AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Corea del Norte moderniza las estafas laborales IT con inteligencia artificial avanzada

admin

#### 1. Introducción

La ciberactividad vinculada a Corea del Norte ha evolucionado significativamente en los últimos años, especialmente en lo relativo a la infiltración de “trabajadores” ficticios en empresas tecnológicas occidentales. Si bien el uso de identidades falsas para conseguir trabajos remotos en el sector IT no es nuevo, la aparición de herramientas de inteligencia artificial (IA) ha permitido perfeccionar estos métodos de suplantación, incrementando notablemente su eficacia y eludiendo los controles tradicionales de recursos humanos y seguridad corporativa.

#### 2. Contexto del Incidente o Vulnerabilidad

Desde hace más de un lustro, los actores de amenazas norcoreanos han utilizado identidades falsas para obtener empleo en empresas tecnológicas, consiguiendo acceso a información confidencial, código fuente y, en ocasiones, a infraestructuras críticas. Estos ciberoperadores, respaldados por el régimen de Pyongyang, canalizan los beneficios obtenidos hacia el programa nuclear norcoreano, lo que ha motivado sanciones internacionales y alertas recurrentes de agencias como el FBI, CISA y la NSA. Sin embargo, la reciente integración de IA generativa y deepfakes ha renovado la amenaza, facilitando la creación de perfiles mucho más convincentes y dificultando la detección de estos agentes.

#### 3. Detalles Técnicos

Los nuevos métodos empleados por los operadores norcoreanos combinan diversas tecnologías y tácticas:

– **Herramientas de Deepfake y Face Swapping**: Utilizan software de IA, como DeepFaceLab y FaceSwap, para crear vídeos y fotografías de alta calidad que superan las comprobaciones básicas de identidad en entrevistas por videollamada.
– **Generadores de Voz Sintética**: Plataformas como ElevenLabs o Descript permiten simular acentos y patrones de habla occidentales, dificultando la identificación durante entrevistas.
– **Automatización de Tareas Cotidianas**: Bots basados en LLMs (Large Language Models), como ChatGPT y Gemini, redactan correos electrónicos, generan respuestas automáticas y resuelven tareas de soporte técnico, manteniendo la actividad diaria del “trabajador” fraudulento.
– **Vectores de Ataque y TTPs**: Los atacantes siguen la cadena ATT&CK de MITRE, destacando en técnicas como Initial Access (T1078 – Valid Accounts), Defense Evasion (T1036 – Masquerading) y Collection (T1119 – Automated Collection).
– **Indicadores de Compromiso (IoC)**: Reutilización de plantillas de CV, patrones de actividad en horarios inusuales, conexiones a través de VPNs de países terceros y transferencias de fondos a cuentas asociadas con bancos chinos y rusos.

No se ha reportado todavía un CVE específico vinculado a la automatización de estos fraudes, ya que la vulnerabilidad principal radica en los procesos de validación de identidad y no en un fallo de software tradicional.

#### 4. Impacto y Riesgos

El alcance de esta amenaza es significativo:
– **Compromiso de Propiedad Intelectual**: Acceso a código fuente, documentos confidenciales y secretos empresariales.
– **Riesgo de Supply Chain Attacks**: Capacidad para insertar puertas traseras (backdoors) en software distribuido a clientes globales.
– **Incumplimiento Normativo**: Violaciones de la GDPR y, en el caso de empresas críticas, de la directiva NIS2.
– **Impacto Económico**: Según la ONU, la cibercriminalidad norcoreana ha generado más de 1.500 millones de dólares en los últimos años, con un 30% atribuido a actividades laborales fraudulentas.
– **Pérdida de Confianza**: Daños reputacionales y pérdida de confianza de clientes e inversores.

#### 5. Medidas de Mitigación y Recomendaciones

Para contrarrestar esta amenaza, los expertos recomiendan:
– **Verificación de Identidad Avanzada**: Utilizar servicios de KYC que incluyan análisis biométrico y pruebas de vida en tiempo real.
– **Análisis de Comportamiento**: Implementar soluciones de UEBA (User and Entity Behavior Analytics) para detectar patrones anómalos.
– **Formación Interna**: Capacitar a equipos de RRHH y TI en la detección de deepfakes y fraudes laborales.
– **Auditoría de Accesos**: Revisar periódicamente los accesos a repositorios de código y sistemas críticos.
– **Cumplimiento Normativo**: Documentar los procesos de onboarding y asegurar la trazabilidad ante auditorías conforme a GDPR y NIS2.

#### 6. Opinión de Expertos

Varios analistas del sector, como los expertos de Mandiant y Kaspersky, advierten que la sofisticación alcanzada por los atacantes norcoreanos representa un cambio de paradigma: “La IA ha reducido la barrera de entrada para crear identidades falsas convincentes, lo que obliga a las empresas a adoptar métodos de verificación más robustos y a considerar la seguridad de la cadena de suministro humana como parte integral de su estrategia”.

#### 7. Implicaciones para Empresas y Usuarios

Las organizaciones del sector tecnológico, especialmente las que operan en desarrollo de software, cloud o investigación avanzada, deben extremar la vigilancia durante los procesos de contratación remota. Usuarios y empleados también deben ser conscientes de los riesgos asociados a compartir información profesional en plataformas públicas, que puede ser aprovechada por estos actores para crear perfiles más creíbles. Además, la colaboración intersectorial y el intercambio de IoCs resultan claves para frenar esta tendencia.

#### 8. Conclusiones

La explotación de IA por parte de actores norcoreanos para infiltrarse en empresas tecnológicas occidentales pone de manifiesto la necesidad de reforzar no solo las defensas técnicas, sino también los procedimientos de validación de identidad y análisis de comportamiento. En un entorno donde la digitalización del trabajo remoto seguirá creciendo, la seguridad debe evolucionar a la par de las amenazas, combinando tecnología, formación y cumplimiento normativo para mitigar riesgos críticos en la cadena de suministro digital y humana.

(Fuente: www.darkreading.com)