🎯 El engaño perfecto: cómo Corea del Norte infiltró 136 empresas de EE. UU. usando trabajadores remotos falsos

Imagina que en tu equipo remoto tienes a un “desarrollador” que en realidad trabaja para un gobierno hostil.
Imagina que está conectado a tu VPN corporativa, usando tu laptop y accediendo a tus repositorios.
Pues esto no es ficción —le acaba de pasar a más de 130 empresas en Estados Unidos.

Cómo cinco personas ayudaron a trabajadores informáticos norcoreanos a infiltrarse en 136 empresas de EE. UU.

El Departamento de Justicia de Estados Unidos reveló un caso que debe sonar como alerta máxima para cualquier equipo de TI: una red de operadores ayudó a trabajadores norcoreanos a conseguir empleos remotos en empresas reales de EE. UU., con identidades robadas y laptops corporativas enviadas directo a casas particulares dentro del país.

El objetivo:
💣 Evadir sanciones
💣 Financiar programas de armas
💣 Y obtener acceso directo a sistemas corporativos críticos

Esto no fue un ataque técnico. Fue un ataque operacional. Y funcionó.

¿Cómo lograron infiltrarse?

1) Identidades falsas y laptops corporativas reales

Los implicados gestionaban identidades robadas o fabricadas para que los “candidatos” norcoreanos pasaran procesos de selección remotos sin levantar sospechas.
Una vez contratados, las empresas enviaban laptops corporativas… que terminaban en casas particulares en EE. UU., controladas por los facilitadores.

2) Acceso remoto simulando trabajo dentro del país

Con la laptop conectada a una red doméstica en EE. UU. y usando herramientas de acceso remoto:

• se disfrazaba la ubicación real,

• se evadían controles geográficos,

• y se simulaba actividad normal de empleados.

Ese acceso permitía entrar a sistemas internos sensibles y extraer información sin activar alarmas típicas de ciberseguridad.

3) Granjas de laptops dentro de Estados Unidos

Uno de los participantes montó una especie de “granja” con varias laptops corporativas.
Desde ahí se operaba todo:

• trabajo remoto

• sesiones VPN

• acceso a repositorios

• consultas a bases internas

Todo bajo la apariencia de un empleado legítimo.

4) Operadores coordinados desde EE. UU. y Ucrania

Los facilitadores en ambos países se encargaban de:

• recibir laptops

• mantener comunicadas a las “identidades”

• responder correos

• manejar horarios

• evitar sospechas de RRHH o TI

Esto permitió que decenas de trabajadores norcoreanos operaran simultáneamente sin ser detectados.

¿Qué buscaban?

Además del dinero (millones de dólares que terminaron financiando programas militares), estos accesos remotos les dieron la oportunidad de:

• entrar a infraestructura corporativa

• extraer datos sensibles

• copiar repositorios

• monitorear sistemas

• validar vulnerabilidades internas

• preparar futuros ataques de mayor escala

Para los atacantes, era la puerta perfecta: acceso legítimo, con privilegios reales y con cero sospecha.

Consecuencias del caso

El gobierno de EE. UU. confiscó más de 15 millones de dólares en criptomonedas y ejecutó cargos criminales contra los cinco facilitadores principales.
El FBI advirtió que esta táctica —conocida como “fraude laboral remoto” o “infiltración operativa por identidad prestada”— es una de las amenazas más serias en la era del teletrabajo.

Porque no importa cuántos firewalls tengas si el atacante está dentro usando una laptop oficial con un usuario oficial.

¿Qué significa esto para TI y seguridad corporativa?

Esta operación demuestra algo importante:

👉 Los ataques ya no solo llegan por malware. También llegan por Recursos Humanos.

Para cualquier persona que administra redes, sistemas, devops, repositorios o accesos, esta tendencia implica:

• procesos de contratación más estrictos

• análisis de comportamiento de endpoints

• monitoreo de actividad inusual en VPN

• verificación de identidades

• control sobre dónde se usan las laptops corporativas

• revisión periódica de conexiones remotas y horarios de actividad

• validación de geolocalización y huella digital del dispositivo