La Amenaza de los Trabajadores de TI de Corea del Norte: Cómo el Fraude Patrocinado por el Estado se Infiltró en las Empresas Fortune 500 (ES)

Casi todas las empresas Fortune 500 en Estados Unidos han contratado, sin saberlo, a un trabajador de TI norcoreano. Esto no es especulación. Es la evaluación de funcionarios de inteligencia e investigadores de ciberseguridad que rastrean la operación de fraude de candidatos patrocinada por el estado más grande de la historia.

Se estima que 100,000 trabajadores de TI norcoreanos están desplegados a nivel mundial, generando más de $500 millones por año para los programas de armas de Pyongyang. Utilizan identidades estadounidenses robadas, fotografías mejoradas con IA, infraestructura VPN y redes de facilitadores internos para aprobar entrevistas, superar verificaciones de antecedentes y cobrar cheques en empresas que no tienen idea de a quién emplean realmente.

En 2025, CrowdStrike informó un aumento del 220% en los intentos de infiltración de trabajadores de TI norcoreanos e investigó más de 320 incidentes en su base de clientes. El FBI emitió un aviso formal. El Departamento de Justicia acusó a 14 ciudadanos norcoreanos. Y la OFAC amplió las sanciones contra las redes de trabajadores de TI de la RPD a partir de marzo de 2026.

Esta no es una amenaza futura. Es una operación activa, escalada e industrial, y los procesos de contratación tradicionales son fundamentalmente incapaces de detenerla.

Cómo Funciona el Esquema

La operación de trabajadores de TI norcoreanos es sofisticada precisamente porque explota las suposiciones de confianza incorporadas en la contratación remota moderna. Así es como se desarrolla una infiltración típica.

Paso 1: Adquisición de Identidad

Los operativos norcoreanos obtienen identidades estadounidenses robadas: números de Seguro Social, licencias de conducir y detalles personales comprados en violaciones de datos o adquiridos a través de ingeniería social. En algunos casos, reclutan o coaccionan a facilitadores con sede en EE. UU. que proporcionan sus propias identidades o acceso a documentos de identidad.

Paso 2: Personas Mejoradas con IA

Utilizando la identidad robada como base, los operativos crean personas profesionales convincentes. Las fotografías se generan o mejoran utilizando herramientas de IA, a menudo comenzando con fotos de archivo y modificándolas para que coincidan con el perfil demográfico de la identidad robada. Se fabrican perfiles de LinkedIn, cuentas de GitHub y portafolios profesionales para respaldar la historia de fondo.

Paso 3: El Proceso de Entrevista

Un operativo diferente, a menudo con sede en China, Rusia o el Sudeste Asiático, lleva a cabo las entrevistas de video reales. Están capacitados, son técnicamente competentes y ensayados. En algunos casos, varios miembros del equipo colaboran durante una sola entrevista, con una persona visible en la cámara mientras otros proporcionan respuestas en tiempo real.

Paso 4: La Granja de Portátiles

Una vez contratado, la empresa envía una computadora portátil a una dirección en EE. UU. Pero esa dirección pertenece a un facilitador que opera lo que el FBI llama una "granja de portátiles": una ubicación que alberga docenas de dispositivos emitidos por la empresa. El facilitador instala software de acceso remoto, lo que permite que el trabajador norcoreano real se conecte desde el extranjero mientras parece trabajar desde una dirección IP de EE. UU.

Paso 5: Extracción de Ingresos

El trabajador norcoreano realiza el trabajo, a menudo con suficiente competencia como para evitar sospechas, mientras que su salario se canaliza a través de una cadena de cuentas bancarias, billeteras de criptomonedas y servicios de transferencia de dinero de regreso a Pyongyang. Una parte importante de estos fondos apoya directamente los programas de misiles balísticos y armas nucleares de Corea del Norte.

KnowBe4: Cuando una Empresa de Seguridad es Engañada

Si cree que su proceso de contratación es seguro, considere lo que le sucedió a KnowBe4, una de las empresas líderes mundiales en capacitación de concientización sobre seguridad.

En julio de 2024, KnowBe4 contrató a un ingeniero de software remoto para su equipo interno de IA. El candidato había superado su proceso de contratación estándar: revisión de currículums, múltiples entrevistas de video, verificación de antecedentes y referencias. Todo estaba en orden.

El candidato había utilizado una identidad estadounidense robada combinada con una fotografía de archivo mejorada con IA que fue lo suficientemente convincente como para aprobar las entrevistas de video sin levantar sospechas. La persona fabricada era técnicamente hábil y profesionalmente pulida.

KnowBe4 envió una computadora portátil de la empresa al nuevo contratado. A pocos minutos de recibirla, el operativo comenzó a cargar malware: herramientas de robo de credenciales, troyanos de acceso remoto y utilidades de exfiltración de datos. La actividad fue detectada por el centro de operaciones de seguridad interno de KnowBe4 a las 9:55 PM EST y el dispositivo se contuvo inmediatamente.

No se perdieron datos. Ningún sistema se vio comprometido más allá de la computadora portátil única. Pero las implicaciones fueron asombrosas: una empresa cuyo negocio es la concientización sobre seguridad había sido víctima de ingeniería social a través de su propio proceso de contratación.

El CEO de KnowBe4, Stu Sjouwerman, tomó la inusual decisión de divulgar públicamente el incidente. "Si le puede pasar a nosotros", escribió, "le puede pasar a casi cualquiera".

Tenía razón. Ya había sucedido, cientos de veces.

La Red de la Granja de Portátiles

En febrero de 2025, Christina Chapman, una ciudadana estadounidense residente en Arizona, se declaró culpable de fraude de cable, robo de identidad agravado y conspiración para lavar dinero. Su crimen: operar una de las redes de granjas de portátiles más prolíficas que apoyan a los trabajadores de TI norcoreanos.

La operación de Chapman fue de escala industrial. Alojó computadoras portátiles emitidas por la empresa en su residencia y otras ubicaciones, gestionando el acceso remoto para los operativos norcoreanos que se conectaban desde el extranjero. El esquema afectó a más de 300 empresas estadounidenses y generó más de $17 millones en ingresos para el gobierno norcoreano.

El papel de Chapman fue el de un facilitador: recibió el hardware, mantuvo las conexiones VPN y de escritorio remoto y ayudó a mover el dinero. Era un nodo en una red distribuida de habilitadores con sede en EE. UU. que hicieron posible toda la operación.

El Departamento de Justicia ha sido agresivo en el enjuiciamiento de estas redes. En 2024, un gran jurado federal acusó a 14 ciudadanos norcoreanos de generar $88 millones a través de un empleo remoto fraudulento, lo que lo convierte en una de las acusaciones de fraude más importantes relacionadas con un gobierno extranjero.

Pero por cada red desmantelada, la comunidad de inteligencia cree que varias más siguen operativas. La economía es simplemente demasiado atractiva para que Pyongyang la abandone: los salarios de los trabajadores de TI en el sector tecnológico de EE. UU. brindan un mayor rendimiento por operativo que casi cualquier otro método de generación de ingresos disponible para el régimen con sanciones.

Por Qué Fallan los Procesos de Contratación Tradicionales

El esquema de los trabajadores de TI norcoreanos tiene éxito porque ataca cada suposición en el flujo de trabajo estándar de contratación remota:

Las verificaciones de antecedentes verifican los datos, no la identidad. Una verificación de antecedentes confirma que un número de Seguro Social, un nombre y una fecha de nacimiento corresponden a una persona real con un historial limpio. No verifica que la persona que está sentada frente a la cámara sea esa persona. Cuando la identidad subyacente es robada de un ciudadano estadounidense real, la verificación de antecedentes devuelve resultados limpios, porque la identidad en sí es legítima.

Las entrevistas de video verifican la presencia, no la identidad. Un gerente de contratación en una llamada de Zoom ve una cara y escucha una voz. No tiene forma de confirmar que la cara coincida con un documento de identidad emitido por el gobierno, que la imagen no sea generada por IA o que la persona en la cámara sea la misma persona que iniciará sesión en los sistemas de la empresa el próximo lunes.

Las verificaciones de referencias se fabrican fácilmente. Las operaciones norcoreanas mantienen redes de cómplices que sirven como referencias profesionales. Contestan llamadas, confirman las fechas de empleo y elogian el trabajo del candidato. Algunas referencias son personas reales que han sido comprometidas; otras son personas totalmente ficticias.

Las comprobaciones de ubicación basadas en IP se derrotan trivialmente. Las VPN, los proxies residenciales y la propia infraestructura de la granja de portátiles garantizan que el tráfico de la red parezca provenir de una dirección residencial de EE. UU. El monitoreo de TI estándar ve una IP nacional y continúa.

El resultado es un proceso de contratación que es estructuralmente incapaz de detectar una operación de fraude de identidad patrocinada por el estado bien financiada. Cada verificación individual se puede derrotar de forma aislada. Y como ninguna verificación se cruza con las demás, toda la cadena falla en silencio.

La Respuesta Regulatoria

El gobierno de EE. UU. ha reconocido la magnitud de la amenaza y está respondiendo a través de múltiples agencias:

Asesoramiento de FBI IC3 (julio de 2025): El Centro de Denuncias de Delitos de Internet del FBI emitió un aviso formal que advertía a las empresas de EE. UU. sobre los esquemas de trabajadores de TI de la RPD, proporcionando indicadores de compromiso y señales de alerta para los gerentes de contratación. El aviso destacó específicamente el uso de imágenes generadas por IA y tecnología deepfake en el proceso de entrevista.

Sanciones de la OFAC (marzo de 2026): La Oficina de Control de Activos Extranjeros amplió sus designaciones de sanciones para incluir redes adicionales de trabajadores de TI de la RPD, empresas tapaderas y facilitadores. Las empresas que paguen sin saberlo los salarios a personas sancionadas se enfrentarán a posibles violaciones de las sanciones, lo que agregará un riesgo legal y financiero significativo a lo que ya es un problema de seguridad.

Acusaciones del DOJ: El Departamento de Justicia ha perseguido tanto a los operativos norcoreanos como a sus facilitadores con sede en EE. UU. La acusación de 14 personas en 2024 y la declaración de culpabilidad de Chapman en 2025 señalan una postura de cumplimiento que trata la facilitación con la misma seriedad que el fraude subyacente.

Inteligencia de CrowdStrike: La inteligencia de amenazas del sector privado ha sido fundamental. La investigación de CrowdStrike de más de 320 incidentes ha proporcionado el detalle técnico necesario para comprender la infraestructura de la operación, y su informe del aumento interanual del 220% ha obligado a las conversaciones a nivel de sala de juntas sobre una amenaza que antes se descartaba como un caso límite.

El mensaje regulatorio es claro: se espera que las empresas tomen medidas razonables para verificar la identidad de los trabajadores remotos. "No lo sabíamos" ya no es una defensa adecuada.

Cómo Proteger a Su Organización

El esquema de los trabajadores de TI norcoreanos es sofisticado, pero no invencible. Explota las lagunas entre los pasos de contratación que nunca se diseñaron para funcionar juntos como un sistema unificado de verificación de identidad. Cerrar esas lagunas requiere tratar la incorporación de empleados con el mismo rigor que el KYC del cliente, porque el riesgo es comparable.

Verificación de Documentos

Se debe exigir a cada nuevo contratado que presente un documento de identidad emitido por el gobierno que se verifique con plantillas de documentos conocidos. Los operativos norcoreanos utilizan con frecuencia documentos falsificados, alterados o totalmente fabricados. La verificación automatizada de documentos que verifica más de 14,000 tipos de documentos en más de 220 países detecta inconsistencias en fuentes, hologramas, códigos MRZ y características de seguridad que ningún revisor humano detectaría.

Detección de AML y Listas de Vigilancia

Si Christina Chapman o cualquiera de los 14 ciudadanos norcoreanos acusados hubieran sido examinados en la lista de nacionales especialmente designados de la OFAC, bases de datos de sanciones o listas de vigilancia de las fuerzas del orden, su empleo se habría marcado antes de comenzar. La verificación en más de 1,000 listas de vigilancia globales, incluidas las de la OFAC, las sanciones de la ONU, Interpol y las bases de datos del FBI, transforma la contratación de un proceso basado en la confianza a uno verificado en cumplimiento.

Detección de Vitalidad Biométrica

El caso de KnowBe4 fue posible gracias a una fotografía de archivo mejorada con IA que fue lo suficientemente convincente como para aprobar las entrevistas de video. La detección de vitalidad biométrica derrota esto por completo. Al exigir un selfie en tiempo real con controles de vitalidad pasivos, detectando profundidad, textura, micromovimientos y otras señales biológicas, las organizaciones pueden confirmar que están interactuando con un ser humano vivo, no con una fotografía, un deepfake o un video pregrabado.

Coincidencia de Caras (Verificación 1:1)

Incluso si la identidad del documento es robada en lugar de falsificada, la tecnología de coincidencia de caras asegura que la persona que presenta el documento sea la persona que aparece en él. Una comparación biométrica 1:1 entre el selfie en vivo y la fotografía de identificación detecta el engaño fundamental en el corazón del esquema de la RN: la persona que entrevista no es la persona en el documento de identidad. A $0.05 por verificación, es la contramedida más rentable contra la sustitución de identidad.

Análisis de IP y Conexión

Los operativos norcoreanos confían en las VPN, los proxies residenciales y las redes Tor para enmascarar su ubicación real. El análisis de IP marca las conexiones de los proveedores de VPN conocidos, los servicios de proxy, los centros de datos y las redes de anonimización. A $0.03 por verificación, proporciona una señal liviana pero efectiva de que la ubicación reclamada por el usuario no coincide con su infraestructura de red real.

Monitoreo Continuo

La amenaza no termina en la incorporación. Los operativos norcoreanos pueden aprobar las verificaciones iniciales y luego cambiar el comportamiento: escalar los privilegios de acceso, exfiltrar datos o instalar malware (como en el caso de KnowBe4). El monitoreo continuo asegura que cualquier cambio posterior a la contratación en el estado de identidad, las listas de sanciones o los medios adversos se detecte en tiempo real, no meses después durante una revisión anual.

Las Matemáticas Que Deberían Mantener Despiertos a los CISOs por la Noche

El costo promedio de una infiltración de un trabajador de TI norcoreano, incluida la respuesta a incidentes, la exposición legal, las posibles violaciones de sanciones y el daño a la reputación, asciende a cientos de miles de dólares por incidente. Para las empresas que descubren la violación después de la exfiltración de datos, los costos se multiplican.

Una pila de verificación de identidad integral: verificación de documentos, vitalidad biométrica, coincidencia de caras, detección de AML y análisis de IP, cuesta entre $0.30 y $0.50 por verificación. Para una empresa que contrata a 1,000 trabajadores remotos por año, eso es de $300 a $500 en costos totales de verificación.

La pregunta ya no es si su organización puede permitirse implementar la verificación de identidad en la contratación. Es si puede permitirse no hacerlo, cuando los actores de amenazas patrocinados por el estado están apuntando activamente a sus ofertas de trabajo abiertas y los reguladores están dejando claro que la ignorancia no es una defensa.

La verificación de identidad ya no es solo una casilla de verificación de cumplimiento para los servicios financieros. En la era del fraude de candidatos patrocinado por el estado, es un imperativo de seguridad nacional para todas las organizaciones que contratan de forma remota.

La operación de trabajadores de TI norcoreanos continuará escalando. Es demasiado rentable para Pyongyang y demasiado fácil de ejecutar contra organizaciones que confían en la contratación basada en la confianza. Las empresas que sobrevivan a esta amenaza serán aquellas que dejaron de confiar y comenzaron a verificar.