El experto de Google que descubrió espías norcoreanos en empresas europeas: "Cuando avisamos al cliente, respondió: '¿Estás seguro? Era uno de nuestros mejores empleados"
Se trata de una práctica cada vez más común que comienza a preocupar gravemente a las grandes corporaciones tecnológicas.
Un investigador de seguridad de Google se encontró con una reacción inesperada cuando alertó a una empresa de que uno de sus empleados no era quien decía ser. La compañía, lejos de alarmarse de inmediato, respondió con incredulidad: el trabajador en cuestión era considerado uno de los mejores del equipo. Sin embargo, según los análisis de los especialistas, en realidad se trataba de un agente vinculado a Corea del Norte que había logrado infiltrarse en la plantilla.
El caso ilustra una tendencia creciente detectada por expertos en ciberseguridad: operadores vinculados al régimen de Kim Jong Un que se hacen pasar por profesionales tecnológicos para conseguir empleo en compañías occidentales. Una vez dentro, cobran salarios, acceden a sistemas internos y, en algunos casos, intentan obtener información sensible o introducir software malicioso.
Un "ejército digital" que trabaja desde dentro
De acuerdo con investigadores y autoridades estadounidenses, esta estrategia lleva años en marcha. Datos del United States Department of Justice indican que entre 2020 y 2024 falsos trabajadores vinculados a Corea del Norte consiguieron infiltrarse en más de 300 empresas de Estados Unidos, generando al menos 6,8 millones de dólares para el régimen.
Ahora, los especialistas creen que el fenómeno está extendiéndose también a Europa. Jamie Collier, asesor del equipo de inteligencia de amenazas de Google en el continente, ha detectado indicios de que estos operativos ya están presentes en compañías europeas e incluso han establecido "granjas de ordenadores portátiles" en el Reino Unido para operar de forma remota.
Estas instalaciones funcionan como centros desde los que los agentes controlan múltiples equipos enviados por empresas a supuestos empleados que trabajan desde casa.
La inteligencia artificial, clave en el engaño
Una de las razones por las que este tipo de infiltraciones se ha vuelto más eficaz es el uso creciente de inteligencia artificial. Herramientas basadas en modelos de lenguaje y generación de imágenes permiten a los impostores crear identidades profesionales mucho más creíbles que en el pasado.
Según explica Alex Laurie, director tecnológico de la empresa de seguridad Ping Identity, la IA facilita la elaboración de currículums convincentes, perfiles profesionales completos y correos electrónicos perfectamente adaptados al contexto cultural de cada país.
Los estafadores también utilizan técnicas como:
- Robo o compra de cuentas inactivas en LinkedIn
- Creación de perfiles laborales con años de experiencia ficticia
- Uso de filtros y deepfakes para simular entrevistas por videollamada
Gracias a estas herramientas, los candidatos falsos pueden superar procesos de selección sin despertar sospechas.
Cómo funciona la infiltración
El método suele desarrollarse en varias fases. Primero, los operadores crean o adquieren identidades falsas que aparentan pertenecer a profesionales del sector tecnológico con varios años de experiencia. Después, solicitan puestos remotos bien remunerados, especialmente en áreas relacionadas con software, datos o inteligencia artificial.
Cuando consiguen el empleo, comienza la segunda parte de la operación. Las empresas suelen enviar un ordenador portátil corporativo al nuevo trabajador, pero los agentes interceptan esos dispositivos y los controlan desde centros operativos. Desde allí se conectan a los sistemas de la empresa y utilizan herramientas automatizadas —incluidos chatbots— para realizar tareas laborales reales.
En algunos casos, los operadores llegan incluso a gestionar varios empleos al mismo tiempo, multiplicando los ingresos obtenidos.
Un riesgo creciente para las empresas
Expertos como Rafe Pilling, responsable de inteligencia de amenazas en Sophos, consideran que se trata de una operación organizada con respaldo estatal. Según explica, un grupo relativamente pequeño de trabajadores norcoreanos ha logrado infiltrarse en numerosas empresas tecnológicas aprovechando el auge del trabajo remoto.
El fenómeno también preocupa a grandes compañías del sector. El jefe de seguridad de Amazon, Stephen Schmidt, reveló que la empresa había bloqueado más de 1.800 intentos de infiltración desde abril de 2024.
Para los especialistas, el problema radica en que muchas empresas no consideran el proceso de contratación como un riesgo de seguridad. Esa brecha es precisamente la que explotan estos operativos.
El resultado es una amenaza poco visible: empleados aparentemente productivos que en realidad forman parte de un sistema diseñado para financiar al régimen norcoreano y, potencialmente, acceder a información sensible.
Como demuestra el caso detectado por Google, el engaño puede ser tan convincente que incluso cuando se descubre, las empresas tienen dificultades para creerlo. Porque, al fin y al cabo, el supuesto infiltrado parecía simplemente… un trabajador ejemplar.
