En un nuevo episodio del inquietante ciberespionaje corporativo, analistas advierten sobre un ataque que combina ingenieros sociales, inteligencia artificial y vulnerabilidades en los procesos de contratación. Según un informe de ESET, grupos de falsos trabajadores norcoreanos han logrado infiltrarse en empresas de occidente, utilizando identidades falsas, deepfakes y documentación falsificada para conseguir acceso a datos sensibles y sistemas internos.

El último caso conocido fue identificado en julio por la firma KnowBe4, donde un supuesto nuevo empleado comenzó a manipular archivos dañinos y ejecutar software no autorizado. Tras una investigación, se reveló que era un norcoreano que había superado exitosamente cuatro entrevistas por videoconferencia, así como verificaciones de antecedentes.

«Las amenazas que se basan en la identidad no se limitan al robo de contraseñas, sino que ahora impactan incluso en la incorporación de nuevos empleados. La mejora en la tecnología de IA para falsificar identidades demanda un fortalecimiento de los procesos de contratación», señaló Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Un Problema que Evoluciona desde hace Años

La práctica conocida como WageMole se remonta al menos a 2017 y está vinculada a otra campaña llamada DeceptiveDevelopment, ambas operadas desde Corea del Norte. Entre 2020 y 2022, el FBI y Microsoft identificaron a más de 300 empresas, incluidas varias de la lista Fortune 500, que cayeron en este tipo de engaños.

Microsoft, por su parte, bloqueó cerca de 3.000 cuentas de correo pertenecientes a falsos solicitantes.

Además, el Departamento de Justicia de EE. UU. acusó a dos norcoreanos y a tres facilitadores internacionales por haber defraudado más de 860.000 dólares con empleos ficticios. Aunque este fenómeno comenzó en Norteamérica, ESET alerta que se está migrando hacia Europa, con incidentes reportados en Francia, Polonia, Ucrania y el Reino Unido.

Modos de Operar: Deepfakes y Realidades Simuladas

Los impostores crean o roban identidades que coinciden estratégicamente con la localización de la empresa objetivo. Luego, establecen perfiles en redes sociales, GitHub y plataformas laborales para aparentar ser legítimos. Durante las entrevistas, utilizan técnicas de deepfake y manipulación de voz para suplantar a personas reales, lo que a menudo pasa desapercibido por los reclutadores.

Una vez dentro, estos falsos empleados son enviados a «granjas de portátiles» ubicadas en el país de la empresa contratante. Desde allí, se conectan de forma remota utilizando VPN o servidores proxy, ocultando su verdadera ubicación.

«El daño que puede causar a las organizaciones es monumental. No solo están pagando a individuos de un país severamente sancionado, sino que también les están otorgando acceso a sistemas críticos», advirtió Gutiérrez Amaya.

Identificando a los Candidatos Falsos

ESET aconseja a las empresas fortalecer sus procesos de selección y vigilancia interna para prevenir este tipo de infiltraciones:

Examinar la huella digital del postulante, analizando sus redes sociales y experiencia laboral.

Sospechar de perfiles recientes o repositorios de código poco auténticos.

Confirmar referencias y la existencia real de las empresas mencionadas.

Repite entrevistas por videollamada para notar señales de deepfake (labios desincronizados, movimientos rígidos o fallos visuales).

Verifica números de contacto y ubicaciones auténticas.

Al ingresar a la empresa, es crucial monitorear comportamientos anómalos, tales como conexiones desde IP extranjeras, instalación de software no autorizado o transferencias inusuales de archivos. «La combinación de inteligencia humana y controles técnicos es esencial para evitar que los candidatos falsos se conviertan en agentes maliciosos», concluyó Gutiérrez Amaya.