ESET alerta sobre una nueva amenaza corporativa interna en la que falsos informáticos norcoreanos se infiltran en empresas occidentales. Además, advierte cómo detectarlos desde el proceso de selección de personal.
Foto: ESET.
Centroamérica. En julio de 2024, el proveedor de ciberseguridad KnowBe4 comenzó a observar una actividad sospechosa relacionada con un nuevo empleado que comenzó a manipular y transferir archivos potencialmente dañinos, e intentó ejecutar software no autorizado.
Posteriormente, se descubrió que era un trabajador norcoreano que había engañado al equipo de recursos humanos de la empresa para conseguir un empleo a distancia. En total, consiguió superar cuatro entrevistas por videoconferencia, así como una comprobación de antecedentes y previa a la contratación.
ESET, compañía líder en detección proactiva de amenazas, analiza este engaño y advierte que ninguna organización es inmune al riesgo de contratar inadvertidamente a un saboteador.
“Las amenazas basadas en la identidad no se limitan al robo de contraseñas o la apropiación de cuentas, sino que se extienden a las personas que se incorporan a la plantilla. A medida que la IA mejora en la falsificación de la realidad, es el momento de mejorar los procesos de contratación”, advierte Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Esta amenaza ha estado presente desde, al menos, abril de 2017, según una alerta de búsqueda del FBI y rastreado como WageMole por ESET Research.
Según Microsoft, el gobierno estadounidense ha descubierto más de 300 empresas -algunas de estas incluidas en la lista Fortune 500- que han sido objeto de este tipo de ataques, entre 2020 y 2022. La empresa tecnológica se vio obligada en junio a suspender 3.000 cuentas de Outlook y Hotmail creadas por solicitantes de empleo norcoreanos.
Por otra parte, una acusación estadounidense imputa a dos norcoreanos y tres «facilitadores» por haber obtenido más de 860.000 dólares de 10 de las más de 60 empresas en las que trabajaron. El equipo de investigación de ESET advierte que el foco se ha desplazado recientemente a Europa, incluyendo Francia, Polonia y Ucrania. Por su parte, Google ha advertido que las empresas británicas también están en el punto de mira.
Este tipo de engaños es posible ya que los estafadores crean o roban identidades que coinciden con la ubicación de la organización objetivo y, a continuación, abren cuentas de correo electrónico, perfiles en redes sociales y cuentas falsas en plataformas de desarrolladores como GitHub para añadir legitimidad.
Durante el proceso de contratación, pueden utilizar imágenes y vídeos deepfake, o software de intercambio de caras y cambio de voz, para disfrazar su identidad o crear otras sintéticas.
Según los investigadores de ESET, el grupo WageMole está vinculado a otra campaña norcoreana que rastrea como DeceptiveDevelopment. Esta se centra en engañar a desarrolladores occidentales para que soliciten trabajos inexistentes. Los estafadores piden a sus víctimas que participen en un reto de codificación o en una tarea previa a una entrevista. Pero el proyecto que descargan para participar contiene en realidad código troyanizado.
WageMole roba estas identidades de desarrolladores para utilizarlas en sus falsos esquemas de trabajadores.
