El pasado mes de febrero, una filtración bautizada como el "Kim dump" sacudió a la comunidad internacional de ciberseguridad. Se trataba de un paquete de archivos robados a un operador ligado a Kimsuky (APT43), uno de los grupos de hackers más activos y sofisticados asociados a Corea del Norte.

Lo que salió a la luz fue algo insólito: no simples muestras de malware, sino el entorno de trabajo completo del atacante, con historiales de comandos, borradores de herramientas, registros de accesos, documentos técnicos y hasta capturas de pantalla de su ordenador.

Sin embargo, en ese momento el material era un volcado en bruto: miles de archivos desordenados, en varios idiomas, con material muy diverso.

Ahora, los analistas de ciberseguridad han terminado de estudiar a fondo ese material y han empezado a publicar informes más completos, que ofrecen un vistazo sin precedentes al día a día de un espía digital norcoreano, y revela cómo se diseñan, prueban y despliegan ataques a gran escala contra gobiernos y empresas de Corea del Sur y Taiwán... con la posible sombra de apoyo logístico chino.

Un laboratorio clandestino al descubierto

Entre los archivos filtrados aparecieron historiales de consola donde el operador compilaba manualmente código malicioso en bajo nivel (ensamblador), lo probaba y lo borraba para ocultar huellas. Había registros de uso de OCR (reconocimiento óptico de caracteres) para analizar documentos en coreano sobre infraestructuras críticas, como la infraestructura de clave pública (GPKI) que gestiona la identidad digital de millones de ciudadanos surcoreanos.

También se encontraron:

• Claves digitales robadas de servidores gubernamentales, con contraseñas en texto plano.
• Rootkits para Linux capaces de ocultarse en el núcleo del sistema y pasar desapercibidos incluso ante herramientas de seguridad.
• Una red de páginas falsas que imitaban portales oficiales (como mofa.go.kr, del Ministerio de Exteriores surcoreano) para robar credenciales en tiempo real.

En Genbeta

Sale a la luz el método de Corea del Norte para que sus ingenieros sean contratados en buenos trabajos en empresas del mundo

En pocas palabras, el material muestra una operación que va mucho más allá del clásico 'phishing': combina espionaje técnico, robo de identidades digitales y control encubierto de servidores críticos.

El oro digital: credenciales y certificados

El hilo conductor de toda la operación es la obsesión por las credenciales. Para el atacante, una contraseña o un certificado digital no es solo un acceso: es la llave maestra para moverse sin ser detectado. Los registros filtrados muestran cómo el operador lograba acceso a cuentas de administrador (con nombres como 'oracle' o 'svradmin'), cambiaba contraseñas y anotaba cada éxito con la palabra coreana “변경완료” ('cambio completado').

En otros casos, el botín eran archivos '.key' pertenecientes a la infraestructura de certificados del gobierno surcoreano, lo que permitiría suplantar identidades oficiales y falsificar comunicaciones.

¿Qué hace China de por medio?

El análisis del 'Kim leak' confirma que Corea del Sur es el objetivo prioritario, tanto sus sistemas de identidad digital, como sus redes gubernamentales y sus comunicaciones diplomáticas. Sin embargo, sorprende la atención al detalle hacia Taiwán, donde el operador intentó explorar repositorios de investigación aeronáutica y portales de autenticación en la nube.

Aquí entra en juego la duda de atribución. Algunos indicios, como el idioma y el conocimiento de la GPKI, apuntan claramente a un actor norcoreano...

...pero otros elementos —uso de plataformas chinas como Baidu o Gitee, conexiones desde IPs de telecomunicaciones chinas, historial de navegación en mandarín simplificado— sugieren que el atacante operaba desde suelo chino o con su apoyo tácito. Nada que nos extrañe, dadas las recientes muestras públicas de afecto intergubernamental sino-norcoreano.

En Genbeta

Hackers norcoreanos han robado más de 1.300 millones de dólares en criptomonedas solo este año, según un estudio

Retrato de un hacker entre dos mundos

El aspecto más curioso de a filtración es su vertiente 'cultural': en los historiales de navegador se encontraron memes, manuales técnicos y hasta anuncios de móviles Huawei en chino simplificado. Todo ello refuerza la hipótesis de que el operador mantenía una 'identidad digital' integrada en la vida online de China, tanto para 'camuflarse' como para interactuar con posibles víctimas en ese ecosistema.

¿Por qué importa esta filtración?

Lo que hace único al 'Kim dump' es que demuestra cómo Corea del Norte se centra en el robo de credenciales como palanca para operaciones de largo plazo. Las implicaciones son graves:

• Corea del Sur y Taiwán deben reforzar la protección de sus sistemas de identidad digital, certificados y accesos administrativos.
• El caso confirma la tendencia hacia operaciones conjuntas entre Corea del Norte y China, lo que complica la atribución y la respuesta internacional.
• Para la comunidad global, esta filtración es un recordatorio de que el eslabón más débil no siempre es el usuario final, sino las propias infraestructuras de confianza digital que sostienen a gobiernos y empresas.

Vía | DomainTools

Imagen | Marcos Merino mediante IA

En Genbeta | En la guerra de Ucrania, los soldados norcoreanos han conocido Internet. ¿La consecuencia? Adicción al porno

En los últimos tiempos, empleados de empresas de diversos países del mundo tienen que volver a las oficinas. Las excusas que los jefes están usando para estas medidas llaman la atención en muchísimos casos.

Que el teletrabajo reduce la productividad; que es necesario estar cerca de otras empresas del sector; que los juniors rinden menos si no tienen a otros profesionales más experimentados cerca en sus inicios; que en casa hay más distracciones... y hoy hay una nueva razón para obligar a los empleados a estar más presentes, de la mano del CEO de Coinbase: los hackers norcoreanos que se infiltran en empresas aprovechando la distancia o los que se hacen pasar por empresas para robar a posibles trabajadores (de hecho, esta empresa fue suplantada con ese objetivo, en el pasado).

En Genbeta

Un hombre tenía 13 empleos tech, pero trabajaba haciendo la manicura y subcontrataba a otros. Se le acusa de financiar a Corea del Norte

Según declaró el director ejecutivo Brian Armstrong, los trabajadores tecnológicos norcoreanos tienen a Coinbase en la mira y entonces él ha anunciado cambios en sus políticas de "prioridad al trabajo remoto" para frustrar estos intentos. La empresa, según las declaraciones, no está obligando a la gente a volver a las oficinas, pero sí ha tomado varias decisiones para cerciorarse de que sus trabajadores no son ciberdelincuentes o no está colaborando con hackers.

Según sus declaraciones, a algunos empleados de Coinbase se les han ofrecido sobornos para comprometer información confidencial. Armstrong afirmó que los trabajadores de norcoreanos han intentado aprovecharse de la política de trabajo remoto de la compañía para obtener empleo y luego acceder a los sistemas confidenciales de la plataforma de intercambio de criptomonedas. El CEO afima que el país está muy interesado en robar criptomonedas.

Cómo conocer bien a los candidatos

En el podcast de Cheeky Pint, el CEO cuenta alguna de sus estrategias: "Primero, estas personas reciben entrenamiento offline mientras están en cámara. Así que los obligamos a encender la cámara y demostrar que no son IA. También comenzamos a exigir que todos vengan a EE. UU. para recibir orientación a la hora acceder a cualquier sistema sensible".

La empresa les toma huellas dactilares, para asegurar de que cualquier persona con acceso sensible tenga ciudadanía estadounidense y familia en el país "porque no queremos que alguien sienta que puede huir sin temor a la extradición o algo similar", ha continuado explicando.

En Genbeta

Sale a la luz el método de Corea del Norte para que sus ingenieros sean contratados en buenos trabajos en empresas del mundo

Los agentes de atención al cliente trabajan en instalaciones bastante cerradas, con una Chromebook y el directivo afirma que en algunos casos sabe que ciberdelincuentes les han ofrecido a sus empleados cientos de miles de dólares por introducir de contrabando un teléfono personal y tomar fotos de la pantalla. Si alguien introduce dispositivos personales no es despedido, "sino que va a la cárcel".

La IA llevará a más presencialidad

Además, en su charla con el CEO de Stripe, Armstrong afirma que está seguro de que "la presencia física se va a convertir en algo más importante en un mundo de IA, deepfakes". Es decir, que a más probabilidades de ciberdelitos, menos trabajo en remoto.

Y es que la empresa no tiene solo problemas con los mencionados hackers coreanos sino que muchos hombres jóvenes de muchos lugares del mundo también trabajan arduo por lograr estafas a empresas como Coinbase.

En Genbeta

Corea del Norte se financia con falsos empleados que se infiltran en compañías tecnológicas. Y ya van a por Europa, según Google

El mes pasado, el FBI emitió una advertencia actualizada sobre los trabajadores tecnolñogicos norcoreanos que atacan a empresas privadas "para generar ilícitamente ingresos sustanciales para el régimen". El FBI afirmó que estos trabajadores trabajan con personas, tanto conscientes como inconscientes, dentro de Estados Unidos.

El FBI afirmó que facilitadores con sede en Estados Unidos han reenviado ordenadores portátiles de empresas, asistido a entrevistas virtuales en nombre de trabajadores norcoreanos e incluso creado empresas fachada.

En Genbeta | Un hacker dejó sin Internet a Corea del Norte. Acaba de desvelar quién es y por qué lo hizo

En Genbeta | Aparece por fin el 'CEO' de la criptoestafa millonaria de HyperVerse: no era más que un actor a sueldo

Ya sabemos que desde hace años, Corea del  Norte ha mantenido una red sofisticada de trabajadores informáticos  encubiertos que operan desde el extranjero para financiar a Kim Jong Un. Si bien Estados Unidos había sido hasta el principal blanco de esta operación cibernética, también se sabe que andan por Europa.

En muchos casos, el teletrabajo es su gran aliado y hace unos días recogimos la historia de un jefe que descubrió que ingenieros que llevaban años trabajando en su empresa eran en realidad espías infiltrados norcoreanos. En muchos otros casos cuentan con el apoyo de ciudadanos de Estados Unidos (llamó mucho la atención la historia de un hombre con 13 empleos tech, que en realidad trabajaba haciendo la manicura y subcontrataba a otros).

En Genbeta

Una gran empresa de seguridad de EE.UU contrata a un ingeniero para que teletrabaje y era un ciberdelincuente norcoreano

Y ahora hay información mucho más concreta de cómo han logrado este despliegue masivo de profesionales en empresas americanas y europeas. Como recoge Xataka, según el FBI, el Departamento de Justicia y Google, lo que estos empleados persiguen es conseguir ingresos para financiar el programa nuclear de Corea del Norte. Pero el modus operandi era una gran incógnita hasta ahora.

SttyK acaba de presentar sus hallazgos en la conferencia de seguridad Black Hat en Las Vegas y dice que lo sabe gracias a que una fuente confidencial anónima le proporcionó los datos de las cuentas online con todas estas informaciones.

Cómo logra Corea del Norte infiltrarse en empresas extranjeras

En un momento en el que lograr un nuevo trabajo en Estados Unidos se está convirtiendo en una fuente de mucha frustración, como dicen los propios profesionales.... un nuevo informe demuestra que parece que algunos de los solicitantes de empleo más prolíficos del mundo, o al menos los más persistentes, pertenecen a los extensos esquemas de trabajadores del sector tech de Corea del Norte.

Durante años, Kim Jong-un ha logrado enviar con éxito a programadores cualificados al extranjero, donde se encargan de encontrar trabajo remoto y enviar dinero al país, que está aislado y sancionado por muchos países del mundo por las tensas relaciones diplomáticas del régimen.

En Genbeta

Los hackers de Corea del Norte están aprovechando el teletrabajo para infiltrarse en empresas de EE.UU. En realidad solo buscan robar

Naciones Unidas estima que cada año miles de trabajadores del sector tecnológico logran, en total, ingresar entre 250 y 600 millones de dólares. El dinero obtenido por estos hackers contribuye a los esfuerzos de desarrollo de armas de destrucción masiva y a los programas de misiles balísticos de Corea del Norte, según el gobierno estadounidense.

Ahora, se ha logrado obtener más información, tras recabar un buen número de datos para saber cómo gestionan todo el proceso. Gracias a correos electrónicos, hojas de cálculo, documentos y mensajes de chat de cuentas de Google, Github y Slack presuntamente vinculadas a los presuntos estafadores norcoreanos, una empresa de seguridad ha logrado comprender cómo rastrean posibles empleos, registran sus solicitudes en curso y también sus ingresos "con minuciosa atención al detalle", tal y como recoge Wired.

Un entramado muy bien gestionado

El conjunto de datos recabado ofrece un vistazo a la vida cotidiana de algunos trabajadores del sector tecnológico originarios de Corea del Norte. Entre otros asuntos se puede ver que cuentan con identificaciones falsas que podrían usarse para solicitudes de empleo, cuentan con ejemplos de cartas de presentación, detalles de granjas de computadoras portátiles y manuales para crear cuentas en línea.

De este modo, con una organización muy precisa, según la información presentada en Las Vegas, en los últimos años, los trabajadores de Corea del Norte se han infiltrado en grandes empresas incluso en algunas de la lista Fortune 500, también en muchas empresas tecnológicas en general y de criptomonedas, "e innumerables pequeñas empresas".

En Genbeta

Estos norcoreanos robaron las identidades de 60 estadounidenses y consiguieron empleos en remoto en grandes tecnológicas

Si bien no todos los equipos utilizan los mismos enfoques, a menudo emplean identidades falsas o robadas para conseguir trabajo y en el nuevo informe se ha podido comprobar que también recurren a facilitadores que les ayudan a ocultar su rastro digital. Por ejemplo, trabajadores que están en Rusia o China y tienen más libertad que las personas que residen en Corea del Norte.

SttyK muestran un grupo de trabajadores de TI que parece estar dividido en 12 grupos, cada uno con alrededor de una docena de miembros, y que tras esto hay un "jefe general".

Hojas de cálculo con toda la información

Según la información: las hojas de cálculo se elaboran metodológicamente para realizar un seguimiento de los trabajos y presupuestos, cuentan con pestañas de resumen y análisis que desglosan los datos de cada grupo, mientras que toda la información parece actualizarse con regularidad.

También recoge datos sobre empresas que buscan profesionales (por ejemplo, se necesitan expertos desarrolladores de React y Web3, como se puede leer en uno de esos documentos filtrados) y también indican cuáles son las empresas que los anuncian y sus ubicaciones. Por otro lado, se ha visto que incluye enlaces a las vacantes en sitios web de freelancers o a los datos de contacto de quienes realizan la contratación.

Por ejemplo, en estos análisis se puede encontrar una lista de los tipos de trabajo en los que participa el grupo de hackers. Como ejemplos: IA, blockchain, web scraping, desarrollo de bots, desarrollo de aplicaciones móviles y web, trading, desarrollo de CMS, desarrollo de aplicaciones de escritorio... Luego, cada categoría incluye un presupuesto potencial y un campo de "total pagado". También recogen las regiones más lucrativas para obtener ingresos y si recibir pagos semanales, mensuales o una suma fija es la mejor opción para su propósito.

Vía | Xataka

Imagen | Foto de sehoon ye en Unsplash, recortada

En Genbeta | Un hacker dejó sin Internet a Corea del Norte. Acaba de desvelar quién es y por qué lo hizo

En Genbeta | Aparece por fin el 'CEO' de la criptoestafa millonaria de HyperVerse: no era más que un actor a sueldo

Hace unos días hubo una historia que causó mucho interés. Un hombre que trabajaba haciendo manicuras tenía 13 empleos más. Y lo que se descubrió es que cedía su identidad estadounidense a desarrolladores con sede en China, quienes la utilizaron para obtener más de una docena de trabajos tecnológicos remotos, y financiar actividades de Corea del Norte.

Hoy tenemos la historia compartida por un CEO de una empresa de blockchain que ha descubierto, gracias al FBI, que tenía a varios infiltrados norcoreanos en su firma. Y, además, uno de sus trabajadores estuvo contratado durante varios años, hasta que el directivo, de nombre Marlon Williams, lo echó del trabajo pensando que le robaba dinero. Sin embargo, no solo robaba sino que es un ciberdelincuente con una misión internacional.

En Genbeta

Una tiktoker ayudó a hackers de Corea del Norte a infiltrarse en Estados Unidos con trabajo remoto. Ahora podría acabar en la cárcel

Según documentos judiciales que comparte The Wall Street Journal, el hombre es en realidad Kim Kwang Jin, un ciberdelincuente norcoreano que utilizaba una identidad robada. Era parte de un grupo de hombres que viajaban por el mundo buscando formas de ganar dinero para su gobierno. El FBI explica que ha sido "una estafa a largo plazo". Y este no era el único. Hay más acusados y uno de ellos, además, también se cree que estafó a una empresa en Serbia.

El anonimato y trabajo remoto

Williams estima que pagó a este hombre y sus asociados cerca de 400.000 dólares en salarios, en total. Además del salario, los trabajadores también utilizaron sus posiciones de confianza en la firma de blockchain para robar más de un millón de dólares en criptomonedas.

Cuentan los expertos que los ciberdelincuentes lo tenían fácil: "como un verdadero creyente de las criptomonedas, el trabajo remoto y el anonimato eran algo común en el mundo de Williams, y no tuvo problemas en contratar a un programador que nunca había conocido y que vivía al otro lado del mundo". En este sector los desarrolladores a menudo trabajan utilizando seudónimos.

En Genbeta

Un simple tuit sobre una criptomoneda puede hacer caer al presidente argentino. Y el creador de Ethereum añade una nueva acusación

Fue en el año 2020 cuando Williams conoció a Kim Kwang Jin. Se puso en contacto con su empresa a través de una lista de discusión de Telegram. Él estaba buscando trabajo y se presentó como un ingeniero senior full-stack con más de 7 años de experiencia profesional y había estudiado, según su testimonio, en la Universidad de Sharjah en los Emiratos Árabes Unidos.

Comenzó a enviar mensajes directos a Williams para insistir en su contratación. Según el CEO: "Tenía un perfil de LinkedIn muy bien organizado y una cuenta de GitHub".Un mes después, necesitaba un desarrollador de software y lo contrató para un proyecto concreto.

En Genbeta

Estos norcoreanos robaron las identidades de 60 estadounidenses y consiguieron empleos en remoto en grandes tecnológicas

Según su historia, el hombre hizo un buen trabajo, reescribiendo y mejorando rápidamente la interfaz de usuario para un proyecto de criptografía. En octubre, cuando Williams buscaba un desarrollador que lo ayudara con su próxima gran idea, lo contrató.

Lo contrata para su nueva empresa

El emprendedor había descubierto una forma de reducir un tipo de fraude que se estaba convirtiendo en un gran problema en el mundo de las criptomonedas. Se llama "rug pull" y ocurre cuando desarrolladores de software inventan proyectos que suenan interesantes y luego aceptan dinero de inversión inicial, a veces cientos de miles de dólares, para sacarlos adelante. Pero en lugar de entregar el código, los estafadores se hacen con el dinero y desaparecen.

En Genbeta

Corea del Norte se financia con falsos empleados que se infiltran en compañías tecnológicas. Y ya van a por Europa, según Google

Williams fundó una empresa, hoy conocida como Starter Labs, que utilizaría contratos inteligentes para garantizar que los desarrolladores de software no recibieran su dinero de inversión hasta que enviaran el código. Hasta la fecha, el proyecto ha contado con inversiones que superan los 45 millones de dólares.

Un ejército de norcoreanos en empresas

En los últimos cinco años, los norcoreanos han creado un pequeño ejército de varios miles de trabajadores que se han expandido por todo el mundo y han ganado cientos de millones de dólares gracias a sus salarios, mientras también realizan robos, tanto de dinero como de información.

Según las informaciones del FBI, su objetivo principal es recaudar dinero. Pero como los trabajadores también descargan propiedad intelectual mientras realizan sus trabajos, su trabajo también es de espionaje.

En Genbeta

Hackers norcoreanos han robado más de 1.300 millones de dólares en criptomonedas solo este año, según un estudio

En los últimos años han conseguido empleos en empresas de tecnología, una importante cadena de televisión, un "icónico fabricante de automóviles estadounidense" y una importante empresa de entretenimiento, entre otros lugares, según documentos judiciales.

Imagen | Marcos Merino mediante IA

En Genbeta | Aparece por fin el 'CEO' de la criptoestafa millonaria de HyperVerse: no era más que un actor a sueldo

En Genbeta | Esta  'estafa de tareas' es uno de los anuncios de trabajo falsos más  extendidos del mundo: ya ha timado más de 100 millones de dólares

Una de las grandes ventajas de teletrabajar es que puedes desempeñar tu labor profesional en cualquier parte, basta con tener un ordenador y una buena conexión a internet. Esto abre las puertas a conocer mundo, vivir cerca de tu gente aunque trabajes en una potente multinacional con sede en una gran ciudad, ahorrar en gastos como alquiler o desplazamientos y sí, el trabajo en remoto también hace más fácil el espionaje.

Uno de los países con una flota de hackers más potente es Corea del Norte y precisamente desde el país asiático nos llega una noticia de ciberdelincuencia a distancia donde la que tiene todas las papeletas para salir mal parada es Christina Chapman, una tiktoker oriunda de Minnesota que se gana la vida como freelance en dicha red social. ¿El motivo? Ayudar a montar la tapadera para el fraude, algo que no es la primera vez que vemos y que tras producirse en Estados Unidos, está moviéndose a Europa.

Corea del Norte está infiltrando ciberdelincuentes gracias al trabajo remoto y ciudadanos de a pie

Una investigación reciente del Wall Street Journal desvela cómo ciudadanos estadounidenses normales y corrientes se están viendo envueltos en una operación de fraude global de la que ni siquiera son conocedores. Christina Chapman es uno de esos casos. La tiktoker se presentaba en sus redes como una freelance de lifestyle que comparte sus rutinas diarias, metas de escritura y su amor por la música pop, consiguiendo así 100.000 seguidores en TikTok.

Hasta aquí, todo más o menos normal. Sin embargo y según los fiscales de la investigación, en su casa había una granja de portátiles desde donde agentes norcoreanos se hacían pasar por trabajadores de la industria tech que supuestamente estaban en Estados Unidos. Más concretamente, los hackers utilizaban identidades robadas de estadounidounidenses para conseguir tanto el trabajo como el acceso a los sistemas empresariales.

Como detalla TechSpot, todo comenzó con un simple mensaje de LinkedIn allá por 2020 en el que alguien le preguntó si quería ser la cara estadounidense de una empresa que colocaba talento tecnológico en el extranjero. Su misión consistía en recibir portátiles corporativos, configurar el acceso remoto y mantenerlos operativos para que los trabajadores pudieran simular que trabajaban desde allí. Asimismo, también gestionaba documentación y por sus manos pasaron documentos falsificados y hasta reenviaba cheques tras quedarse con una comisión. Recibió por ello 150.000 dólares.

De acuerdo con la investigación, la granja de portátiles de la tiktoker prestó servicios a más de 300 empresas y mover 17,1 millones de dólares en concepto de salarios. Curiosamente, los documentos recopilados evidencian que Chapman no sabía que sus clientes eran en realidad agentes norcoreanos. Muchas de estas empresas que enviaron equipos y fondos, tampoco. Por supuesto, tampoco esos supuestos trabajadores cuya identidad se suplantaba.

En Genbeta

Una gran empresa de seguridad de EE.UU contrata a un ingeniero para que teletrabaje y era un ciberdelincuente norcoreano

La magnitud del fraude es enorme a varios niveles. Por un lado, los trabajadores norcoreanos a menudo contaban en sus currículums con exhaustivos y exigentes programas de formación técnica, lo que les permitió conseguir empleos en firmas de renombre, desempeñar varios empleos y lograr salarios de seis cifras. Asimismo contaban con software avanzado para saltar los sistemas de seguridad empresariales, captaban reuniones y extraían datos sensibles sin ser detectados.

¿Cómo esquivaron algunas pruebas donde hacía falta ver la cara del trabajador? De varias formas: recurrieron a trabajadores ocasionales para esas verificaciones en videollamadas o para crear cuentas de freelance legítimas e incluso llegaron a usar inteligencia artificial para modificar su apariencia en entrevistas. Si todo lo anterior no era suficiente, llegaron a contratar a estadounidenses como sustitutos.

La investigación del fraude llegó hasta Chapman, que en octubre de 2023 fue descubierta y arrestada. Ahora se enfrenta a una posible pena de nueve años de prisión.

En Genbeta | Un hacker dejó sin Internet a Corea del Norte. Acaba de desvelar quién es y por qué lo hizo 

Portada | Computadora iconos creados por Freepik - Flaticon

Minh Phuong Ngoc Vong es un hombre de 40 años y residente en un municipio en el estado de Maryland, que será sentenciado en agosto tras declararse culpable de conspiración para cometer fraude electrónico. Más allá de esto, como recoge Fortune, las autoridades consideran qu forma parte de una gran red de falsificación de empleados de TI que financia el programa de armas nucleares y misiles balísticos de Corea del Norte.

Lo que han alegado las autoridades de Estados Unidos es que Vong alquiló su identidad estadounidense a desarrolladores con sede en China, quienes la utilizaron para obtener más de una docena de trabajos tecnológicos remotos, algunos de los cuales implicaban contratos para agencias gubernamentales que manejan datos de seguridad. Se sabe que, al menos, consiguió trabajo, con su documentación, en al menos 13 empresas entre 2021 y 2024.

En Genbeta

Corea del Norte se financia con falsos empleados que se infiltran en compañías tecnológicas. Y ya van a por Europa, según Google

En total, además, con todos los empleos en conjunto, el grupo a ingresar 970.000 dólares en salario por tareas de desarrollo de software que, en realidad, fueron realizadas por agentes que, según las autoridades, son norcoreanos y llevaban a cabo su trabajo remoto desde Shenyang, China, según el Departamento de Justicia.

Cómo lograba sus trabajos

Más allá de esto, el Departamento de Justicia afirma que Vong, quien trabajaba en un salón de manicura y spa, no tiene título ni experiencia en desarrollo. En uno de los 13 empleos, alguien que se identificó como Vong participó en una entrevista en línea para ser desarrollador de software y, en la entrevista, su interlocutor tomó una captura de pantalla al encuentro online en la pantalla.

En Genbeta

Tener más de un trabajo en España e incluso tres empleos al mismo tiempo: muchas personas lo hacen, mientras la vida se encarece

Hemos visto que muchas personas aprovechan el teletrabajo para tener más de un trabajo y conseguir sueldos mucho mejores. En este caso, ni siquiera el hombre realizaba esos trabajos, porque no tenía las capacidades para ello. Sino que prestaba su documentación estadounidense para hacerse con empleos en grandes entidades y bien remunerados, pero expertos desde otros países los llevaban a cabo.

Por ejemplo, el director ejecutivo de una empresa con sede en Virginia lo contrató tras una "exitosa" entrevista final en la que Vong supuestamente mostró su licencia de conducir de Maryland y su pasaporte estadounidense para confirmar su identidad.

Acceso a información secreta

La empresa contrató a Vong para un contrato de que involucraba para monitorear activos de aviación en Estados Unidos, según los registros judiciales. El software es utilizado por agencias gubernamentales como el Departamento de Defensa, el Departamento de Seguridad Nacional y el Servicio Secreto.

La empresa de Virginia le envió a Vong un portátil MacBook Pro con derechos administrativos para descargar software, y la FAA le proporcionó una tarjeta de verificación de identidad personal para acceder a las instalaciones y sistemas gubernamentales, según consta en los registros judiciales.

En Genbeta

Una gran empresa de seguridad de EE.UU contrata a un ingeniero para que teletrabaje y era un ciberdelincuente norcoreano

Vong supuestamente instaló un software de acceso remoto en el dispositivo de la empresa para que su cómplice pudieran usarlo desde China. Entre marzo y julio de 2023, la empresa de Virginia pagó a Vong más de 28.000 dólares, mientras que el trabajo lo realizaban personas desconocidas, según las informaciones aportadas por el Departamento de Justicia.

Además, alguien conocido como Vong asistió a reuniones de trabajo por Zoom y hablaba con su equipo sobre las tareas en reuniones que eran diarias. Como parte de su declaración de culpabilidad, Vong admitió que el trabajo en esta empresa de Virginia fue solo uno entre 13 empresas diferentes que lo contrataron entre 2021 y 2024.

Cómo lo descubrieron

Vong fue despedido por la empresa de Virginia después de que esta presentara su información a la Agencia de Contrainteligencia y Seguridad de Defensa para obtener una autorización secreta y descubrieran que podría tener otro trabajo.

Con el tiempo se dieron cuenta de que el hombre de la entrevista o las reuniones no era el mismo de la documentación que el verdadero Vong presentó para mostrar que tenía permiso para vivir y trabajar en Estados Unidos.

Corea del Norte tras todo esto

Se cree que este caso forma parte de una gran operación de fraude en la que ciudadanos norcoreanos entrenados trabajan con facilitadores estadounidenses para obtener trabajos remotos del sector tecnológico en diversas identidades y que luego llevan a cabo su trabajo desde Rusia o China. Según los datos oficiales, luego envían sus salarios a Kim Jong Un, el líder de Corea del Norte.

En Genbeta

La Generación Z está hackeando España, literalmente: así son los hackers y estafadores adolescentes que atacan con éxito a la DGT o al CGPJ

Incluso Naciones Unidas estima que el plan genera ingresos de entre 250 y 600 millones de dólares anuales y financia el programa de armas nucleares de Corea del Norte. El FBI, el Departamento de Estado y el Departamento de Justicia afirman que miles de trabajadores, expertos en tecnología norcoreanos, han logrado trabajos en cientos de las mayores empresas.

Imagen | Foto de freestocks en Unsplash

En Genbeta | Un hacker dejó sin Internet a Corea del Norte. Acaba de desvelar quién es y por qué lo hizo 

Diversos directores de empresas tecnológicas han alertado de un problema que están viviendo: cuando buscan trabajadores para su plantilla se encuentran que reciben muchísimas solicitudes de empleo de candidatos que parecen perfectos pero que, en realidad, son perfiles falsos. Y aprovechan, para ello, las tecnologías: estos perfiles abundan en vacantes de teletrabajo y usan la IA para inventar quiénes son.

El auge de los perfiles generados por IA significa que para 2028 en todo el mundo 1 de cada 4 candidatos a un puesto de trabajo será falso, de acuerdo con una nueva investigación de Gartner, que comparte el medio CNBC.

En Genbeta

Alguien creó una IA para engañar en entrevistas de trabajo técnicas. Amazon lo denunció y ha acabado expulsado de su universidad

De acuerdo con la información, las empresas se enfrentan a una nueva amenaza: supuestos buscadores de empleo que no son quienes dicen ser. Estas personas y grupos utilizan herramientas de IA para fabricar identificaciones con foto, generar historiales laborales y también para responder, durante las entrevistas, de manera adecuada a las preguntas. 

Reclutar trabajadores en la era de la IA

En ocasiones pueden ser trabajadores que quieren acceder a un empleo para el que no dan la talla, pero el mayor problema reside en cuando es algo orquestado por grupos para robar información importante.

Según Roger Grimes, consultor de seguridad informática, la industria de los falsos empleados se ha ampliado en los últimos años más allá de los norcoreanos (más abajo veremos historias reconocidas al respecto) para incluir a grupos delictivos ubicados en Rusia, China, Malasia y también en Corea del Sur. Grimes ha dicho a CNBC, que algunos de estos trabajadores fraudulentos son considerados de alto rendimiento en la mayoría de las empresas. 

En Genbeta

Ojo, Recursos Humanos: un hombre hace una entrevista de trabajo y la entrevistadora era una IA

Además de eso, ya hemos visto que está siendo muy extendido el uso de la IA para crear CV e incluso para responder preguntas técnicas con apoyo, en entrevistas online y sin que el interlocutor lo pueda notar.

Tanto es así que se ha sabido que el CEO de Google incluso ha puesto sobre la mesa el plan de volver a las entrevistas en persona. Incluso, una reconocida empresa del sector de la IA ha pedido a sus candidatos que no usen estas herramientas para solicitar empleo.

Una amenaza: perfiles falsos para luego robar información

Una vez contratado, un impostor puede instalar malware para pedir un rescate a una empresa, o robar sus datos de clientes, secretos comerciales o fondos. Pindrop Security, una empresa de seguridad, ha hablado de un candidato a un puesto de trabajo, que era un estafador que utilizaba tecnología de IA deepfake para enmascarar su rostro.

En Genbeta

La IA Generativa está cambiando el mercado laboral. Los ganadores y perdedores están muy claros

La startup afirma que el perfil de este candidato destacó entre muchos más CV que la firma recibió al presentar una vacante. Era un programador de origen ruso.

"Cuando se le entrevistó por vídeo el mes pasado, el responsable de contratación de Pindrop se dio cuenta de que las expresiones faciales estaban ligeramente desincronizadas con sus palabras". Y acabaron sabiendo que era un estafador que ocultaba su rostro gracias a una tecnología y no mostrar su identidad real.

Por su parte, Lili Infante, fundadora y directora ejecutiva de CAT Labs, compaía de ciberseguridad y la criptomoneda, afirma que su actividad es especialmente atractiva para este perfil de personas. Tanto que: "Cada vez que publicamos una oferta de empleo, 100 espías norcoreanos la solicitan" y dice que les llegan perfiles de profesionales "increíbles" pero que ya han podido comprobar que no son reales.

Una amenaza de Corea del Norte, aunque no solo

Ya hemos visto que esta práctica es muy usada por personas de Corea del Norte para lograr empleos en firmas de Estados Unidos y de Europa y así hacerse con información y también usar los salarios que reciben como una fuente de financiación más para mantener el Gobierno de Kim Jong-un. Y, según el estudio de Gartner y las declaraciones de directivos, estos casos no son nada aislado.

En Genbeta

Un jefe confiesa que usa la prueba del café para decidir en entrevistas de trabajo. Hay expertos que le dan la razón

En mayo del pasado año, más de 300 empresas estadounidenses afirmaban haber contratado inadvertidamente a impostores vinculados a Corea del Norte para trabajos informáticos, entre ellas una importante cadena de televisión nacional, un fabricante de material de defensa, un fabricante de automóviles, entre otras según denunciaba el Departamento de Justicia.

Imagen | Foto de Patrick Tomasso en Unsplash

Desde hace años, Corea del Norte ha mantenido una red sofisticada de trabajadores informáticos encubiertos que operan desde el extranjero para financiar al régimen de Kim Jong Un. Si bien Estados Unidos había sido hasta ahora el principal blanco de esta operación cibernética, los recientes esfuerzos de la justicia estadounidense para desmantelar estas redes han empujado a estos operativos hacia un nuevo frente: Europa.

¿Quiénes son estos trabajadores IT falsos?

Durante años, Corea del Norte ha desplegado miles de 'trabajadores IT' en el extranjero, especialmente en modalidad remota, con el objetivo de generar ingresos para su programa armamentístico. Según un reciente informe del Google Threat Intelligence Group, esta expansión incluye la infiltración en sectores clave como defensa, inteligencia artificial, blockchain y desarrollo web.

El esquema consiste en obtener trabajos legítimos usando identidades falsas, operar desde países aliados —como China, Rusia o Laos— y desviar sus salarios a Pyongyang. Pero su objetivo no es solo obtener empleos remunerados —con ingresos que pueden superar los 300.000 dólares anuales por persona—, sino también instalar malware, robar información sensible y extorsionar a sus empleadores una vez descubiertos.

En Genbeta

Así utiliza Corea del Norte la IA como ChatGPT para sus ataques cibernéticos: cada vez son más sofisticados, según expertos

Para ello, amenazan con publicar o vender información sensible robada —como código fuente, datos propietarios o credenciales— si no se les paga una suma específica. Esta nueva táctica ha sido particularmente efectiva contra empresas grandes que buscan evitar escándalos de seguridad.

¿Cómo operan?

Tras ser contratados, utilizan 'facilitadores' locales que reciben los equipos de trabajo y los mantienen conectados, mientras los operadores reales se conectan vía VPN desde el extranjero. Esta gran operación de fraude se apoya en una infraestructura global, que incluye redes para mover el dinero hacia Corea del Norte.

El 'modus operandi' está meticulosamente estructurado. Algunos de los métodos más comunes incluyen:

• Uso de plataformas como Upwork o Freelancer para postularse y recibir pagos en criptomonedas o servicios como Payoneer y TransferWise.
• Currículums falsos con títulos universitarios inventados y domicilios ficticios en países europeos.
• Evasión de entrevistas en vídeo, alegando problemas técnicos o usando imágenes generadas por IA.
• 'Facilitadores' locales que reciben portátiles de las empresas contratantes para simular presencia física en el país.
• VPNs y 'granjas de laptops' para conectar a trabajadores situados físicamente en China, Rusia o Laos, pero que aparentan trabajar desde Europa.

EE.UU. reacciona. Las empresas europeas caen en la trampa

Estados Unidos ha intensificado su respuesta: el Departamento de Justicia ha procesado a ciudadanos estadounidenses que ayudaban a estos trabajadores en sus operaciones, y el Departamento de Estado ofrece hasta cinco millones de dólares por información que permita desmantelar estas redes. El Departamento del Tesoro también ha sancionado empresas fachada vinculadas al Ministerio de Defensa norcoreano.

En Europa, sin embargo, la respuesta ha sido más fragmentada. Solo recientemente el Reino Unido emitió una advertencia formal sobre los riesgos de contratar inadvertidamente a estos falsos trabajadores. Entre ellos:

• Pérdida de información confidencial (código fuente, propiedad intelectual).
• Extorsión: tras ser despedidos, algunos trabajadores norcoreanos amenazan con divulgar la información robada.
• Sanciones legales: contratar inadvertidamente a estos trabajadores podría violar sanciones internacionales, como advierte la Oficina de Sanciones Financieras del Reino Unido.

Aviso público del FBI

Cómo detectar y prevenir el fraude

El FBI y otras agencias de seguridad han emitido guías para detectar estos fraudes. Algunas señales de alerta incluyen:

• Solicitudes de entrevistas solo por texto o voz.
• Cambios frecuentes en métodos de pago.
• Cuentas sin foto o sin historial comprobable.
• Direcciones de envío de equipos que no coinciden con la ubicación declarada.

Las empresas, especialmente en Europa, deben fortalecer sus mecanismos de verificación de identidad, políticas BYOD ('trae tu propio dispositivo'), y estar atentos a perfiles sospechosos en plataformas freelance.

Vía | The Record

Imagen | Marcos Merino mediante IA

En Genbeta | Un hacker dejó sin Internet a Corea del Norte. Acaba de desvelar quién es y por qué lo hizo 

Además de la participación de las tropas norcoreanas en el conflicto bélico entre Rusia y Ucrania, hay un dato que también ha preocupado a la comunidad cripto. Y es que de los más de 2.200 millones de dólares robados en criptomonedas este año, los hackers norcoreanos son responsables de más de la mitad de esta cifra (61%), según un nuevo estudio.

La firma de investigación Chainalysis informa que hackers vinculados al estado norcoreano robaron un total de 1.300 millones de dólares en criptomonedas durante todo 2024, una cifra que supera en más del doble a la recogida el pasado año.

Hackers norcoreanos y criptoestafas millonarias

Entre los robos se encuentran algunos en los que hackers norcoreanos se hicieron pasar por informáticos que trabajan en remoto para infiltrarse así en empresas de criptomonedas y otras compañías tecnológicas, tal y como muestra el informe.

La ciberdelincuencia en torno a las criptomonedas se ha disparado al igual que lo ha hecho el valor del bitcoin, duplicando su precio y alcanzando un valor superior a los 100.000 dólares. Además, también surge en un contexto en el que el nuevo presidente de los Estados Unidos, Donald Trump, prometió ofrecer más apoyo a las criptomonedas que lo realizado hasta la fecha bajo el mandato de Joe Biden.

En Genbeta

Este comentario inocentón en YouTube te incita a robar criptomonedas: no es más que el comienzo de una hábil estafa

Si nos ceñimos a los datos del estudio, la cantidad de criptomonedas robadas en 2024 supera en un 21% a la cifra de 2023, aunque todavía sigue por debajo de la alcanzada en 2021 y 2022, según el informe. Recordemos que en 2021 el mercado de las criptomonedas experimentó otro auge histórico al rebasar el bitcoin un valor de 69.000 dólares, significativamente más alto de a lo que estábamos acostumbrados hasta entonces. Al haber más dinero en circulación en el sector cripto, los incentivos para los ciberdelincuentes también son mayores.

“El aumento del robo de criptomonedas en 2024 subraya la necesidad de que la industria aborde un panorama de amenazas cada vez más complejo y en evolución”, señaló el estudio. Según cuentan desde la firma analista, la mayoría de los robos de criptomonedas este año se debieron a la obtención de claves cifradas, utilizadas para acceder a los assets de los usuarios en las plataformas cripto.

Entre los incidentes más significativos de este año se incluyen el robo del equivalente a 300 millones de dólares en bitcoin de la plataforma japonesa DMM Bitcoin y la pérdida de casi 235 millones de dólares de WazirX, una plataforma de intercambio de criptomonedas con sede en India.

Según el gobierno estadounidense, el régimen norcoreano estaría recurriendo al robo de criptomonedas y otras formas de ciberdelincuencia con el fin de eludir sanciones internacionales y recaudar fondos.

Tal y como informan desde la BBC, la semana pasada un tribunal federal en St. Louis acusó a 14 norcoreanos de supuestamente formar parte de una conspiración destinada a extorsionar fondos de empresas estadounidenses y canalizar dinero hacia los programas de armamento de Pyongyang. El Departamento de Estado de Estados Unidos anunció una recompensa de hasta 5 millones de dólares para quien pueda proporcionar más información sobre el supuesto esquema.

Imagen de portada | Generada por IA con ChatGPT

En Genbeta | Un chaval de 13 años crea una criptomoneda y logra estafar 46.000 euros a quienes habían apostado por él. Se mofó de todos en directo

Se estima que alrededor de 15.000 soldados norcoreanos fueron desplegados hace un mes en la región rusa de Kursk, cerca de la frontera ucraniana, en apoyo a las fuerzas rusas. Mientras, tanto Corea del Sur como China observan con preocupación las posibles concesiones que Rusia podría ofrecer a Corea del Norte a cambio de su apoyo: se habla de acuerdos relacionados con tecnología militar.

Aunque, aparentemente, no sería esa la tecnología que más preocupa ahora mismo a las tropas norcoreanas.

Y es que la implicación de Corea del Norte en la guerra entre Rusia y Ucrania ha captado recientemente la atención internacional, no sólo por su impacto militar y geopolítico, sino también por un tema bastante inusual: el acceso a Internet de los soldados norcoreanos desplegados en Rusia... y el efecto que ha tenido sobre ellos.

El aislamiento digital en Corea del Norte

Corea del Norte, una dictadura bajo la 'dinastía comunista' de los Kim (actualmente liderada por Kim Jong Un, el nieto del fundador), es conocido como uno de los países más herméticos del mundo, donde el acceso a Internet está estrictamente controlado.

En Xataka

Hace dos años, Corea del Norte se quedó sin Internet una semana. Hoy sabemos que lo hizo un hacker desde su casa

Según Statista, el país lidera las estadísticas de menor penetración de Internet a nivel mundial en 2024. La mayoría de los ciudadanos sólo tiene acceso a una intranet controlada por el Estado, denominada "Kwangmyong", que filtra contenidos y limita la interacción con el exterior.

Esta política es parte de un sistema más amplio de control social que restringe tanto la libertad de expresión como el flujo de información exterior.

Los soldados norcoreanos en Rusia: un acceso sin precedentes

El despliegue de tropas norcoreanas en apoyo a la invasión rusa de Ucrania ha marcado un hito en el conflicto. Pero, según declaraciones de Gideon Rachman, columnista del Financial Times, esto ha supuesto que los soldados norcoreanos destacados en Rusia, acostumbrados a un sistema de censura total, hayan accedido por primera vez a un Internet sin restricciones...

... lo que, aparentemente, ha llevado dichas tropas a un consumo masivo de contenido pornográfico, un fenómeno completamente nuevo para ellos (que no para sus élites), dada la ausencia de tales libertades en su país de origen (del que nunca habían salido antes del presente conflicto).

El comentario de Rachman, basado en una fuente "habitualmente confiable", ha generado un debate sobre las implicaciones psicológicas y culturales de esta exposición abrupta.

En Xataka

Ucrania ha tenido una idea para combatir a las tropas norcoreanas desplegadas en Rusia: ofrecerles no regresar a Pyongyang

El Pentágono afirma, a través de su portavoz Major Charlie Dietz, que no ha podido verificar esta información (aunque es de imaginar que Rusia habrá tomado alguna medida para que el enemigo no pueda espiar las comunicaciones de sus soldados, ya sean propios o prestados).

Más allá del porno

Pero no sólo de porno vive el usuario: ahora las tropas norcoreanas tienen acceso no sólo a contenido para adultos... sino también a información del exterior que podría desafiar las narrativas oficiales del régimen norcoreano. Según algunos analistas, esto podría influir en la moral y cohesión de las tropas.

Aunque también es cierto que Rusia, aunque mucho más abierta que Corea del Norte, también mantiene cierto grado de control sobre el acceso a Internet, lo que podría limitar el 'catálogo de contenidos' visitable por las tropas.

Imagen | Montaje (escena de la actriz (sur)coreana Jang Mi In Ae + King Jong Un + Mapa extraído de Wikimedia) por Marcos Merino

En Xataka | Corea del Norte ha entrado oficialmente en la guerra de Ucrania, aunque una barrera está resultando letal: el idioma