Un esquema sofisticado y sostenido en el tiempo permitió a trabajadores de tecnología de Corea del Norte acceder a redes y nóminas de empresas estadounidenses haciéndose pasar por residentes locales. El Departamento de Justicia de Estados Unidos determinó que, entre 2021 y octubre de 2024, la operación facilitó la contratación remota de personal informático de la República Popular Democrática de Corea en más de cien compañías, incluidas varias del listado Fortune 500, mediante identidades robadas y empresas fachada.
Según los documentos judiciales publicados por el propio Departamento de Justicia, los implicados crearon estructuras que imitaban empresas legítimas: sitios web falsos, cuentas bancarias y sociedades de papel con nombres como Tony WKJ LLC, Hopana Tech LLC o Independent Lab LLC. Estas fachadas sirvieron para justificar facturación y pagos, y así canalizar fondos hacia la red norcoreana. La investigación estima que las operaciones generaron más de 5 millones de dólares en ingresos ilícitos para el régimen norcoreano y provocaron pérdidas aproximadas de 3 millones para las empresas afectadas. Los expedientes judiciales explican con detalle cómo se hicieron pasar por ciudadanos estadounidenses, usando identidades sustraídas a más de 80 personas reales; puede consultarse la documentación oficial en el sitio del DOJ: documentos judiciales.
Dos ciudadanos estadounidenses, Kejia Wang y Zhenxing Wang, fueron acusados en junio de 2025 como parte de una acción coordinada para desmantelar operaciones de recaudación de fondos que beneficiaban al gobierno de Corea del Norte. Ambos se declararon culpables y recibieron condenas de prisión: Kejia Wang fue sentenciado a 108 meses tras admitir su culpabilidad en septiembre de 2025, mientras que Zhenxing Wang recibió 92 meses después de un acuerdo en enero de 2026. El DOJ publicó comunicados relacionados con esos fallos y los cargos en: sentencia de Kejia Wang y cargos adicionales.
El modus operandi no se limitaba a la creación de papeles y sitios web. La pesquisa revela que uno de los acusados llegó a alojar físicamente portátiles propiedad de empresas en domicilios de Estados Unidos, lo que permitía a los trabajadores remotos norcoreanos conectarse a sistemas corporativos sin activar las alertas típicas que genera el acceso desde ubicaciones foráneas. Ese tipo de artimañas complica la detección y convierte trabajos remotos legítimos en una puerta de entrada para campañas de espionaje y fraude.
Además de los dos condenados, hay varios encausados vinculados al mismo entramado que permanecen fugitivos. El Departamento de Estado y programas como Rewards for Justice han ofrecido incentivos para obtener información sobre los implicados: en este caso se llegó a ofrecer hasta 5 millones de dólares por datos que permitan identificar y detener a los sospechosos, y el aviso está disponible públicamente en la iniciativa de recompensas: Rewards for Justice.
El caso no es un suceso aislado. El FBI y sus avisos de ciberseguridad han señalado desde 2023 la existencia de grupos norcoreanos que se hacen pasar por personal de TI residente en Estados Unidos para obtener puestos de trabajo remotos y así infiltrarse en redes corporativas. Las advertencias públicas del IC3 (la unidad antifraude del FBI) describen este patrón y recomiendan medidas generales de mitigación; puede consultarse la información en los comunicados del FBI: aviso de 2024 y aviso de 2023.
Desde el punto de vista de la seguridad, el episodio reúne varios riesgos donde convergen fraude de identidad, evasión de sanciones y acceso persistente a sistemas. Más allá del impacto económico directo, la presencia encubierta de consultores o ingenieros remotos dentro de infraestructuras críticas expone datos sensibles, propiedad intelectual y —en algunos sectores— capacidades relacionadas con la seguridad nacional. Los investigadores señalan que estas campañas permiten a un Estado actuar de forma encubierta y con un coste relativamente bajo.
Para las empresas que operan con equipos distribuidos, esto obliga a repensar controles de confianza. Las prácticas que tradicionalmente se han usado para validar candidatos y proveedores pueden resultar insuficientes frente a identidades suplantadas y redes de fachada diseñadas para sortear verificaciones superficiales. Auditorías de identidad más rigurosas, verificación multifactor reforzada, control estricto de dispositivos corporativos y arquitecturas de acceso que minimicen privilegios pueden reducir la superficie de ataque. La adopción de modelos de seguridad basados en 'zero trust' y la monitorización continua del comportamiento de cuentas privilegiadas ayudan a detectar anomalías que una simple comprobación documental no captaría.
Las sentencias y acciones judiciales contra los implicados muestran que las autoridades combinan herramientas penales con cooperación internacional para cortar los flujos financieros y las redes logísticas que sostienen estas operaciones. Sin embargo, la permanencia de acusados en paradero desconocido y la existencia de redes más amplias indican que la amenaza persistirá mientras haya incentivos económicos y métodos efectivos para ocultar el origen de los pagos y la identidad real de los trabajadores.
El caso también plantea preguntas sobre la gobernanza del trabajo remoto y los límites de la contratación globalizada. Contratar talento fuera de fronteras aporta beneficios, pero requiere controles proporcionales al riesgo. En un entorno donde actores estatales pueden explotar la economía digital para financiar programas prohibidos o emprender actividades de espionaje, la respuesta necesita combinar diligencia empresarial, capacidades tecnológicas y cooperación entre gobiernos.
Para seguir la evolución del caso y revisar los documentos oficiales y comunicados, pueden consultarse las notas y expedientes publicados por el Departamento de Justicia en este enlace a los documentos de la investigación: DOJ - documentos del caso, así como los avisos del FBI mencionados anteriormente.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...