Redacción Digital Inside España
ESET alerta de que grupos delictivos están utilizando deepfakes, currículos fabricados y videollamadas manipuladas para entrar en empresas a través de procesos de contratación remotos. El objetivo, según la compañía de ciberseguridad; es hacerse pasar por empleados legítimos y obtener acceso directo a redes internas, información confidencial y datos financieros.
Josep Albors, director de Investigación y Concienciación de ESET España explica: “Estamos viendo cómo el espionaje corporativo adopta nuevas formas impulsadas por la inteligencia artificial. Este tipo de engaños es posible porque los ciberdelincuentes crean o roban identidades con la misma localización de la empresa objetivo, además de abrir cuentas de correo electrónico, perfiles en redes sociales y cuentas falsas en plataformas de desarrolladores para añadir legitimidad a la estafa. Para burlar los procesos de entrevistas usan imágenes o vídeos deepfakes, o software de intercambio de caras y voz, así disfrazan su verdadera identidad”.
En los últimos meses se han documentado más de 300 intentos de infiltración en compañías de Estados Unidos, Europa y Asia, atribuidos a actores como WageMole, vinculado a Corea del Norte. De acuerdo con el FBI y Microsoft, estas operaciones persiguen introducir perfiles encubiertos en organizaciones tecnológicas para sustraer información o redirigir fondos. El caso de la empresa estadounidense KnowBe4, donde un candidato habría usado un deepfake en una entrevista para un puesto remoto, ilustra el nivel de sofisticación que han alcanzado estas prácticas.
Cómo se cuelan en la empresa
Los investigadores de ESET describen una evolución del fraude impulsada por herramientas de inteligencia artificial. Los ciberdelincuentes crean o roban identidades que aparentan estar en la misma ubicación que la empresa objetivo, abren cuentas de correo, perfiles en redes sociales y presencia en plataformas para desarrolladores con el fin de aportar verosimilitud. Durante las entrevistas telemáticas recurren a imágenes o vídeos manipulados por IA (deepfakes) y a programas de intercambio de rostro y voz para ocultar su identidad real.
ESET sitúa a WageMole en el entorno de DeceptiveDevelopment, una campaña norcoreana orientada al robo de información. En este esquema se atrae a desarrolladores occidentales hacia ofertas inexistentes y se les invita a completar un reto técnico o una tarea previa. El proyecto que descargan incorpora código troyanizado que compromete sus equipos. A partir de ahí, WageMole recolecta identidades de desarrolladores para utilizarlas en nuevos fraudes laborales, apoyándose en la apertura de cuentas en plataformas de trabajo autónomo, en la disponibilidad de cuentas bancarias (propias o prestadas), en la compra de números de teléfono o tarjetas SIM y en servicios de verificación de antecedentes para validar identidades falsas.
Una vez superada la selección, los operadores instalan el portátil en una “granja” ubicada en el país de la empresa contratante y ocultan su ubicación real con VPN falsas, servicios proxy o servidores virtuales, lo que dificulta su detección. Esta infiltración puede poner en riesgo datos, sistemas críticos y a los propios empleados, llegando incluso a plantearse peticiones de rescate.
Josep Albors, director de Investigación y Concienciación de ESET España comenta: “Cuando el falso trabajador ha pasado el proceso y ya forma parte de la compañía, instala el portátil en una granja de portátiles situada en el país de la empresa contratante y, junto con una VPN falsa, servicios proxy y/o servidores virtuales (VPS), consigue ocultar su verdadera ubicación. Esta infiltración puede llegar a ser un gran golpe para las entidades, poniendo en riesgo datos confidenciales, sistemas críticos o a los propios empleados. En casos extremos, pueden llegar a pedir un rescate por la propia empresa”.
Proteger y prevenir
ESET recomienda partir de la premisa de que cualquier entidad puede verse afectada y aplicar medidas en tres frentes. En la contratación, conviene revisar con detalle la coherencia del perfil y la experiencia alegada, verificar la existencia de las empresas mencionadas y contactar con ellas, y fijarse en señales como cuentas recién creadas o incorrecciones. Durante la entrevista, ayuda comprobar que la cámara y el audio son reales, solicitar la desactivación de filtros de fondo y plantear preguntas sobre cuestiones locales o culturales que pongan a prueba la autenticidad del candidato.
En la supervisión del personal, se sugiere vigilar comportamientos poco habituales: uso de números de teléfono extranjeros, descargas de software no autorizado, accesos desde direcciones IP desconocidas, transferencia inusual de archivos, inicios de sesión fuera de horario o cambios en patrones de trabajo. Para ello, resulta clave disponer de herramientas orientadas a detectar y gestionar amenazas internas.
Si se sospecha de un trabajador falso, ESET propone actuar con discreción: restringir de inmediato el acceso a recursos sensibles y revisar su actividad en la red, limitar la investigación a los equipos de seguridad, recursos humanos y asesoría jurídica, preservar las evidencias y notificar el incidente a las fuerzas de seguridad, además de solicitar apoyo legal para la organización. ESET enfatiza que la tecnología por sí sola no basta y que la formación y la atención de los equipos siguen siendo determinantes para evitar que la confianza se convierta en una puerta de entrada al espionaje.
