Estados Unidos ha detallado un esquema que permitió a trabajadores de TI norcoreanos conseguir empleos remotos en empresas estadounidenses utilizando identidades robadas y fabricadas. Según el Departamento de Justicia, cuatro ciudadanos estadounidenses y un ciudadano ucraniano se han declarado culpables de cargos en la operación, que permitió a trabajadores norcoreanos infiltrarse en al menos 136 empresas en campos como tecnología, finanzas, educación y entretenimiento. Los documentos judiciales indican que el esquema generó más de dos millones de dólares para Corea del Norte en violación de las sanciones estadounidenses.
Los fiscales dijeron que la red operó entre 2019 y 2022 y dependió de facilitadores estadounidenses que ayudaron a los trabajadores norcoreanos a superar los procedimientos de selección de empleadores. Los facilitadores proporcionaron identidades robadas, completaron tareas de incorporación y realizaron pruebas de drogas en nombre de los trabajadores extranjeros. También alojaban portátiles entregados por la empresa en sus casas, de modo que las conexiones de red parecían originarse en Estados Unidos. Se instalaron herramientas de acceso remoto en esos dispositivos, permitiendo a los trabajadores en el extranjero realizar su trabajo sin llamar la atención sobre su ubicación real.
El ciudadano ucraniano admitió haber suministrado información de identidad robada que trabajadores norcoreanos usaron para acceder al menos a 40 empresas. Según el gobierno, gestionaba partes significativas de la red, gestionaba las comunicaciones y transfería los ingresos a través de diversos canales financieros. Se declaró culpable de fraude electrónico por conspiración y robo de identidad agravado, y aceptó perder más de un millón de dólares en criptomonedas y otros activos. Los fiscales afirmaron que la confiscación refleja los ingresos directamente vinculados al fraude.
Uno de los acusados estadounidenses, un exmiembro del servicio militar, reconoció haber recibido más de cincuenta mil dólares por alojar dispositivos, completar los pasos de empleo de los trabajadores y ayudarles a eludir los procedimientos de seguridad corporativos. Otros demandados realizaron tareas similares, incluyendo recibir nóminas en nombre de los trabajadores y transferir fondos a través de cuentas bancarias estadounidenses. El Departamento de Justicia señaló que estas actividades permitieron a los trabajadores permanecer sin ser detectados durante largos periodos de tiempo.
Según funcionarios estadounidenses, la operación proporcionó a Corea del Norte ingresos que pueden apoyar programas gubernamentales, incluidas las operaciones cibernéticas. Las autoridades ya habían advertido anteriormente que el país despliega trabajadores de TI en el extranjero para ganar divisas extranjeras y acceder a redes corporativas. Estos trabajadores suelen presentarse como autónomos y utilizan servicios VPN, herramientas de acceso remoto e información de identidad comprada en mercados criminales para evitar ser detectados. El Departamento de Justicia afirmó que el desmantelamiento de esta red refleja los esfuerzos continuos para interrumpir estas prácticas.
Los analistas de seguridad informan que los esquemas que implican trabajo remoto en TI suponen desafíos para los empleadores porque las personas implicadas suelen poseer habilidades técnicas legítimas y pueden superar las selecciones estándar de contratación. Una vez dentro de los sistemas de una empresa, pueden acceder a repositorios de código, herramientas de infraestructura o datos operativos sensibles. Los analistas recomiendan que las empresas refuercen los pasos de verificación de identidad, revisen los privilegios de acceso de los trabajadores remotos y vigilen señales de intercambio de dispositivos o enrutamientos inusuales de red.
El Departamento de Justicia declaró que continúa investigando actividades relacionadas y está compartiendo información con las empresas afectadas. Las autoridades estadounidenses animaron a las organizaciones que sospechan de contratación fraudulenta o uso indebido de identidad a denunciar el asunto a las autoridades. Afirmaron que el caso pone de relieve la importancia de verificar las identidades del trabajo remoto y revisar los protocolos de seguridad para los equipos distribuidos.