El espionaje corporativo ha experimentado un notable salto cualitativo gracias al uso de la inteligencia artificial. Según la compañía de ciberseguridad ESET, los ciberdelincuentes están empleando deepfakes, currículos falsos y videollamadas manipuladas para infiltrarse en empresas internacionales, especialmente durante procesos de selección remotos. Su objetivo es acceder a redes corporativas, información confidencial y datos financieros, haciéndose pasar por empleados legítimos.
En los últimos meses, se han detectado más de 300 intentos de infiltración en empresas de Estados Unidos, Europa y Asia, protagonizados por grupos como WageMole, vinculado a Corea del Norte. De acuerdo con informes del FBI y Microsoft, estas operaciones buscan introducir agentes encubiertos en organizaciones tecnológicas con el fin de robar información sensible o desviar fondos.
Un ejemplo ilustrativo es el caso de la empresa estadounidense KnowBe4, donde un candidato utilizó un deepfake durante una entrevista laboral para intentar conseguir un puesto remoto, evidenciando el alto nivel de sofisticación que han alcanzado este tipo de ataques.
“Estamos viendo cómo el espionaje corporativo adopta nuevas formas impulsadas por la inteligencia artificial. Este tipo de engaños es posible porque los ciberdelincuentes crean o roban identidades con la misma localización de la empresa objetivo, además de abrir cuentas de correo electrónico, perfiles en redes sociales y cuentas falsas en plataformas de desarrolladores para añadir legitimidad a la estafa. Para burlar los procesos de entrevistas usan imágenes o vídeos deepfakes, o software de intercambio de caras y voz, así disfrazan su verdadera identidad”, explica Josep Albors, director de Investigación y Concienciación de ESET España.
¿Cómo burlan estos procesos de selección?
Según el grupo de investigadores de ESET, el grupo WageMole estaría vinculado con DeceptiveDevelopment, otra campaña norcoreana orientada al robo de información. En esta campaña se engaña a desarrolladores occidentales para que apliquen a trabajos inexistentes. Los estafadores consiguen que sus víctimas participen en un reto de programación o en alguna tarea previa a una entrevista. Sin embargo, el proyecto que descargan contiene un código troyanizado. Por ello, WageMole, roba estas identidades de desarrolladores para utilizarlas en sus falsos esquema de trabajadores. ESET plantea que algunas claves de esta estafa residen en:
- Crear cuentas en sitios web de trabajo autónomos.
- Crear cuentas bancarias, o prestar al trabajador norcoreano la suya propia.
- Comprar números de móvil o tarjetas SIM.
- Validar la identidad fraudulenta del trabajador durante la verificación del empleo, utilizando servicios de comprobación de antecedentes.
“Cuando el falso trabajador ha pasado el proceso y ya forma parte de la compañía, instala el portátil en una granja de portátiles situada en el país de la empresa contratante y, junto con una VPN falsa, servicios proxy y/o servidores virtuales (VPS), consigue ocultar su verdadera ubicación. Esta infiltración puede llegar a ser un gran golpe para las entidades, poniendo en riesgo datos confidenciales, sistemas críticos o a los propios empleados. En casos extremos, pueden llegar a pedir un rescate por la propia empresa”, comenta Albors.
Proteger y prevenir para no caer
Ser consciente de que cualquier entidad puede caer en esta estafa es necesario para establecer las precauciones posibles. Por ello, ESET recomienda acciones para poder proteger a las entidades frente a estos peligros.
- Identifica los falsos trabajadores durante el proceso de contratación: Comprobar cuidadosamente el perfil del candidato y su coherencia con la experiencia laboral declarada puede ser más sencillo de lo parece. Durante la revisión del currículum, verificar la existencia de empresas mencionadas, contactar directamente con ellas o prestar atención a señales sospechosas como cuentas nuevas o incoherencias, puede ayudar a identificar a posibles estafadores. También, a la hora de realizar las entrevistas es importante asegurarse de que la cámara y el audio son reales, pedir apagar los filtros de fondo ayudan a identificar los deepfakes. Además, algo sencillo como es hacer preguntas sobre temas locales o culturales de la zona pueden ser clave para destapar el engaño
- Vigilar a los empleados en busca de actividades potencialmente sospechosos: Desde la entidad se debe supervisar periódicamente comportamientos inusuales, como el uso de números de teléfono extranjeros, descargas de software no autorizado o accesos desde direcciones IP desconocidas. Además, conviene controlar transferencias de archivos, inicios de sesión fuera de horario laboral y cualquier cambio anómalo en el patrón de trabajo normal. Por ello, es esencial implantar herramientas contra amenazas internas que ayuden a hacer el seguimiento de las actividades y destacar las sospechosas.
- Contener la amenaza: Si se cree haber encontrado a un trabajador falso, la entidad debe actuar con discreción en todo momento para no alarmarlo. El primer paso deberá ser restringir su acceso a recursos sensibles y revisar su actividad en la red. Después, deben limitar la investigación al personal de confianza de seguridad, recursos humanos y jurídico. Finalmente, conservar las pruebas y notificar el incidente a a las fuerzas de seguridad, buscando apoyo legal para la propia empresa.
“La seguridad no depende solo de las herramientas, sino también de la atención humana. Formar y concienciar a los equipos es la mejor forma de evitar que la confianza se convierta en una puerta abierta al espionaje” concluye el director de Investigación y Concienciación de ESET España.
