Buscaban a un desarrollador Java remoto, pero encontraron a un chantajista con misión de financiar a Corea del Norte

El esquema de contratación de especialistas en TI procedentes de Corea del Norte sigue expandiéndose, abarcando nuevas regiones e industrias. El grupo NICKEL TAPESTRY, que opera encubierto desde hace tiempo en el ámbito tecnológico, ha intensificado sus actividades fuera de EE.UU.: ahora los objetivos incluyen empresas de Europa y Asia, como Japón. El motivo de este cambio es el creciente escrutinio dentro de EE.UU. y las medidas de mitigación adoptadas, que han obligado a los organizadores a reorientar sus esfuerzos.

Los candidatos fraudulentos que representan a Corea del Norte siguen haciéndose pasar por profesionales de Vietnam, Singapur, Japón y EE.UU. Para convencer a los empleadores, los atacantes adaptan sus perfiles falsos, manipulan fotografías, utilizan inteligencia artificial generativa, ajustan sus huellas digitales e incluso cambian el género de sus personajes: en 2025, se detectó un aumento notable de los perfiles “femeninos”.

El objetivo principal sigue siendo el mismo: obtener un salario estable que luego pueda destinarse a financiar los intereses estatales norcoreanos. Sin embargo, ha surgido un segundo motivo cada vez más peligroso: la extorsión de datos. En 2024 se registraron varios intentos de chantaje mediante el robo de código fuente y propiedad intelectual. Estos casos se producen no solo tras el despido, sino también en las primeras etapas de empleo, a veces tan solo unos días después de haber comenzado a trabajar.

Además, las empresas corren el riesgo de sufrir sabotajes internos clásicos: robo de credenciales, acceso no autorizado a infraestructuras en la nube y API, o sustracción de información confidencial. El acceso así obtenido puede ser transferido a otros grupos de hackers norcoreanos para futuros ataques.

En la fase de contratación, los estafadores utilizan métodos sofisticados. Los currículums van acompañados de fotos editadas en las que se superponen rasgos reales sobre imágenes de archivo. Se utilizan herramientas de IA generativa, incluidas redes neuronales para generar textos e imágenes, así como generadores automáticos de currículums. Justo después de iniciar el trabajo, comienza la actividad técnica: se instalan utilidades para simular movimiento del ratón, VPN, varias herramientas RMM y también KVM sobre IP para el control remoto. Algunos “empleados” mantienen sesiones de Zoom activas durante horas mostrando la pantalla, e insisten en usar dispositivos personales en lugar de portátiles corporativos, lo que reduce la eficacia del control empresarial.

Los especialistas de CTU destacan la importancia del factor humano para contrarrestar estas tácticas. En el proceso de contratación, se debe reforzar la verificación de identidad y examinar con detalle la huella digital del candidato. Se recomienda buscar clones de currículum, comparar los números de contacto con bases de datos VoIP, realizar preguntas de fondo, evaluar el dominio del inglés y exigir la desactivación temporal de filtros digitales durante las entrevistas por videollamada.

Durante la incorporación, es fundamental verificar que la identidad del nuevo empleado coincida con la del candidato aprobado previamente, prestar atención a cambios en la dirección de entrega de equipos, uso de dispositivos personales o modificaciones en los datos bancarios. Se deben prohibir los pagos por adelantado.

Tras su incorporación, debe supervisarse la actividad del empleado mediante antivirus y sistemas EDR, revisar las conexiones de red mediante VPN, restringir el acceso a sistemas críticos y estar alerta ante rechazos a realizar videollamadas o la presencia de fondos sonoros típicos de centros de llamadas.