Un reciente informe ha revelado una preocupante tendencia en el mundo laboral que pone de manifiesto la vulnerabilidad de las empresas frente a amenazas internas: la infiltración de trabajadores de TI falsos, atribuida a grupos norcoreanos, en compañías de Occidente. En julio de 2024, la firma de ciberseguridad KnowBe4 detectó actividades sospechosas relacionadas con un nuevo empleado que manipulaba archivos y trataba de ejecutar software no autorizado. Posteriormente, se descubrió que este individuo había engañado al equipo de recursos humanos de la empresa, logrando acceder a un puesto de trabajo en remoto después de aprobar varias entrevistas por videoconferencia y chequear su trayectoria profesional.
Este fenómeno resalta que ninguna organización está exenta de la posibilidad de contratar, sin saberlo, a un saboteador. Las amenazas basadas en la identidad abarcan más que el robo de contraseñas, extendiéndose también a las personas que se integran en la fuerza laboral. Con el avance de la inteligencia artificial, la necesidad de reforzar los procesos de contratación se vuelve más urgente.
La magnitud de esta amenaza es alarmante. Desde al menos abril de 2017, el peligro ha sido identificado por el FBI y se ha denominado «WageMole» por parte de investigadores de ESET. Según Microsoft, se han registrado más de 300 empresas, incluidas varias de la lista Fortune 500, que han sido víctimas de esta táctica entre 2020 y 2022. En junio, la empresa tecnológica se vio obligada a suspender más de 3,000 cuentas de correo Outlook y Hotmail creadas por solicitantes norcoreanos.
Aunque las autoridades estadounidenses han procesado a dos norcoreanos y tres cómplices por obtener más de 860,000 dólares a través de fraudes laborales, el problema no se limita a Estados Unidos; se ha expandido a Europa, afectando países como Francia, Polonia y Ucrania. Recientemente, Google también alertó sobre la creciente amenaza en el Reino Unido.
Las tácticas de este fraude son sofisticadas. Los trabajadores norcoreanos crean o roban identidades reales que coinciden con la ubicación de la empresa objetivo, abriendo cuentas de correo electrónico y perfiles en redes sociales que les dan credibilidad. Durante el proceso de selección, utilizan tecnologías de deepfake para ocultar su identidad, lo que complica aún más su detección.
Los facilitadores locales juegan un papel crucial en esta operación, creando cuentas en plataformas de trabajo freelance y ayudando a validar las identidades fraudulentas durante los procesos de verificación laboral. Una vez contratados, los falsos empleados pueden acceder a información crítica de la empresa, lo que representa una grave amenaza para la seguridad.
Identificar y prevenir la entrada de estos candidatos engañosos en las organizaciones es vital. Las empresas deben realizar revisiones exhaustivas de las trayectorias digitales de los solicitantes, prestar atención a inconsistencias en sus perfiles y exigir entrevistas por video múltiples para detectar cualquier intento de uso de deepfakes. Además, es crucial monitorear el comportamiento de los empleados para identificar actividades sospechosas, mantener registros legales y estar preparados para actuar si se descubre a un trabajador falso.
Finalmente, actualizar los programas de formación en ciberseguridad y asegurar que todos los empleados, especialmente los encargados de la contratación, estén al tanto de las señales de alerta es esencial. Combinar la vigilancia humana con controles técnicos puede ser la clave para evitar que candidatos falsos se conviertan en amenazas internas. A medida que las tácticas de los actores maliciosos evolucionan, también debe hacerlo la estrategia de defensa de las organizaciones.
Fuente: WeLiveSecurity by eSet.
