En los últimos meses ha quedado claro que una vieja modalidad de fraude laboral ha escalado en sofisticación y alcance: grupos vinculados a la República Popular Democrática de Corea han pasado de suplantar identidades para completar formularios a presentarse en procesos de selección con cuentas de LinkedIn reales pertenecientes a personas a las que están suplantando. Según publicaciones de la organización Security Alliance en X, los perfiles utilizados cuentan a menudo con correos corporativos verificados y distintivos de identidad que, en apariencia, hacen que las candidaturas fraudulentas parezcan totalmente legítimas (fuente). No se trata solo de robar un currículum: los atacantes buscan establecer presencia y confianza en las empresas, lo que les permite moverse con mayor libertad una vez que consiguen acceso.
Este fenómeno forma parte de una operación persistente, documentada por distintos actores del sector, en la que supuestos “trabajadores remotos” son contratados por compañías occidentales usando identidades robadas o fabricadas. Investigadores y empresas de seguridad han rastreado esta actividad durante años y la han bautizado de distintas formas: Jasper Sleet, PurpleDelta, Wagemole, entre otros nombres, pero el patrón es consistente. El objetivo es doble: extraer valor económico y, en paralelo, obtener acceso a información sensible para espionaje o extorsión. Firmas especializadas han descrito el programa como una fuente estable de ingresos para la dictadura norcoreana, además de un vector para conseguir privilegios administrativos dentro de infraestructuras críticas de software (análisis de KELA) y (investigación de Silent Push).
En el plano financiero, el destino final de los salarios que reciben estos actores también ha sido objeto de estudios. Reportes de análisis blockchain muestran cómo las ganancias se mueven por cadenas, se intercambian por distintos tokens y atraviesan puentes y exchanges descentralizados para complicar el rastreo y el vínculo entre origen y destino de los fondos (Chainalysis). La combinación de identidad robada, acceso corporativo y técnicas avanzadas de mezcla de criptoactivos crea una cadena difícil de cortar para quienes investigan o intentan bloquear el flujo de dinero.
Paralelamente a las contrataciones falsas, han proliferado campañas de ingeniería social diseñadas específicamente para que la propia víctima ejecute código malicioso durante el proceso de selección. En la campaña conocida como “Contagious Interview” los atacantes atraen a candidatos desde LinkedIn con ofertas de trabajo y, durante entrevistas aparentemente normales, piden que se realicen pruebas técnicas que implican clonar un repositorio de GitHub y ejecutar comandos. En algunos ataques se les solicitó instalar paquetes npm que contenían carga maliciosa, lo que permitió a los autores ejecutar malware en las máquinas de las víctimas; otras variantes han utilizado tareas de Visual Studio Code que ejecutan JavaScript disfrazado de fuentes web, finalmente desplegando familias de malware como BeaverTail o InvisibleFerret para robar credenciales y monederos de criptomonedas (explicación técnica de Fireblocks) y (seguimiento de Abstract Security).
Las técnicas no se limitan a simples paquetes maliciosos: en algunos ataques se ha documentado el uso de un método llamado EtherHiding que emplea contratos inteligentes y la blockchain para alojar y recuperar infraestructura de comando y control, lo que complica aún más la eliminación de servidores maliciosos al dispersarlos en redes públicas e inmutables (detalle técnico). Otra campaña rastreada por investigadores desplegó un troyano de acceso remoto modular llamado Koalemos a través de paquetes npm infectados; este RAT hace fingerprinting del sistema, mantiene bucles de señalización con servidores externos y soporta múltiples comandos para operar sobre archivos, transferir datos y ejecutar código arbitrario (análisis de Panther). El vector favortio de estos grupos es, con frecuencia, el software legítimo troceado o la cadena de herramientas del desarrollador —repositorios, paquetes y tareas de IDE— porque es la vía más directa para ejecutar código en entornos de confianza.
La respuesta del ecosistema de seguridad también ha mostrado evolución. Empresas de inteligencia y firmas de ciberseguridad señalan que grupos norcoreanos como Labyrinth Chollima han fraccionado sus operaciones en unidades con objetivos y métodos diferenciados: unas se centran en robo sistemático de criptoactivos en volúmenes pequeños, otras buscan golpes mayores contra objetivos concretos con herramientas más sofisticadas, y una tercera mantiene perfiles dedicados al espionaje usando rootkits y técnicas avanzadas de persistencia. Aunque operen con nombres distintos, comparten infraestructura y herramientas, lo que sugiere una coordinación centralizada que optimiza recursos y conocimientos entre las distintas células (informe de CrowdStrike).
Las implicaciones para empresas y profesionales son claras y preocupantes. A nivel individual, una cuenta de LinkedIn comprometida o suplantada puede ser utilizada para postularse a decenas de vacantes y establecer un rastro de “empleo” legítimo que, a ojos de un reclutador poco precavido, no despierta sospechas. A nivel corporativo, un desarrollador remoto con acceso a repositorios o entornos de integración continua puede convertirse en puerta de entrada para implantar backdoors, extraer código fuente y ejecutar movimientos laterales. La policía de seguridad noruega (PST) incluso alertó sobre casos en los que compañías en Noruega contrataron lo que probablemente eran trabajadores norcoreanos en puestos remotos, cuyos salarios podrían financiar programas armamentísticos del régimen (comunicado del PST).
La buena noticia es que muchas de las medidas más efectivas contra estas tácticas de ingeniería social son procesos sencillos y verificables: pedir que el candidato confirme un correo corporativo, solicitar interacción directa en la propia red profesional para comprobar la propiedad de la cuenta, exigir videollamada con identificación corporativa o implementar pasos técnicos que eviten la ejecución directa de código desconocido en máquinas con acceso a recursos sensibles. Desde el punto de vista técnico, conviene aislar entornos de evaluación, usar sandboxing para cualquier paquete externo, auditar dependencias, proteger pipelines de CI/CD y aplicar políticas estrictas de privilegios mínimos en los repositorios. También es relevante monitorizar transferencias de activos digitales y patrones inusuales de retiro de fondos para detectar posibles flujos ilícitos temprano (recomendaciones de Chainalysis).
Para quienes sospechen que su identidad ha sido usurpada en procesos de selección, una reacción rápida y pública suele ser eficaz: advertir en perfiles sociales, publicar los canales oficiales de contacto y explicar cómo verificar su identidad (por ejemplo, indicando un correo corporativo o un método de autenticación conocido). Desde el lado empresarial, la comprobación manual sigue siendo valiosa: pedir a la persona que conecte desde su cuenta real de LinkedIn, que responda a una dirección de correo verificada y que realice una breve interacción en tiempo real con un responsable interno puede filtrar gran parte de las suplantaciones. La combinación de controles técnicos y sentido común en los procesos de recursos humanos y desarrollo es la mejor defensa frente a este tipo de ataques.
Finalmente, es importante recordar que este fenómeno no es una rara anomalía: es una evolución lógica de actores que combinan ingenio social, conocimiento del ecosistema de desarrollo y técnicas financieras avanzadas. La coexistencia de campañas como Contagious Interview, operaciones de suministro de paquetes maliciosos y las actividades de grupos atribuidos a Lazarus o Labyrinth Chollima demuestra que la amenaza es multidimensional y persistente. Mantenerse informado, aplicar verificaciones rigurosas en los procesos de contratación y endurecer las defensas técnicas en torno a dependencias y pipelines son pasos indispensables para reducir la superficie de ataque y proteger tanto a empleados como a organizaciones frente a estas tácticas cada vez más pulidas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...