Hay quien ahorra para un piso, y tu «señor» lo hace para un cohete: 600 millones de dólares de los salarios vuelan directo a Corea del Norte.

Durante muchos años, en las empresas la «amenaza interna» se entendía como un empleado descontento o un contratista descuidado. Los servicios de seguridad construían la protección en torno a los sistemas DLP y vigilaban atentamente los picos sospechosos de transferencia de datos hacia el exterior. Pero este panorama se está quedando obsoleto rápidamente.

Hoy, el insider más peligroso no es quien decide de repente dañar al empleador. Se trata de una persona contratada desde el principio con un nombre falso y objetivos distintos. Su tarea no es entrar en conflicto con la dirección, sino el robo sistemático de dinero, la extracción de propiedad intelectual y la implantación de puertas traseras en interés del Estado. Según estimaciones de expertos de la ONU y del FBI, así funciona el programa de trabajadores remotos norcoreanos, que cada año aporta hasta 600 millones de dólares al régimen de Corea del Norte.

El aumento del trabajo remoto convirtió el proceso de contratación en una vulnerabilidad. El Departamento de Justicia de EE. UU. y el FBI ya han emitido advertencias urgentes sobre falsos especialistas en TI procedentes de Corea del Norte. Estas personas utilizan esquemas complejos de usurpación de identidad para conseguir puestos remotos bien remunerados en empresas occidentales. Formalmente pasan todas las verificaciones, pero en la práctica se convierten en una herramienta para financiar programas armamentísticos prohibidos, obtener acceso al código fuente y afianzarse de forma discreta dentro de la infraestructura corporativa.

Especialistas de Silent Push señalan dos escenarios principales para ese tipo de infiltración. En el primer caso, el «empleado» realmente trabaja durante meses, y a veces más, sin ejecutar software malicioso. Cobra un salario, se familiariza con los sistemas y construye gradualmente un acceso persistente. En la segunda variante, el régimen crea empresas de TI ficticias que a simple vista parecen un negocio legal.

A través de entrevistas y pruebas técnicas, se empuja a las víctimas a ejecutar código malicioso, convirtiendo el proceso normal de contratación en un ataque completo contra toda la organización. El riesgo adicional es que los candidatos a menudo buscan trabajo desde dispositivos corporativos y así pueden infectar el sistema de su empleador actual.

El problema empeora porque los mecanismos clásicos de verificación de identidad dejan de funcionar. Si el candidato facilita un número de Seguro Social válido, supera con éxito la verificación de antecedentes y una entrevista por vídeo —incluso teniendo en cuenta los filtros contra deepfakes—, entra en la empresa sin problemas. En los registros de actividad esa persona aparece como un empleado local común, y sus conexiones provienen de direcciones IP domésticas de proveedores occidentales, creando la ilusión de trabajo desde un suburbio.

Apoyarse en la geolocalización de direcciones IP ya no garantiza nada. Los operadores norcoreanos cambian activamente VPN y proxies, usando cadenas de enrutamiento multinivel. El tráfico puede pasar por un ordenador portátil físico ubicado en EE. UU., lo que elude por completo un simple filtrado geográfico. Para los sistemas SIEM, esa conexión no se diferencia de la de un trabajador remoto cualquiera.

Como resultado, las empresas desarrollan zonas ciegas peligrosas. El tráfico parece fiable porque procede de un proveedor de Internet común y no de un centro de datos. Las comprobaciones confirman la autenticidad de la identidad robada, pero no de la persona real detrás del teclado. El uso de portátiles reales permite eludir las verificaciones del equipo, incluidas las direcciones MAC y la evaluación del estado del dispositivo.

La detección de una contratación maliciosa resulta extremadamente cara. No se trata solo de un despido. La empresa corre el riesgo de incumplir los requisitos sancionadores de la OFAC, financiando sin querer al régimen de Corea del Norte. Para cuando se detecta al atacante, el código confidencial o los datos de los clientes suelen haber sido ya exfiltrados. Y la eliminación de las puertas traseras dejadas requiere una auditoría completa de la infraestructura y agota seriamente a los equipos de respuesta ante incidentes.

La historia demuestra claramente que el concepto de amenaza interna ha cambiado. En la era del trabajo remoto, la frontera entre empleado y adversario puede ser mucho más delgada de lo que parece en la fase de entrevista.