Piratas informáticos del régimen norcoreano engañan a empresas globales con identidades falsas para financiar su programa nuclear. Microsoft y expertos en ciberseguridad advierten sobre el alcance de esta amenaza.

Los piratas informáticos de Corea del Norte han perfeccionado un sofisticado esquema para infiltrarse en empresas multinacionales como empleados remotos, recaudando millas de millones de dólares en criptomonedas robadas y secretos corporativos para financiar el programa nuclear del régimen. Según investigadores de seguridad que presentaron sus hallazgos en la conferencia Cyberwarcon en Washington, estos hackers utilizan identidades falsas generadas por inteligencia artificial y aprovechan las oportunidades del trabajo remoto para ejecutar sus operaciones.

La táctica consiste en crear perfiles profesionales falsos en plataformas como LinkedIn y GitHub, respaldados por tecnología de cambio de rostro y voz. Una vez contratados, los trabajadores norcoreanos reciben computadoras portátiles de las empresas que son redirigidas a facilitadores en Estados Unidos, quienes configuran estos dispositivos para acceso remoto. Desde ubicaciones como Corea del Norte, Rusia o China, los hackers acceden a los sistemas de las empresas sin revelar su verdadera identidad.

Un esquema global con múltiples objetivos.

Microsoft y otros investigadores de ciberseguridad han identificado varios grupos de hackers norcoreanos involucrados en estas actividades. Entre ellos destacan “Ruby Sleet” y “Sapphire Sleet”, cuyos objetivos incluyen tanto el robo de criptomonedas como la obtención de secretos de industrias aeroespaciales y de defensa.

En campañas recientes, los hackers se hicieron pasar por reclutadores y capitalistas de riesgo para engañar a sus víctimas. Según Microsoft, los impostores convencían a sus objetivos para descargar malware disfrazado de herramientas de reunión virtual o pruebas de habilidades, accediendo posteriormente a sus sistemas y billeteras de criptomonedas. En solo seis meses, estas tácticas generaron al menos 10 millones de dólares en criptomonedas robadas.

Más preocupante aún es el esfuerzo sostenido de los hackers por obtener empleos remotos en grandes corporaciones, aprovechando el auge del teletrabajo tras la pandemia de COVID-19. Una vez dentro, además de robar datos, los espías pueden extorsionar a las empresas con amenazas de revelar información confidencial.

Errores que revelaron la trama.

Aunque les guste, los hackers norcoreanos han cometido errores que permitieron a los investigadores descubrir sus operaciones. En un caso, Microsoft obtuvo acceso a un repositorio público que contenía documentos que detallaban cómo los trabajadores norcoreanos creaban identidades falsas, gestionaban sus ingresos y evadían las sanciones internacionales.

Otros investigadores identifican fallos en las identidades falsas al comunicarse directamente con los hackers. Por ejemplo, un supuesto trabajador que afirmaba ser japonés cometió errores lingüísticos en sus mensajes, revelando su verdadera nacionalidad. Otro afirmó tener una cuenta bancaria en China pero su dirección IP lo ubicaba en Rusia.

Implicaciones globales y acciones necesarias.

El esquema de los hackers norcoreanos plantea una amenaza significativa para la seguridad cibernética global. Según James Elliott, investigador de Microsoft, “estos actores no se van a ir; Estará aquí por mucho tiempo”.

El gobierno estadounidense ya ha impuesto sanciones contra organizaciones vinculadas a Corea del Norte y ha presentado cargos contra facilitadores que gestionan las granjas de laptops utilizadas en estas operaciones. Además, el FBI ha emitido alertas sobre el uso de deepfakes para conseguir empleos en empresas tecnológicas.

Sin embargo, los expertos subrayan la necesidad de que las empresas refuercen sus procesos de verificación de empleados. Realizar investigaciones exhaustivas sobre los antecedentes de los candidatos y mejorar los sistemas de detección de accesos remotos no autorizados son medidas esenciales para mitigar esta amenaza.

Un problema persistente.

Corea del Norte, bajo estrictas sanciones internacionales, enfrenta pocos riesgos al llevar a cabo estos ataques. Los investigadores consideran que la combinación de espionaje corporativo, robo de criptomonedas y extorsión es una estrategia clave para el régimen.

En palabras de Elliott, “el objetivo no solo es robar dinero, sino también obtener secretos corporativos y tecnológicos que fortalecen sus programas de armas”.

La comunidad global de ciberseguridad se enfrenta al desafío de contrarrestar esta creciente amenaza, mientras las empresas luchan por proteger sus activos y empleados de una estrategia que, según los expertos, seguirá evolucionando.