En julio de 2024, el proveedor de ciberseguridad KnowBe4 comenzó a observar una actividad
sospechosa relacionada con un nuevo empleado que comenzó a manipular y transferir archivos
potencialmente dañinos, e intentó ejecutar software no autorizado. Posteriormente, se descubrió que
era un trabajador norcoreano que había engañado al equipo de recursos humanos de la empresa para
conseguir un empleo a distancia. En total, consiguió superar cuatro entrevistas por videoconferencia, así
como una comprobación de antecedentes y previa a la contratación. ESET, compañía líder en detección
proactiva de amenazas, analiza este engaño y advierte que ninguna organización es inmune al riesgo de
contratar inadvertidamente a un saboteador.
“Las amenazas basadas en la identidad no se limitan al robo de contraseñas o la apropiación de cuentas,
sino que se extienden a las personas que se incorporan a la plantilla. A medida que la IA mejora en la
falsificación de la realidad, es el momento de mejorar los procesos de contratación.”, advierte Camilo
Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Esta amenaza ha estado presente desde, al menos, abril de 2017, según una alerta de búsqueda del
FBI y rastreado como WageMole por ESET Research . Según Microsoft, el gobierno estadounidense ha
descubierto más de 300 empresas -algunas de ellas incluidas en la lista Fortune 500- que han sido
víctimas de este tipo de ataques, entre 2020 y 2022. La empresa tecnológica se vio obligada en junio
a suspender 3.000 cuentas de Outlook y Hotmail creadas por solicitantes de empleo norcoreanos.
Por otra parte, una acusación estadounidense imputa a dos norcoreanos y tres «facilitadores» por haber
obtenido más de 860.000 dólares de 10 de las más de 60 empresas en las que trabajaron. El equipo de
investigación de ESET advierte que el foco se ha desplazado recientemente a Europa, incluyendo
Francia, Polonia y Ucrania. Por su parte, Google ha advertido de que las empresas británicas también
están en el punto de mira.
Este tipo de engaños es posible ya que los estafadores crean o roban identidades que coinciden con la
ubicación de la organización objetivo y, a continuación, abren cuentas de correo electrónico, perfiles en
redes sociales y cuentas falsas en plataformas de desarrolladores como GitHub para añadir legitimidad.
Durante el proceso de contratación, pueden utilizar imágenes y vídeos deepfake, o software de
intercambio de caras y cambio de voz, para disfrazar su identidad o crear otras sintéticas.
Según los investigadores de ESET, el grupo WageMole está vinculado a otra campaña norcoreana que
rastrea como DeceptiveDevelopment . Esta se centra en engañar a desarrolladores occidentales para que
soliciten trabajos inexistentes. Los estafadores piden a sus víctimas que participen en un reto de
codificación o en una tarea previa a una entrevista. Pero el proyecto que descargan para participar
ESET -Nota de Prensa
contiene en realidad código troyanizado. WageMole roba estas identidades de desarrolladores para
utilizarlas en sus falsos esquemas de trabajadores.
La clave de la estafa reside en los facilitadores extranjeros:
crear cuentas en sitios web de trabajo autónomo
crear cuentas bancarias, o prestar al trabajador norcoreano la suya propia
comprar números de móvil, o tarjetas SIM
validar la identidad fraudulenta del trabajador durante la verificación del empleo, utilizando
servicios de comprobación de antecedentes
Una vez contratado el falso trabajador, estos individuos reciben el portátil corporativo y lo instalan en
una granja de portátiles situada en el país de la empresa contratante. A continuación, el trabajador
informático norcoreano utiliza VPN, servicios proxy, supervisión y gestión remota (RMM) y/o servidores
privados virtuales (VPS) para ocultar su verdadera ubicación.
“El impacto en las organizaciones engañadas podría ser enorme. No solo están pagando
involuntariamente a trabajadores de un país fuertemente sancionado, sino que estos mismos empleados
a menudo obtienen acceso privilegiado a sistemas críticos. Es una invitación abierta a robar datos
confidenciales o incluso a pedir un rescate a la empresa.”, resalta el investigador de ESET.
En términos de detección y protección, desde ESET advierten cómo evitar que una organización se
convierta en víctima:
1. Identificar los falsos trabajadores durante el proceso de contratación:
Comprobar el perfil digital del candidato, incluidas las redes sociales y otras cuentas en línea, en
busca de similitudes con otras personas cuya identidad puedan haber robado. También pueden
crear varios perfiles falsos para solicitar puestos de trabajo con nombres diferentes.
Prestar atención a las discrepancias entre las actividades en línea y la experiencia declarada: un
“desarrollador senior” con repositorios de código genéricos o cuentas creadas recientemente
debería hacer saltar las alarmas.
Asegurarse de que tiene un número de teléfono legítimo y único, y comprobar que su currículum no
presenta incoherencias. Comprobar que las empresas mencionadas existen realmente. Ponerse en
contacto directamente con las referencias (teléfono/videollamada) y prestar especial atención a los
empleados de las empresas de personal.
Dado que muchos solicitantes pueden utilizar audio, vídeo e imágenes falsificados, insistir en las
entrevistas en vídeo y realizarlas varias veces durante la contratación.
Durante las entrevistas, considerar una advertencia importante cualquier afirmación de que la
cámara funciona mal. Pedirle al candidato que apague los filtros de fondo para tener más
posibilidades de identificar los deepfakes (los indicios podrían incluir fallos visuales, expresiones
faciales que parecen rígidas y poco naturales y movimientos de los labios que no se sincronizan con
el audio) Hacerles preguntas basadas en la ubicación y la cultura del lugar donde “viven” o
“trabajan”, por ejemplo, sobre la comida o los deportes locales.
2. Vigilar a los empleados en busca de actividades potencialmente sospechosas:
ESET -Nota de Prensa
Estar atento a señales de alarma como números de teléfono chinos, descarga inmediata de software
RMM en un portátil recién entregado y trabajo realizado fuera del horario normal de oficina. Si el
portátil se autentica desde direcciones IP chinas o rusas, también debe investigarse.
Vigilar el comportamiento de los empleados y los patrones de acceso al sistema, como inicios de
sesión inusuales, transferencias de archivos de gran tamaño o cambios en el horario de trabajo.
Centrase en el contexto, no solo en las alertas: la diferencia entre un error y una actividad maliciosa
puede estar en la intención.
Utilizar herramientas contra amenazas internas para detectar actividades anómalas.
3. Contener la amenaza:
Si se cree haber identificado a un trabajador norcoreano en la organización, actuar con cautela al
principio para no ponerle sobre aviso.
Limitar su acceso a recursos sensibles y revisar su actividad en la red, limitando este proyecto a un
pequeño grupo de personas de confianza de los departamentos de seguridad informática, recursos
humanos y jurídico.
Conservar las pruebas e informe del incidente a las fuerzas de seguridad, al tiempo que busca
asesoramiento jurídico para la empresa.
“Además, es buena idea actualizar los programas de formación sobre ciberseguridad. Y asegurarse de
que todos los empleados, especialmente los responsables de contratación de IT y el personal de recursos
humanos, comprenden algunas de las señales de alarma a las que hay que prestar atención en el futuro.
Las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas evolucionan constantemente,
por lo que estos consejos también deberán cambiar periódicamente. Los mejores métodos para evitar
que los falsos candidatos se conviertan en informadores maliciosos combinan los conocimientos
humanos y los controles técnicos. Asegurarse de cubrir todas las bases.”, sugiere Gutiérrez Amaya de
ESET.
Para saber más sobre seguridad informática visite el portal corporativo de ESET:
https://www.welivesecurity.com/es/seguridad-corporativa/espionaje-procesos-seleccion-personal-
falsos-postulantes/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:
Visítanos en:
@ESETLA /company/eset-latinoamerica /esetla /ESETLA /@esetla
Acerca de ESET
ESET® proporciona seguridad digital de vanguardia para prevenir ataques antes de que ocurran. Al
combinar el poder de la IA y la experiencia humana, ESET® se anticipa a las ciberamenazas conocidas y
emergentes, asegurando empresas, infraestructuras críticas e individuos. Ya sea protección de
endpoints, nube o dispositivos móviles, sus soluciones y servicios nativos de IA y basados en la nube son
altamente efectivos y fáciles de usar. La tecnología de ESET incluye detección y respuesta sólidas, cifrado
ultraseguro y autenticación multifactor. Con defensa en tiempo real las 24 horas, los 7 días de la semana
ESET -Nota de Prensa
y un sólido soporte local, mantiene a los usuarios seguros y a las empresas funcionando sin
interrupciones. Un panorama digital en constante evolución exige un enfoque progresivo de la
seguridad: ESET® está comprometido con una investigación de clase mundial y una potente inteligencia
sobre amenazas, respaldada por centros de I+D y una sólida red global de socios. Para obtener más
información, visite https://www.eset.com/latam o síganos en LinkedIn, Facebook y Twitter.
Datos de Contacto de Comunicación y Prensa
Para más información se puede poner en contacto a través de prensa@eset-la.com o al +54 11 2150-
3700.
Copyright © 1992 – 2025. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET.
Otros nombres y marcas son marcas registradas de sus respectivas empresas.
