La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos (OFAC) ha dado un paso firme contra una operación de ingeniería social y fraude laboral vinculada a Corea del Norte que, según las autoridades, sirve para generar ingresos ilícitos que alimentan programas de armas de destrucción masiva. En su comunicado, el Tesoro detalla sanciones económicas contra varias personas y organizaciones implicadas en lo que se conoce en la comunidad de seguridad como los esquemas "Coral Sleet/Jasper Sleet", "PurpleDelta" o "Wagemole". Para el Tesoro, se trata de una red que usa empleos remotos como fachada para robar datos, lavar dinero y pagar a la dictadura norcoreana, y su nota oficial ofrece más contexto sobre estas medidas (comunicado del Departamento del Tesoro).
Lo que hace particularmente llamativo a este caso no es solo la sofisticación técnica, sino la mezcla de técnicas tradicionales de fraude con herramientas modernas impulsadas por inteligencia artificial y servicios de anonimato en la red. Según informes de firmas de ciberseguridad, los actores montan identidades inventadas o usurpan datos personales reales para postularse y conseguir posiciones técnicas en empresas de todo el mundo. Una parte considerable de los sueldos se desvía después hacia redes de conversión de divisas y criptomonedas, y en algunos episodios incluso se han desplegado programas maliciosos para extraer propiedad intelectual o extorsionar a las víctimas con filtraciones de información.
Entre las entidades sancionadas figura la conocida Amnokgang Technology Development Company, a la que las autoridades atribuyen la gestión de delegaciones de trabajadores IT en el extranjero y actividades de adquisición ilícita de tecnología militar y comercial. También se señalan intermediarios en Vietnam, como la firma Quangvietdnbg International Services Company Limited y su director, a los que atribuyen operaciones de conversión de fondos —incluyendo conversiones a criptomonedas por varios millones de dólares— que facilitarían el flujo de recursos a Pyongyang.
Los nombres de personas implicadas aparecen dispersos en la investigación: desde facilitadores que abren y administran cuentas bancarias y billeteras cripto hasta coordinadores que gestionan a los propios trabajadores remotos. Entre ellos se citan individuos como Nguyen Quang Viet, Do Phi Khanh y Hoang Van Nguyen por su papel en la logística financiera, y operativos técnicos como Yun Song Guk, que habría dirigido grupos de trabajo desde el extranjero. OFAC y otros investigadores han trazado estas cadenas financieras y operativas como parte del intento de interrumpir el mecanismo de generación de ingresos no declarados del régimen norcoreano.
La capa técnica de la operación es notable por su pragmatismo. Varios informes de seguridad han documentado el uso de servicios VPN capaces de sortear cortafuegos nacionales para enmascarar la ubicación real de los empleados. Un caso señalado por la firma LevelBlue apunta al empleo de Astrill VPN para tunelizar tráfico y salir a Internet por nodos estadounidenses, lo que ayuda a que los inicios de sesión parezcan legítimos desde la perspectiva de los sistemas de detección de las empresas contratantes (análisis de LevelBlue).
En paralelo, la inteligencia artificial ha reducido drásticamente el coste y la complejidad de fabricar identidades digitales creíbles. Investigadores de Microsoft y otros grupos han advertido sobre el uso de modelos de IA para elaborar historias laborales, redactar comunicaciones persuasivas y, de forma inquietante, generar o manipular imágenes de cara para colocarlas en documentos robados. Herramientas de tipo "faceswap" y servicios que permiten la generación de retratos profesionales están siendo aprovechadas para dar una apariencia más sólida a los currículums y a los perfiles falsos que se presentan a reclutadores o a portales de empleo (informe de Microsoft sobre IA como técnica operativa).
Pero la IA no se queda en el maquillaje de perfiles: hay indicios de que actores maliciosos usan capacidades de agente para automatizar la creación de sitios web falsos, refinar malware y hasta burlar restricciones de modelos de lenguaje para que actúen de manera más autónoma. Esa combinación de persistencia humana y automatización convierte a estos operativos en una amenaza de bajo coste y alto rendimiento, capaz de mantenerse infiltrada durante meses o años si pasa desapercibida.
La operativa interna de la red también sorprende por su división del trabajo y por la integración con colaboradores externos. Reclutadores preparan entrevistas y graban sesiones; facilitadores diseñan las personalidades digitales y gestionan las contrataciones; colaboradores occidentales —a veces sin saberlo, otras veces con consentimiento— ceden identidades o documentos que luego permiten a los falsos empleados superar verificaciones y recibir equipos corporativos. Un documento técnico compartido por Flare y con contribuciones de IBM X-Force describe este ecosistema y detalla herramientas de trabajo que van desde hojas de tiempos para rastrear solicitudes hasta mensajería descentralizada para coordinarse internamente (informe de Flare sobre la amenaza).
Los intentos de infiltración no siempre prosperan. En uno de los casos detectados por una firma de seguridad, un candidato contratado para trabajar de forma remota en la plataforma Salesforce fue despedido poco después cuando los registros mostraron inicios de sesión persistentes desde China y otros indicadores incompatibles con un trabajador nacional. Ese episodio ilustra que los controles adecuados y la vigilancia sobre patrones de acceso pueden cortar operaciones maliciosas en fases tempranas.
Frente a este fenómeno, las recomendaciones de los expertos giran en torno a tratar estos fraudes como un riesgo interno: es decir, como si fueran empleados con credenciales legítimas que pueden hacer un daño sostenido si no se monitoriza su actividad. Eso requiere observabilidad en los inicios de sesión, detección de patrones de "bajo y lento" en exfiltración de datos, controles estrictos de onboarding y verificación reforzada de identidades y localizaciones. También conviene revisar políticas sobre VPNs y nodos de salida, así como desarrollar capacidades para detectar señales de IA en imágenes y textos que acompañan candidaturas.
En última instancia, las sanciones anunciadas por el Tesoro buscan cortar el flujo financiero y aislar a los facilitadores que permiten este esquema. Pero la lección más amplia para empresas y responsables de seguridad es que las fronteras tradicionales entre fraude, espionaje económico y ciberdelincuencia se han vuelto borrosas: hoy, una vacante en LinkedIn puede ser la puerta de entrada a una red de extracción de propiedad intelectual y a un circuito de financiación ilícita con consecuencias geopolíticas.
Vigilancia, controles reforzados y una comprensión actualizada del papel de la IA en el fraude laboral son claves para reducir la exposición. Tanto organismos públicos como la industria privada comparten la responsabilidad de detectar estas técnicas y de adoptar medidas que impidan que empleos remotos se conviertan en sistemas de pago encubiertos para regímenes sancionados.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...