Esto es lo que debe saber sobre un giro reciente sobre una amenaza interna: falsos trabajadores de TI norcoreanos que se infiltran en empresas occidentales.
28 de octubre de 2025
•
,
5 min. leer

En julio de 2024, el proveedor de ciberseguridad KnowBe4 comenzó para observar actividad sospechosa vinculada a un nuevo empleado. El individuo comenzó a manipular y transferir archivos potencialmente dañinos e intentó ejecutar software no autorizado. Posteriormente se descubrió que era un trabajador norcoreano que había engañado al equipo de recursos humanos de la empresa para conseguir un empleo remoto en la empresa. En total, el individuo logró pasar cuatro entrevistas por videoconferencia, así como una verificación de antecedentes y previa a la contratación.
El incidente subraya que ninguna organización es inmune al riesgo de contratar a un saboteador sin darse cuenta. Las amenazas basadas en la identidad no se limitan al robo de contraseñas o a la apropiación de cuentas, sino que se extienden a las mismas personas que se unen a su fuerza laboral. A medida que la IA mejora en la falsificación de la realidad, es hora de mejorar sus procesos de contratación.
La escala del desafío
Quizás se sorprenda de lo extendida que está esta amenaza. Ha estado en curso desde al menos abril de 2017, según un Cartel de búsqueda del FBI. Rastreada como WageMole por ESET Research, la actividad se superpone con grupos etiquetados UNC5267 y Jaspe aguanieve por otros investigadores. Según Microsoftel gobierno de EE. UU. ha descubierto más de 300 empresas, incluidas algunas de Fortune 500, que han sido víctimas de esta manera solo entre 2020 y 2022. La empresa de tecnología se vio obligada en junio a suspender 3.000 cuentas de Outlook y Hotmail creadas por solicitantes de empleo norcoreanos.
Por separado, EE.UU. acusación acusó a dos norcoreanos y tres “facilitadores” de ganar más de 860.000 dólares en 10 de las más de 60 empresas en las que trabajaban. Pero no es sólo un problema de Estados Unidos. Los investigadores de ESET advirtieron que la atención se ha desplazado recientemente hacia Europa, incluidas Francia, Polonia y Ucrania. Mientras tanto, Google ha advertido que las empresas del Reino Unido también están en el punto de mira.
¿Cómo lo hacen?
Es posible que miles de trabajadores norcoreanos hayan encontrado empleo de esta manera. Crean o roban identidades que coinciden con la ubicación de la organización objetivo y luego abren cuentas de correo electrónico, perfiles de redes sociales y cuentas falsas en plataformas de desarrolladores como GitHub para agregar legitimidad. Durante el proceso de contratación, pueden utilizar imágenes y vídeos falsos, o software de intercambio de rostros y de voz, para disfrazar su identidad o crear identidades sintéticas.
Según los investigadores de ESET, el grupo WageMole está vinculado a otra campaña norcoreana que rastrea como DeceivedDevelopment. Esto se centra en engañar a los desarrolladores occidentales para que soliciten puestos de trabajo inexistentes. Los estafadores solicitan que sus víctimas participen en un desafío de codificación o una tarea previa a la entrevista. Pero el proyecto que descargan para participar en realidad contiene código troyanizado. WageMole roba estas identidades de desarrollador para utilizarlas en sus esquemas de trabajadores falsos.
La clave de la estafa está en los facilitadores extranjeros. Primero, ayudan a:
- crear cuentas en sitios web de trabajo independiente
- crear cuentas bancarias o prestarle al trabajador norcoreano las suyas propias
- comprar números móviles de tarjetas SIM
- validar la identidad fraudulenta del trabajador durante la verificación de empleo, utilizando servicios de verificación de antecedentes
Una vez contratado el falso trabajador, estos individuos reciben la computadora portátil corporativa y la instalan en una granja de computadoras ubicada en el país de la empresa contratante. Luego, el trabajador de TI norcoreano utiliza VPN, servicios proxy, monitoreo y administración remotos (RMM) y/o servidores privados virtuales (VPS) para ocultar su verdadera ubicación.
El impacto en las organizaciones engañadas podría ser enorme. No sólo están pagando sin saberlo a trabajadores de un país fuertemente sancionado, sino que esos mismos empleados a menudo obtienen acceso privilegiado a sistemas críticos. Esa es una invitación abierta a robar datos confidenciales o incluso exigir un rescate a la empresa.
Cómo detectarlos y detenerlos
Financiar sin saberlo las ambiciones nucleares de un Estado paria es casi tan malo como puede ser en términos de daño a la reputación, sin mencionar la exposición financiera al riesgo de incumplimiento que implica el compromiso. Entonces, ¿cómo puede su organización evitar convertirse en la próxima víctima?
1. Identificar trabajadores falsos durante el proceso de contratación
- Verifique el perfil digital del candidato, incluidas las redes sociales y otras cuentas en línea, para detectar similitudes con otras personas cuya identidad puedan haber robado. También pueden crear varios perfiles falsos para solicitar puestos de trabajo con diferentes nombres.
- Esté atento a las discrepancias entre las actividades en línea y la experiencia declarada: un «desarrollador senior» con repositorios de códigos genéricos o cuentas creadas recientemente debería generar señales de alerta.
- Asegúrese de que tengan un número de teléfono único y legítimo y revise su currículum para detectar cualquier inconsistencia. Verificar que las empresas cotizadas realmente existen. Comuníquese con las referencias directamente (teléfono/videollamada) y preste especial atención a los empleados de las empresas de personal.
- Como muchos solicitantes pueden utilizar audio, videos e imágenes falsos, insista en realizar entrevistas en video y realícelas varias veces durante el reclutamiento.
- Durante las entrevistas, considere cualquier reclamo sobre un mal funcionamiento de la cámara como una advertencia importante. Pídale al candidato que desactive los filtros de fondo para tener una mejor oportunidad de identificar deepfakes. (Los obsequios podrían incluir fallas visuales, expresiones faciales que se sienten rígidas y antinaturales y movimientos de labios que no se sincronizan con el audio). Hágales preguntas basadas en la ubicación y la cultura sobre dónde “viven” o “trabajan” en relación con, por ejemplo, comidas o deportes locales.
2. Monitorear a los empleados para detectar actividades potencialmente sospechosas.
- Esté alerta a señales de alerta, como números de teléfono chinos, descarga inmediata de software RMM a una computadora portátil recién adquirida y trabajo realizado fuera del horario de oficina normal. Si la computadora portátil se autentica desde direcciones IP chinas o rusas, esto también debe investigarse.
- Controle el comportamiento de los empleados y los patrones de acceso al sistema, como inicios de sesión inusuales, transferencias de archivos grandes o cambios en el horario laboral. Céntrese en el contexto, no sólo en las alertas: la diferencia entre un error y una actividad maliciosa podría residir en la intención.
- Utilice herramientas de amenazas internas para monitorear actividades anómalas.
3. Contener la amenaza
- Si cree que ha identificado a un trabajador norcoreano en su organización, al principio tenga cuidado para evitar alertarlo.
- Limite su acceso a recursos confidenciales y revise su actividad de red, manteniendo este proyecto en manos de un pequeño grupo de expertos de confianza de seguridad de TI, recursos humanos y asuntos legales.
- Preservar pruebas e informar el incidente a las autoridades, mientras busca asesoramiento legal para la empresa.
Cuando todo se haya calmado, también es una buena idea actualizar sus programas de capacitación en concientización sobre ciberseguridad. Y asegúrese de que todos los empleados, especialmente los gerentes de contratación de TI y el personal de recursos humanos, comprendan algunas de las señales de alerta a las que deben prestar atención en el futuro. Las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas están evolucionando todo el tiempo, por lo que este consejo también deberá cambiar periódicamente.
Los mejores enfoques para evitar que candidatos falsos se conviertan en personas internas maliciosas combinan conocimientos humanos y controles técnicos. Asegúrate de cubrir todas las bases.


