación exhaustiva de identidades, la realización de entrevistas en persona o por vídeo, y la monitorización continua de las actividades de los empleados para detectar comportamientos sospechosos.
Además, es esencial limitar los privilegios de acceso y aplicar el principio de privilegio mínimo para reducir la posibilidad de que actores malintencionados exploten sus posiciones.
La infiltración de trabajadores de TI norcoreanos en empresas occidentales representa una amenaza significativa para la seguridad ya no solo nacional si no corporativa y la integridad de la información de las organizaciones occidentales.
La combinación de tácticas de ingeniería social, suplantación de identidad y extorsión subraya la necesidad de que las organizaciones refuercen sus protocolos de seguridad y adopten una postura proactiva para protegerse contra estas amenazas emergentes.