AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

### Ciberdelincuentes norcoreanos emplean identidades legítimas en LinkedIn para infiltrarse en empresas de TI

admin

#### Introducción

En los últimos meses, se ha detectado una sofisticación creciente en las tácticas empleadas por trabajadores del sector tecnológico vinculados con la República Popular Democrática de Corea (RPDC, o Corea del Norte). Estos actores amenazantes están solicitando puestos remotos en empresas extranjeras utilizando cuentas reales de LinkedIn que pertenecen a personas legítimas, aprovechando incluso correos corporativos verificados y credenciales de identidad. Este modus operandi representa un salto cualitativo en los esquemas de suplantación y fraude laboral, y plantea nuevos desafíos de seguridad para los equipos de recursos humanos y los responsables de ciberseguridad.

#### Contexto del Incidente o Vulnerabilidad

Las operaciones de ciberdelincuencia asociadas al régimen norcoreano no son nuevas. Sin embargo, la reciente oleada de solicitudes de empleo remoto fraudulentas muestra una evolución significativa. Tradicionalmente, los actores norcoreanos creaban perfiles ficticios o utilizaban identidades falsas para acceder a posiciones en empresas tecnológicas, con el objetivo de generar ingresos, sustraer propiedad intelectual o facilitar operaciones de ciberespionaje. Ahora, la tendencia ha cambiado: en lugar de inventar nuevos perfiles, secuestran cuentas de LinkedIn legítimas de profesionales del sector y las utilizan para presentarse a procesos de selección.

Esta táctica busca superar los filtros automatizados de verificación de identidad y los controles de contratación, especialmente en empresas que han adoptado modelos de trabajo remoto tras la pandemia y donde los procesos de onboarding pueden ser menos estrictos.

#### Detalles Técnicos

Las cuentas comprometidas presentan una serie de señales de alerta para los equipos técnicos y de Recursos Humanos:

– **Vectores de ataque:** El acceso inicial a la cuenta de LinkedIn suele lograrse mediante phishing dirigido, explotación de contraseñas débiles o brechas previas de datos. Una vez obtenidas las credenciales, los operadores norcoreanos refuerzan la legitimidad de la cuenta mediante el uso de correos corporativos verificados y la actualización de insignias de identidad, aprovechando incluso los nuevos sistemas de “LinkedIn Verified”.
– **CVE y amenazas asociadas:** Aunque no se ha vinculado esta campaña a una vulnerabilidad concreta (CVE), sí se han documentado ataques consistentes con TTPs recogidos en el framework MITRE ATT&CK, especialmente técnicas T1078 (Account Manipulation), T1566 (Phishing) y T1589 (Gather Victim Identity Information).
– **Indicadores de compromiso (IoC):** Actividades anómalas desde IPs asociadas a Corea del Norte, cambios repentinos de idioma o localización geográfica en los perfiles, y solicitudes de empleo a múltiples empresas tecnológicas en un corto espacio de tiempo.
– **Herramientas y frameworks:** Se han detectado automatizaciones para la gestión de múltiples cuentas comprometidas, y en fases posteriores, uso de frameworks como Metasploit o Cobalt Strike para movimientos laterales y persistencia una vez dentro de las redes corporativas.

#### Impacto y Riesgos

El impacto potencial de este tipo de ataques es especialmente alto para empresas tecnológicas y de software, pero también afecta a cualquier organización que contrate personal remoto. Los riesgos principales incluyen:

– **Acceso no autorizado a sistemas internos**, con posibilidad de filtración de código fuente, credenciales o información confidencial.
– **Compromiso de la cadena de suministro**, especialmente en proyectos de desarrollo donde estos actores pueden inyectar código malicioso o puertas traseras.
– **Violaciones regulatorias**, incluyendo posibles sanciones por incumplimiento del GDPR y de directivas europeas como NIS2, ya que la presencia de trabajadores vinculados a actores estatales sancionados puede derivar en incidentes de notificación obligatoria y sanciones económicas.

#### Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo de infiltración, los expertos recomiendan:

– **Refuerzo de los procesos de verificación de identidad** durante la contratación, incluyendo entrevistas por vídeo, validación cruzada de referencias y comprobaciones manuales de documentos de identidad.
– **Monitorización proactiva de señales de compromiso** en cuentas de empleados, especialmente cambios sospechosos en perfiles de LinkedIn y accesos desde ubicaciones geográficas inusuales.
– **Aplicación de autenticación multifactor** en aplicaciones externas y redes corporativas.
– **Concienciación y formación** a los equipos de RRHH y TI sobre las TTPs asociadas a este tipo de amenazas.
– **Colaboración con entidades de threat intelligence** para recibir alertas y actualizaciones sobre IoCs relevantes.

#### Opinión de Expertos

Investigadores de amenazas como Mandiant y Recorded Future han advertido sobre la creciente profesionalización de los equipos de TI norcoreanos. Según John Hultquist, jefe de análisis en Mandiant, “la utilización de identidades legítimas y credenciales verificadas reduce drásticamente la eficacia de controles automatizados y expone una brecha crítica en los procesos de contratación remota”.

Por su parte, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha emitido múltiples alertas sobre la necesidad de revisar y reforzar los controles de onboarding y monitorización de empleados remotos.

#### Implicaciones para Empresas y Usuarios

Para las empresas, este fenómeno obliga a replantear la confianza depositada en plataformas de networking profesional y a revisar los procesos de contratación y monitorización de personal remoto. Para los usuarios, la amenaza radica en el robo de identidad y el uso indebido de sus perfiles profesionales, lo que puede acarrear consecuencias legales y reputacionales.

#### Conclusiones

La evolución de las tácticas de los actores norcoreanos en el ámbito del fraude laboral remoto pone de manifiesto la necesidad de adoptar una postura defensiva mucho más proactiva y multidisciplinar. Las empresas deben reforzar los controles de verificación y monitorización, y los profesionales deben extremar precauciones sobre la seguridad de sus perfiles digitales.

(Fuente: feeds.feedburner.com)