Marc Sureda
Corea del Norte tiene distintas formas de eludir las sanciones internacionales que se le han impuesto para hacerse con dinero y tecnología, algunas más imaginativas que otras. Tal vez entre las más imaginativas se cuenten los falsos trabajadores del sector de la informática (por ejemplo, programadores), que se hacen pasar por teletrabajadores con el objetivo de integrarse en empresas de distintos países y generar ingresos que benefician al régimen, o bien de robar tecnología en desarrollo.
Hasta 2024, la mayoría de sus operaciones se habían identificado, sobre todo, en Estados Unidos, pero en aquel país la concienciación y las restricciones han acabado dificultando su actuación, lo que les ha hecho ampliar significativamente su alcance geográfico, afectando también al viejo continente.
Incremento de la actividad en Europa
El equipo de Google Threat Intelligence Group (GTIG) ha observado un crecimiento de estas operaciones en varios países europeos: se han detectado identidades vinculadas a estos profesionales que se presentaban como ciudadanos de distintas nacionalidades y utilizaban referencias fraudulentas para lograr contratos en sectores como el público o el de defensa.
Por otro lado, el mismo grupo también ha podido constatar que intentan validar sus perfiles empleando cuentas adicionales bajo su control y presentándose como expertos con dominio de tecnologías avanzadas, por ejemplo, en blockchain, gestión de contenidos o inteligencia artificial.
En países como Alemania y Portugal se han descubierto perfiles activos en plataformas de contratación y portales de gestión de capital humano, mientras que en el Reino Unido han participado en proyectos de desarrollo web, bots y aplicaciones de blockchain. Algunas iniciativas detectadas contemplaban la creación de mercados de empleo basados en cadenas de bloques, la integración de aplicaciones de IA o la ampliación de páginas web con tecnologías como Next.js y Tailwind CSS.
Intermediarios y nuevas tácticas de extorsión
Una de las particularidades de este fenómeno es la existencia de intermediarios ubicados en distintas regiones de Europa y otros continentes. Mediante este apoyo logístico, los trabajadores informáticos norcoreanos consiguen evadir controles de identidad y reciben pagos a través de criptomonedas, servicios de transferencia internacional y plataformas como Payoneer. En ocasiones, se ha constatado la adquisición de pasaportes falsos o guías para orientarse en procesos de verificación en Europa.
Al mismo tiempo, se ha registrado un incremento de las campañas de extorsión, en las que los trabajadores que estaban a punto de ser despedidos o que ya habían finalizado sus contratos amenazaban con difundir información confidencial de los proyectos en los que habían participado. Esta práctica se relaciona con medidas más estrictas impuestas en Estados Unidos, lo que puede haber empujado a los implicados a adoptar estrategias más agresivas para asegurar sus ingresos.
Riesgos asociados al BYOD
El GTIG destaca que las políticas corporativas conocidas como BYOD (trae tu propio dispositivo) resultan particularmente vulnerables a la infiltración de estos trabajadores. En estos entornos, no siempre hay un control exhaustivo sobre los equipos personales de los empleados, lo que dificulta la detección de actividades maliciosas. La falta de herramientas de seguridad corporativas convencionales y la menor trazabilidad de la operativa representan un incentivo para la búsqueda de este tipo de compañías.
La investigación realizada por los especialistas de GTIG revela que, a partir de enero de 2025, los entornos BYOD han sido empleados de manera creciente por los trabajadores informáticos norcoreanos para encubrir acciones contra sus empleadores y esquivar los sistemas de supervisión habituales.
