Cuando el informante se convierte en el enemigo: la campaña de espionaje a distancia de Corea del Norte.
Corea del Norte está infiltrando empresas mediante contrataciones remotas falsas.
Recientemente, el Departamento de Justicia de los Estados Unidos ha revelado un preocupante hecho que afecta a líderes de seguridad: más de 300 empresas, incluidas importantes compañías tecnológicas y al menos un contratista de defensa, emplearon sin saberlo a operativos norcoreanos que se hacían pasar por trabajadores de TI remotos. Estos infiltrados no utilizaron técnicas de piratería convencionales ni explotaron vulnerabilidades, sino que aseguraron empleos a través de entrevistas por video, procesos de integración y credenciales legítimas. Una vez dentro, sustrajeron información sensible y enviaron millones de dólares de ganancias de vuelta al régimen de Kim, alimentando sus programas de armamento sancionados.
Esta campaña representa una de las amenazas internas más agresivas y amplias, un tipo de riesgo que surge cuando individuos dentro de una organización, ya sean empleados, contratistas o socios, abusan de su acceso autorizado para causar daño. A diferencia de las amenazas externas, que, al menos en teoría, pueden ser detectadas y detenidas mediante firmas técnicas o defensas perimetrales, las amenazas internas operan desde adentro, a menudo sin ser detectadas y con acceso completo a sistemas y datos sensibles.
La operación norcoreana no fue improvisada; fue una acción meticulosa, profesional y estratégicamente planeada que indica un cambio en la forma en que los adversarios operan: no solo se trata de irrumpir, sino de integrarse.
Los operativos no necesitaban generar sospechas para acceder a la información. Simplemente actuaban como miembros del equipo, iniciando sesión a través de VPN, accediendo al código fuente, revisando tickets de Jira y participando en canales de Slack. El modo en que las dinámicas laborales han evolucionado y el acceso a herramientas de inteligencia artificial jugaron un papel crucial en el éxito de esta campaña. La normalización del trabajo remoto facilitó la existencia de empleados que nunca serían vistos físicamente. Además, la inteligencia artificial les permitió simular fluidez en los idiomas, crear currículos impresionantes y generar respuestas creíbles durante entrevistas, incluso utilizando videos y audios sintéticos para ocultar brechas lingüísticas.
Este esfuerzo coordinado, que no involucró a actores solitarios, contó con apoyo de cómplices en EE. UU. que ayudaron a mantener “grupos de computadoras” —máquinas de trabajo controladas por los operativos mediante interruptores KVM y VPNs— lo que les permitió parecer que el acceso originaba de dentro de Estados Unidos.
El éxito de esta campaña indica una brecha importante en la detección de amenazas que muchas organizaciones aún no han abordado: detectar adversarios que lucen legítimos en papel, se comportan conforme a parámetros esperados y no disparan alarmas. Las herramientas de seguridad tradicionales están configuradas para detectar anomalías externas, pero un interno que se une a una empresa a través de los canales habituales no activará alertas al realizar tareas dentro de lo esperado.
Para enfrentar esta situación, es necesario no solo ajustar las prácticas de contratación, sino también mejorar la visibilidad sobre el comportamiento de los usuarios y los patrones de actividad en el entorno. Los equipos de seguridad deben ser capaces de distinguir entre comportamientos normales y anómalos, incluso entre usuarios válidos, utilizando datos forenses que permitan investigar retrospectivamente el uso de accesos.
Protegerse de estas amenazas implica invertir en detección e investigación, pues la próxima amenaza no esperará a que se presente una alerta; ya podría estar dentro del sistema. Las empresas deben adaptarse y considerar que estas amenazas internas son operativos respaldados por estados, que comprenden nuestros sistemas y procesos mejor de lo que quisiéramos admitir.
