La ciberseguridad corporativa enfrenta un nuevo desafío que está escalando con rapidez: operativos norcoreanos que se hacen pasar por trabajadores IT reales en LinkedIn para infiltrarse en empresas de todo el mundo.
Según expertos en seguridad, esta táctica representa una evolución significativa respecto a los fraudes tradicionales, ya que los atacantes ya no crean perfiles falsos, sino que secuestran identidades auténticas para superar controles de verificación y acceder a sistemas corporativos con credenciales legítimas.
Identidades reales, perfiles imposibles de detectar
El informe de Security Alliance (SEAL) revela que estos actores maliciosos están apropiándose de perfiles reales, utilizando correos corporativos verificados, historiales laborales creíbles e incluso insignias de identidad. Esto les permite superar procesos de selección y obtener puestos remotos en empresas tecnológicas, financieras y de servicios.
Una vez contratados, los operativos redirigen los equipos corporativos a través de “laptop farms”, infraestructuras diseñadas para simular que trabajan desde regiones permitidas. Esta técnica dificulta enormemente la detección temprana.
Un riesgo económico… y estratégico
Aunque parte del objetivo es desviar salarios para financiar al régimen norcoreano, la amenaza va mucho más allá. Los expertos alertan de que estos infiltrados buscan:
- Acceso persistente a redes internas
- Instalación de malware
- Robo de propiedad intelectual
- Obtención de credenciales privilegiadas
Darren Guccione, CEO de Keeper Security, advierte que estamos ante la industrialización de la manipulación de identidades profesionales, combinando datos robados, imágenes generadas por IA y entrevistas deepfake para engañar a reclutadores y responsables de TI .
Cómo detectar perfiles comprometidos en LinkedIn
A pesar de la sofisticación del fraude, existen medidas sencillas para identificarlo:
- Solicitar al candidato que conecte directamente desde su cuenta de LinkedIn.
- Verificar que controla el perfil y los canales de comunicación asociados.
- Revisar incoherencias en la actividad pública del perfil.
- Confirmar identidad mediante correo corporativo o videollamada en tiempo real.
SEAL recomienda que cualquier usuario que detecte suplantación publique un aviso en otras redes sociales, detallando la fecha del incidente, los métodos utilizados y los canales oficiales que sí controla.
Las empresas deben reforzar la seguridad de identidad
Los expertos coinciden en que la identidad digital se ha convertido en el principal vector de ataque. En un entorno laboral híbrido, los controles perimetrales tradicionales ya no son suficientes. Las organizaciones deben adoptar medidas como:
- Verificación rigurosa de identidad durante el onboarding
- Autenticación multifactor resistente al phishing
- Acceso de mínimos privilegios desde el primer día
- Monitorización continua de comportamientos anómalos
- Auditoría estricta de accesos privilegiados
Sin estos controles, las empresas corren el riesgo de otorgar acceso interno a los mismos actores que intentan atacarles.
Una amenaza global en expansión
El uso de trabajadores remotos falsos por parte de Corea del Norte no es nuevo, pero sí su nivel de sofisticación. Inicialmente centrado en empresas de EE. UU., el fraude se ha extendido a Europa, con reclutamientos a través de plataformas como Upwork, Telegram o Freelancer. Los pagos se gestionan mediante criptomonedas y servicios como TransferWise o Payoneer .
La conclusión es clara: la confianza en la identidad digital debe ser verificada continuamente. Las empresas que no refuercen sus procesos de contratación y acceso se exponen a una infiltración silenciosa y altamente peligrosa.