Fotomontaje con fotografías de la bandera de Corea del Norte. iStock
Grupos de 'hackers' del régimen de Corea del Norte aprovechan la IA para colarse en empresas sin ser descubiertos
Estos operarios utilizan avanzadas técnicas de inteligencia artificial generativa para compaginar varios empleos al mismo tiempo.
Más información: Hackers ponen en jaque agencias de todo el mundo por una brecha en Microsoft: "es una vulnerabilidad importante"
Desde hace unos años en España hemos podido comprobar cómo los hackers más experimentados se han infiltrado en nuestro ecosistema tecnológico actual, aprovechando vulnerabilidades de todo tipo mientras son financiados por gobiernos enteros. Es lo que está ocurriendo con los hackers norcoreanos.
Así lo desvela el último informe de Threat Hunting 2025 de CrowdStrike, la empresa afamada por el incidente que tumbó ordenadores de medio mundo. Este análisis advierte de la infiltración de atacantes de Corea del Norte en firmas tecnológicas aprovechando el poder de la IA.
La amenaza, que está directamente ligada al régimen de Pyongyang, se presenta como un adversario versado en el uso de la inteligencia artificial generativa para infiltrarse y manipular procesos de contratación y actividades laborales dentro de empresas estandarizadas.
Hackers norcoreanos infiltrados
Todo comienza con los últimos 12 meses de investigación llevados a cabo por CrowdStrike, donde la firma detectó más de 320 incidentes asociados a un grupo norcoreano llamado FAMOUS CHOLLIMA, compuesto por ciberdelincuentes con apoyo institucional de Corea del Norte.
El uso masivo de la IA generativa por parte de estos atacantes ha llevado a un aumento de nada menos que un 220% interanual en esta clase de incidentes. Los atacantes han sabido aprovechar las bondades de estas tecnologías para automatizar y perfeccionar cada fase de los procesos de contratación.
Algunos ejemplos incluyen la creación de currículum y cartas de presentación hasta incluso la generación de identidades sintéticas completas, con fotos alteradas y perfiles sociales creíbles.
Incluso han sido detectados rastros de emails asociados a sus alias en filtraciones de bases de datos de herramientas de retoque fotográfico con IA, lo que sugiere la fabricación sistemática de documentos e imágenes para reforzar estas falsas identidades.
Representación de un hacker.
Los atacantes se incorporan a estas empresas fingiendo ser desarrolladores y expertos en entornos de TI, usando todo tipo de argucias. Por ejemplo, en entrevistas usan sistemas deepfake en tiempo real para postularse para varios trabajos al mismo tiempo, cada uno bajo un avatar distinto.
Para superar estos procesos técnicos y comunicativos, se recurre a modelos de lenguaje como los de OpenAI y Google Gemini para conseguir responder preguntas, simular una fluidez en inglés inusitada y abordar retos de programación en entrevistas con pruebas.
![kim-jong-un-corea-del-norte](["https:\/\/s3.elespanol.com\/2017\/04\/17\/actualidad\/209240748_129849092_320x180.jpg"])
Cuando son contratados, los operarios norcoreanos usan asistentes como Copilot con traductores automáticos y chatbots para desenvolverse en estas jornadas laborales, gestionar tareas de varias empresas y mantener comunicaciones laborales convincentes, compaginando hasta tres o cuatro empleos al mismo tiempo.
Además de generar ingresos que se reportan directamente a Corea del Norte, los operarios acaban robando datos de empresas para las que trabajan para luego extorsionar a estas firmas tecnológicas o destinar esta información robada a la dictadura norcoreana.
FILE PHOTO: ICBMs are driven past the stand with North Korean leader Kim Jong Un and other high-ranking officials during a military parade marking the 105th birth anniversary of country's founding father Kim Il Sung, in Pyongyang, North Korea Thomson Reuters
El objetivo de todas estas infiltraciones no sería otro que la financiación del programa de armamento nuclear de Corea del Norte. El informe de CrowdStrike no determina en ningún momento cuántos infiltrados hay, aunque teoriza una cifra cercana a los miles.
Sorpresivamente, CrowdStrike propone una manera harto llamativa para evitar estas contrataciones fraudulentas: implementar sistemas de verificación de identidad en las fases de contratación y obligar a los empleados a hablar mal del régimen.
![Dmitry Yuryevich Khoroshev, hacker líder de LockBit](["https:\/\/s3.elespanol.com\/2024\/05\/08\/omicrono\/defensa-y-espacio\/853674831_242121568_320x180.jpg"])
Y es que al estar ligados al régimen norcoreano, los operarios están sujetos a una grandísima vigilancia. Según adelanta TechCrunch, algunos estás norcoreanos han acabado descartados al ser preguntados sobre cuestiones críticas sobre el líder norcoreano Kim Jong-un y su dictadura.
CrowdStrike también recomienda incluir desafíos de deepfake en entrevistas y controles estrictos en accesos y dispositivos, además de monitorear traducciones atípicas e implementar detectores de amenazas para evitar filtraciones.
