Un presunto operativo norcoreano intentó infiltrarse en un empleo remoto en una empresa de ciberseguridad utilizando una identidad robada, un currículum falso generado por IA y un número de teléfono VoIP. El caso, descubierto en junio de 2025, demuestra cómo el esquema de trabajadores informáticos patrocinado por el Estado de Corea del Norte se ha vuelto más sofisticado y difícil de detectar sin una evaluación adecuada.

Un operario presuntamente norcoreano intentó infiltrarse en un puesto remoto en una empresa de ciberseguridad utilizando una identidad robada, un currículum falso generado por IA y un número de teléfono VoIP.

El caso, descubierto en junio de 2025, muestra cómo el esquema de trabajadores de TI patrocinado por el Estado norcoreano (DPRK) se ha vuelto más sofisticado y difícil de detectar sin una evaluación adecuada.

El operario solicitó el puesto de Arquitecto Líder de IA, afirmando ser un profesional con sede en Florida con más de una década de experiencia en arquitectura de IA y desarrollo full stack.

El intento fracasó, pero dejó tras de sí una clara serie de señales de alerta que pintan un panorama preocupante sobre cómo operan estos esquemas hoy en día.

Desde principios de 2023, trabajadores de TI norcoreanos han estado infiltrándose silenciosamente en empresas de Estados Unidos y otros países haciéndose pasar por trabajadores remotos cualificados.

Estos operarios ganan salarios que luego son canalizados de vuelta al gobierno norcoreano, ayudando a financiar sus programas de armas. El esquema no se limita a pequeñas empresas.

Ataca a organizaciones de todos los tamaños, incluidas aquellas en los sectores de tecnología, inteligencia y ciberseguridad. Los candidatos falsos utilizan información personal robada de personas reales, crean nuevas cuentas de correo electrónico y construyen perfiles en línea falsos para parecer legítimos.

Analistas de Nisos identificaron al presunto operario de la DPRK combinando investigación de Inteligencia de Fuentes Abiertas (OSINT) previa a la contratación con preguntas cuidadosamente elaboradas durante las entrevistas.

El operario utilizó las direcciones IP 167.88.61.250 y 167.88.61.117, vinculadas a la red de anonimización VPN Astrill, una herramienta comúnmente asociada con trabajadores de TI de la DPRK que operan desde China.

El número de teléfono proporcionado, 850-308-4867, fue rastreado como un número de Protocolo de Voz por Internet (VoIP), una táctica común utilizada por estos operarios para hacer coincidir el código de área de su teléfono con su supuesta ubicación en EE.UU.

La identidad robada pertenecía a un residente real de Florida que había vivido en Palm Beach Gardens, West Palm Beach y Greenacres.

El operario utilizó el nombre y los detalles de dirección de esta persona para crear múltiples cuentas de currículum en diferentes plataformas, cada una con universidades, empleadores y ubicaciones ligeramente diferentes.

Los tres currículums fueron rastreados hasta el mismo individuo real, quien probablemente desconocía que su información personal estaba siendo utilizada indebidamente. Nisos coordinó la notificación a la víctima junto con las autoridades tras el descubrimiento.

El impacto de este tipo de fraude va mucho más allá de una sola solicitud de empleo falsa. Contratar a alguien vinculado a este esquema puede exponer a una empresa a robo de datos, pérdida de propiedad intelectual, sanciones regulatorias y graves daños a su reputación.

Los operarios, una vez contratados, utilizan herramientas de acceso remoto para controlar los portátiles de la empresa desde el extranjero mientras aparentan trabajar localmente, lo que hace extremadamente difícil su detección para los equipos estándar de seguridad informática.

Construcción de identidad falsa y el uso de IA en el fraude laboral

Uno de los aspectos más reveladores de este caso fue cómo el operario construyó y mantuvo una identidad falsa utilizando herramientas de inteligencia artificial y lenguaje copiado de descripciones de puestos de trabajo.

El currículum presentado para el puesto de Arquitecto Líder de IA contenía una lista inusualmente larga de habilidades técnicas, incluyendo lenguajes de programación, plataformas en la nube, herramientas de IA agentiva y marcos OSINT, muchas de las cuales fueron extraídas casi palabra por palabra de la propia oferta de empleo.

Los analistas de Nisos señalaron que este patrón de reflejar el lenguaje de la descripción del puesto directamente en un currículum es una táctica conocida entre los trabajadores de TI de la DPRK, quienes lo utilizan para superar los filtros básicos de selección por palabras clave usados por los sistemas de contratación.

Esto muestra la superposición significativa entre los dos documentos:

La sección de resumen del currículum también reutilizó frases de la descripción del puesto, especialmente en torno a la investigación y evaluación de tecnologías emergentes de IA agentiva.

Durante la entrevista virtual celebrada el 24 de junio de 2025, el comportamiento del operario levantó más alarmas.

Miraba frecuentemente fuera de la cámara y, cuando se le hizo una pregunta deliberadamente falsa sobre un huracán que nunca ocurrió, respondió con un «¿Cómo puedo decirlo?» mientras miraba otra pantalla, señal de que estaba esperando a que un chatbot de IA generara una respuesta por él.

Cuando se le pidió que compartiera su pantalla y guiara a los entrevistadores a través de trabajos anteriores, cerró abruptamente las pestañas del navegador y terminó la llamada. No tenía un portafolio en GitHub y afirmó que todo su trabajo previo estaba almacenado en repositorios privados que no podía compartir.

Se descubrieron tres cuentas de currículum separadas bajo el mismo nombre pero con diferentes empleadores, universidades y ubicaciones en múltiples plataformas.

Una de las cuentas se creó en mayo de 2025, lo que sugiere que la identidad fue construida recientemente para esta campaña específica de solicitud de empleo.

El operario también proporcionó una dirección de envío diferente para el portátil, distinta a la indicada en el currículum, lo que es consistente con la forma en que los operarios de la DPRK redirigen los dispositivos de la empresa a granjas de portátiles.

Esto confirmó que el dispositivo terminó en un armario junto a otros portátiles de la empresa, todos controlados de forma remota mediante dispositivos PiKVM y conectados a través del servicio VPN de malla Tailscale.

Se recomienda encarecidamente a las organizaciones implementar verificaciones OSINT exhaustivas previas a la contratación para todos los candidatos remotos, verificar números de teléfono y direcciones IP durante el proceso de solicitud, hacer preguntas específicas durante las entrevistas que no puedan ser respondidas con respuestas preescritas o generadas por IA, exigir compartir la pantalla en vivo de trabajos verificables anteriores y monitorear perfiles profesionales recién creados con pocas conexiones.

Las empresas que no tengan capacidad interna para realizar estas verificaciones deberían trabajar con firmas de inteligencia e investigación cualificadas con experiencia en la identificación de fraudes laborales y amenazas internas.