Noticias sobre tokenización, blockchain y activos del mundo real (RWA)

El medio independiente para entender la evolución cripto, Web3 y la tokenización del mundo real

Menu
Menu
,

ZachXBT desvela la infiltración de trabajadores IT norcoreanos con identidades falsas

Descubierta una operación encubierta de IT norcoreana

El prominente investigador en el ámbito de la cadena de bloques, ZachXBT, ha sacado a la luz una sofisticada operación llevada a cabo por trabajadores de tecnologías de la información (IT) de Corea del Norte, quienes se han infiltrado sistemáticamente en compañías tecnológicas occidentales. Su modus operandi incluye la obtención de posiciones de desarrollo remoto a través de la falsificación de identidades y la presentación de credenciales fraudulentas.

Según un informe detallado publicado el 13 de agosto, una fuente anónima logró acceder a un dispositivo perteneciente a uno de los cinco trabajadores de IT norcoreanos involucrados en esta red. Este acceso proporcionó una visión sin precedentes de sus métodos operativos y la extensión de su alcance dentro de la industria tecnológica.

El equipo de ZachXBT determinó que estos individuos adquirían de manera organizada documentos falsos como números de seguridad social, cuentas verificadas en plataformas de contratación como Upwork y LinkedIn, números de teléfono y servicios de alquiler de equipos informáticos. Estas herramientas les permitían asegurar empleos como desarrolladores en diversos proyectos tecnológicos, ocultando su verdadera procedencia e identidad.

Las pruebas recabadas, incluyendo exportaciones de Google Drive y perfiles de navegador de Chrome, revelaron un uso extensivo de los productos de Google. Estos eran empleados para organizar sus horarios de equipo, asignar tareas y gestionar presupuestos. La principal vía de comunicación entre ellos y con sus empleadores era el inglés, con el fin de mantener la fachada de su identidad falsa.

Revisiones de informes semanales, datados incluso en el futuro (2025, según el texto original), mostraron que los miembros del equipo a menudo se enfrentaban a dificultades significativas para cumplir con los requisitos de sus puestos. Un comentario destacado en estos informes citaba: «No puedo entender los requerimientos del trabajo, y no sé qué necesito hacer», lo cual estaba acompañado de una directriz interna que instaba a «poner suficiente esfuerzo en el corazón». Esto sugiere una presión considerable y, en ocasiones, una falta de comprensión real de las tareas asignadas, pese a la sofisticación de su encubrimiento.

Métodos operativos y herramientas tecnológicas empleadas

Los trabajadores de IT de la República Popular Democrática de Corea (RPDC) seguían un patrón consistente para llevar a cabo sus operaciones. Este esquema comprendía la adquisición de cuentas en plataformas reconocidas como Upwork y LinkedIn, la compra o alquiler de hardware informático y el uso de software de acceso remoto, como AnyDesk, para ejecutar sus tareas laborales de forma encubierta.

Las hojas de cálculo de gastos, que también fueron descubiertas durante la investigación, detallaban la compra de suscripciones a servicios de inteligencia artificial, redes privadas virtuales (VPNs), servicios de proxy y otras herramientas esenciales para mantener sus identidades ficticias y evadir la detección. La meticulosidad en el manejo de estos gastos subraya la organización y el financiamiento detrás de estas operaciones.

Además, se mantenían horarios de reuniones y guiones preestablecidos para cada una de las identidades suplantadas. Estos incluían perfiles detallados, con historias de vida y antecedentes laborales completos, como el caso de «Henry Zhang», una identidad ficticia con una biografía elaborada para parecer auténtica. Esta capa de detalle era crucial para superar los procesos de verificación de las empresas de contratación.

Para las transacciones financieras, los trabajadores utilizaban una dirección de monedero de criptomonedas específica para enviar y recibir pagos. ZachXBT logró vincular esta dirección de monedero a múltiples operaciones fraudulentas, lo que permitió trazar un rastro financiero de sus actividades ilícitas.

Una de las conexiones más significativas fue el vínculo de esta dirección de monedero con el exploit de Favrr, ocurrido en junio de 2025 (según el texto original); un incidente que resultó en un robo de $680,000. La investigación reveló que el CTO de la compañía Favrr, así como otros desarrolladores, eran en realidad trabajadores de IT norcoreanos que utilizaban documentos fraudulentos. De hecho, ZachXBT identificó al CTO de Favrr, conocido como «Alex Hong», como una figura con un pasado sospechoso, incluyendo perfiles de LinkedIn recientemente eliminados y un historial laboral inverificable, lo que reforzaba las sospechas sobre su verdadera identidad y origen.

Persistencia ante la sofisticación limitada

El análisis del historial de navegación de los dispositivos comprometidos ofreció más pistas sobre el origen de estos. Se detectó un uso frecuente de Google Translate para traducciones del inglés al coreano, y se confirmó que las operaciones se realizaban desde direcciones IP rusas. Esta evidencia, a pesar de la sofisticación de sus comunicaciones en inglés y la creación de sus personajes occidentales, confirmó de manera irrefutable el origen norcoreano de los trabajadores.

ZachXBT ha enfatizado que uno de los mayores desafíos para combatir la infiltración de trabajadores IT norcoreanos radica en la falta de colaboración entre los servicios de seguridad, el sector privado y una negligencia notable por parte de los equipos de contratación. Estos últimos, en muchas ocasiones, adoptan una postura defensiva cuando se les alerta sobre una posible infiltración, lo que dificulta la capacidad de respuesta y prevención.

Los ingresos obtenidos por estos trabajadores a través de su labor de desarrollo se convertían en criptomoneda, típicamente utilizando plataformas como Payoneer. El investigador ha señalado que, aunque estos operativos «no son de ninguna manera sofisticados, son persistentes, ya que hay muchísimos inundando el mercado laboral global para estos roles». Esta persistencia se convierte en una amenaza continua, dada la gran cantidad de individuos involucrados en esquemas similares.

La exposición detallada de ZachXBT no solo revela el alcance de la infiltración norcoreana en las empresas tecnológicas occidentales, sino que también sugiere la magnitud del problema. La operación comprometida es solo un equipo de entre, posiblemente, cientos que operan esquemas análogos en plataformas de desarrollo remoto. Esta situación subraya la necesidad urgente de una mayor vigilancia y cooperación internacional para mitigar los riesgos asociados con estas redes encubiertas.