EE.UU. desmantela red de trabajadores IT norcoreanos: arrestos, incautaciones y cierre de “laptop farms”
Introducción
El Departamento de Justicia de los Estados Unidos (DoJ) ha ejecutado una operación coordinada de gran alcance dirigida a la red clandestina de trabajadores IT vinculados al régimen norcoreano. La acción, que ha tenido lugar entre el 10 y el 17 de junio de 2025, ha resultado en la detención de un sospechoso, la incautación de 29 cuentas financieras, 21 sitios web fraudulentos y cerca de 200 ordenadores empleados en actividades ilícitas. Este golpe pone de manifiesto la sofisticación y el alcance global de las tácticas empleadas por Corea del Norte para evadir sanciones y obtener divisas mediante el uso encubierto de profesionales IT en Occidente.
Contexto del Incidente o Vulnerabilidad
El esquema desmantelado se basa en la infiltración de trabajadores IT norcoreanos en empresas internacionales, principalmente de Estados Unidos y Europa, mediante identidades falsas y documentos fraudulentos. Estas operaciones, conocidas como “laptop farms”, consisten en el despliegue masivo de dispositivos y cuentas asociadas para simular la presencia de empleados legítimos. El objetivo es doble: por un lado, obtener acceso a información sensible y, por otro, canalizar fondos hacia el régimen norcoreano, sorteando los controles de la OFAC y otras agencias reguladoras.
Desde 2019, diversas agencias estadounidenses han detectado un incremento en la presencia de estos actores en plataformas de freelancing y portales de empleo tecnológico. La operación reciente representa la primera acción a gran escala que combina arrestos, incautaciones de infraestructuras y desmantelamiento de la infraestructura digital y financiera utilizada por estos grupos.
Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)
Los actores norcoreanos emplean técnicas avanzadas para eludir los sistemas de detección y autenticación de las empresas. Entre los vectores de ataque y TTPs (Tactics, Techniques and Procedures) identificados por el marco MITRE ATT&CK destacan:
– **Uso de Identidades Falsas (T1078 – Valid Accounts):** Aprovechando documentos de identidad robados o generados por IA para crear perfiles en plataformas de empleo.
– **VPN y Túneles cifrados (T1090 – Proxy):** Para simular ubicaciones geográficas permitidas y evadir geofencing.
– **Automatización de tareas y acceso remoto (T1021 – Remote Services):** A través de RDP, SSH y herramientas como AnyDesk o TeamViewer.
– **Infraestructura virtualizada y laptops físicas:** Se han detectado granjas con decenas de portátiles ejecutando sesiones simultáneas en diferentes empresas, gestionadas centralizadamente.
En cuanto a los Indicadores de Compromiso (IoC), las investigaciones han revelado:
– 21 sitios web fraudulentos utilizados para presentar portafolios ficticios y referencias laborales.
– 29 cuentas bancarias y de criptomonedas empleadas para el lavado de activos y pago de nóminas.
– Casi 200 portátiles requisados con configuraciones orientadas a eludir controles de endpoint y DLP corporativos.
No se ha reportado el uso directo de exploits sobre vulnerabilidades concretas (no hay CVE relevantes asociados), pero sí la explotación de debilidades en los procesos de onboarding y verificación de empleados remotos.
Impacto y Riesgos
La operación revela la magnitud del problema: se estima que entre 2022 y 2024, al menos un 3% de las ofertas de trabajo IT remotas en plataformas globales han sido objetivo de infiltración por actores norcoreanos. El impacto financiero es relevante: según datos del DoJ, esta red podría haber canalizado más de 30 millones de dólares hacia Corea del Norte, fondos potencialmente destinados a programas de armas y operaciones de ciberdelincuencia.
El riesgo principal para las organizaciones reside en la posible filtración de información confidencial, la introducción de puertas traseras en software crítico y el incumplimiento de normativas como el GDPR y la NIS2, que exigen el control estricto sobre el acceso y manejo de datos personales y sensibles.
Medidas de Mitigación y Recomendaciones
Para los responsables de seguridad, analistas SOC y equipos de RRHH, es fundamental reforzar los controles de verificación de identidad en procesos de reclutamiento remoto. Se recomienda:
– Implementar autenticación multifactorial (MFA) y análisis biométrico en el onboarding.
– Supervisar el uso de VPNs y detectar patrones anómalos de geolocalización.
– Realizar auditorías periódicas de cuentas privilegiadas y monitorización de endpoints.
– Desplegar soluciones de DLP y EDR capaces de identificar comportamientos sospechosos asociados a sesiones remotas masivas.
– Impulsar la formación y concienciación en equipos de RRHH y técnicos sobre este tipo de amenazas.
Opinión de Expertos
Expertos como Adam Meyers, VP de inteligencia en CrowdStrike, destacan que “el modelo de trabajador IT norcoreano es una evolución de las tácticas de evasión de sanciones, combinando ingeniería social avanzada y gestión de infraestructura a escala”. Asimismo, desde la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) subrayan que “la colaboración internacional y la inteligencia compartida son clave para identificar y desmantelar estas redes”.
Implicaciones para Empresas y Usuarios
Las empresas tecnológicas y cualquier organización con trabajadores remotos deben revisar y reforzar sus protocolos de verificación y monitorización. A nivel de cumplimiento normativo, la exposición a sanciones por contratación inadvertida de personal vinculado a regímenes sancionados puede derivar en multas millonarias bajo la legislación estadounidense y europea. Los usuarios y empresas deben extremar la precaución ante ofertas laborales sospechosas y reportar cualquier actividad inusual.
Conclusiones
La operación del DoJ contra las “laptop farms” norcoreanas marca un hito en la lucha contra la evasión de sanciones y la infiltración cibernética. El incidente pone de relieve la urgente necesidad de adaptar las políticas de seguridad y verificación a los nuevos modelos de trabajo remoto y amenaza híbrida. Las organizaciones deben mantenerse alerta y adoptar una postura proactiva ante este tipo de riesgos emergentes.
(Fuente: feeds.feedburner.com)