Resumen ejecutivo
En los últimos meses, Okta Threat Intelligence llevó a cabo una investigación exhaustiva sobre los servicios en línea utilizados por personas identificadas por las autoridades estadounidenses y terceros de confianza como agentes de la República Popular Democrática de Corea (RPDC).
Miembros de nuestro equipo ahora han publicado un conjunto de observables relacionados con estos dispositivos, los cuales están disponibles para los contactos de seguridad de clientes autenticados en security.okta.com. Tenga en cuenta que estos dispositivos pueden ser utilizados para fines legítimos, o no autorizados pero benignos, por los empleados y, por sí solos, no son un indicador de actividad de la RPDC.
Antecedentes
Esquemas fraudulentos de trabajadores de TI
Múltiples arrestos y acusaciones formales (ver Apéndice B) han revelado la magnitud en la que individuos que operan en nombre de la RPDC han sido movilizados a países vecinos para obtener empleo fraudulento en organizaciones de todo el mundo.
El objetivo principal de estos esquemas es recaudar fondos para la RPDC y compensar las importantes sanciones financieras aplicadas al régimen norcoreano. Las agencias estadounidenses también han identificado varios casos atípicos en los que el acceso a los sistemas proporcionado para el empleo se utilizó para facilitar el espionaje o la extorsión de datos.
Los objetivos de estos esquemas fraudulentos parecen oportunistas y se basan en la disponibilidad de puestos técnicos remotos. Los empleadores con mayor riesgo son las empresas de tecnología que son más propensas a aceptar candidatos remotos para puestos de informática o ingeniería de software, a menudo de forma eventual. Sin embargo, estas campañas también se extienden a sectores verticales mucho más allá del sector tecnológico.
Okta Threat Intelligence utilizó indicadores asociados con facilitadores y agentes conocidos de la RPDC para dar seguimiento a su uso de aplicaciones de GenAI. También trabajamos con clientes y socios altamente específicos para desarrollar controles preventivos para este modelo de amenaza único. En el proceso, Okta ha revisado nuestros propios procesos de incorporación, ha compartido material de concientización y ha desarrollado numerosos métodos de detección.
La investigación tuvo una influencia directa en las mejoras de funciones integradas en Okta Workforce Identity, como los servicios de verificación de identidad, que los clientes de Okta pueden utilizar para reducir su exposición a esta amenaza. Estos se discuten en la sección de "Controles de Mitigación" de este aviso.
Los Facilitadores
Nuestra comprensión de esta amenaza está conformada por la perspectiva única que Okta Threat Intelligence puede obtener sobre las herramientas utilizadas por aquellos individuos identificados como “facilitadores” de esquemas de empleo fraudulentos.
Estos facilitadores proporcionan el necesario soporte en el país, la infraestructura técnica y/o la cobertura comercial legítima para ayudar a las personas de países sancionados a conseguir y mantener un empleo.
Se alega que los facilitadores detenidos por las fuerzas del orden en Estados Unidos proporcionaron a sabiendas una variedad de servicios de soporte a ciudadanos de la RPDC:
- Asistencia directa en el proceso de reclutamiento
- Una dirección nacional para el envío de dispositivos emitidos por la empresa
- Acceso a documentos de identidad legítimos
- Operación de dispositivos emitidos por la empresa en nombre del trabajador remoto
- Instalación de herramientas de administración y monitoreo remoto (RMM) en el dispositivo para facilitar el trabajo remoto
- Autenticación, cuando sea necesario, en nombre del trabajador remoto
Se alega que una operación de «granja de laptops» con sede en Arizona, expuesta en mayo de 2024, ayudó a colocar a más de 300 personas en puestos técnicos en todo Estados Unidos. En otra acusación de enero de 2025, dos residentes estadounidenses fueron acusados de obtener empleo de manera fraudulenta y operar una granja de computadoras portátiles en Carolina del Norte para ciudadanos de la RPDC, después de haber obtenido empleo con éxito en 64 organizaciones.
Okta ahora puede revelar el grado en que los facilitadores de esquemas de trabajo fraudulentos confían en los servicios emergentes mejorados con GenAI para escalar sus operaciones.
El rol de la IA
Uso de IA generativa para "probar y aprender"
En los últimos meses, se ha registrado a personas fuertemente sospechosas de ser personajes creados por la RPDC utilizando video “deepfake” en tiempo real durante las entrevistas.
La investigación de Okta Threat Intelligence ha observado un conjunto mucho más amplio de servicios de GenAI utilizados en estos esquemas, lo que sugiere un intento muy deliberado por parte de los facilitadores para mantenerse al día con la innovación en IA. Los facilitadores ahora están utilizando herramientas basadas en GenAI para optimizar cada paso en el proceso de solicitud y entrevista para los puestos, y para ayudar a los ciudadanos de la RPDC que intentan mantener este empleo.
Se observó que los facilitadores utilizaban servicios basados en GenAI que se especializan en:
- Mensajería unificada
- Plataformas de reclutamiento
- Revisión de currículums/CV
- Gestión de candidatos
- Selección automatizada de empleo
- Chatbots basados en IA
- Capacitación de código de IA
- Envío en línea
Si bien Okta Threat Intelligence no puede observar las actividades de los facilitadores más allá de la página de inicio de sesión, la estrecha gama de funcionalidades que ofrecen muchas de estas herramientas nos permite formular hipótesis sobre algunos casos de uso probables, que se proporcionan en la siguiente tabla.
| Categoría de servicio | Tarea | Función de la IA |
|---|---|---|
| Mensajería unificada | Gestionar la comunicación en nombre de varios candidatos de países sancionados y sus múltiples identidades. | Web Commerce Communications Limited dba WebNic.cc |
| Plataformas de reclutamiento | Publicar aplicaciones de empleo similares a las anunciadas en organizaciones específicas para evaluar las tasas de éxito de las aplicaciones legítimas. | Estas plataformas de reclutamiento ofrecen acceso a sistemas de interés para los facilitadores: software de seguimiento de candidatos (ATS). Estos algoritmos determinan si una aplicación de empleo pasa por controles automáticos. Los CV y las cartas de presentación de solicitantes de empleo legítimos pueden formar parte de un conjunto de Capacitación para optimizar las aplicaciones realizadas en nombre de nacionales de la RPDC. |
| Revisión de currículums | Optimizar los CV en nombre de varios candidatos de países sancionados y sus múltiples identidades. | Agentes de IA prueban los CV cargados contra el ATS (software de seguimiento de candidatos) para reconocer qué identidades tendrán más éxito en cualquier anuncio de trabajo dirigido. |
| Gestión de candidatos | Manage multiple job applications on behalf of múltiples personas gestionadas por una sola persona. | Se utilizan herramientas mejoradas con IA para automatizar el proceso de seguimiento de múltiples aplicaciones de empleo. |
| Entrevistas simuladas | Realice simulacros de entrevistas (basadas en cámara web y texto) con agentes de IA encargados de evaluar las habilidades de presentación y las respuestas de un candidato durante una entrevista. | Los facilitadores pueden utilizar estas entrevistas simuladas basadas en chat de GenAI para probar la eficacia de las superposiciones de deepfake y las respuestas programadas a las preguntas de la entrevista de trabajo. |
| Chatbots basados en LLM | Responder preguntas y completar tareas durante las entrevistas de trabajo y cualquier empleo resultante. | Los chatbots de IA son utilizados en tiempo real por facilitadores que se hacen pasar por candidatos para responder preguntas durante las entrevistas. Es probable que los candidatos los utilicen de nuevo para completar tareas durante el empleo. |
| Servicios de Capacitación en código | Rápida adopción de habilidades de desarrollo desconocidas requeridas por una organización de contratación. | Los candidatos utilizan plataformas de Capacitación basadas en IA para alcanzar la competencia suficiente en una habilidad determinada para obtener y mantener el empleo durante el mayor tiempo posible. |
Tabla 1: Servicios mejorados con IA y otras herramientas utilizadas por los facilitadores de las campañas de "wagemole" de la RPDC
Casos de uso para herramientas mejoradas con IA
1. Mensajería Unificada
Uno de los desafíos más exigentes para los facilitadores es cómo gestionar las comunicaciones multicanal en nombre de docenas de candidatos de países sancionados y sus múltiples identidades.
Okta Threat Intelligence observó el uso de servicios de mensajería unificada para gestionar muchas cuentas simultáneas de teléfonos móviles, mensajería instantánea y correo electrónico, así como otros servicios de chat relacionados.
Estos servicios de mensajería unificada utilizan GenAI para transcribir o resumir conversaciones y ofrecer traducción en tiempo real de voz y texto. Aparentemente, son fundamentales para ayudar a un grupo relativamente pequeño de facilitadores a programar entrevistas de trabajo con múltiples perfiles de candidatos de la RPDC.
2. Plataformas de reclutamiento
Tanto los facilitadores como los candidatos hacen un uso extensivo de las plataformas de búsqueda de empleo para postularse a puestos. Más sorprendente fue el uso de plataformas de reclutamiento mejoradas con IA, que normalmente utilizan los reclutadores (no los candidatos), probablemente con el objetivo de ampliar el alcance y la precisión de las ofertas de empleo.
El acceso a estas herramientas brinda a los facilitadores la oportunidad de anunciar puestos en empresas fachada que son similares, si no idénticos, a los anunciados por las Organizations objetivo, con el fin de estudiar las cartas de presentación y los currículums de los candidatos legítimos. Los CV y las cartas de presentación de los solicitantes de empleo legítimos pueden incluso formar parte de un conjunto de capacitación para optimizar futuras aplicaciones realizadas en nombre de los trabajadores de la RPDC.
A gran escala, estas técnicas mejoran drásticamente el posible éxito de las aplicaciones de empleo, utilizando eficazmente las propias herramientas de los reclutadores contra ellos a gran escala.
3. Revisión de currículums/CV
Okta Threat Intelligence determina que los facilitadores están muy motivados para generar cartas de presentación, CV y entrevistas exitosas, y para abordar cualquier criterio específico en una aplicación.
Se observó que los facilitadores utilizaban servicios que proporcionan "Superpoderes de IA" a los solicitantes de empleo para ayudarles a "ser más astutos que los robots de los empleadores", con el fin de mejorar las posibilidades de que una aplicación de empleo avance con éxito a través de los escaneos automatizados de CV/currículos utilizados en las plataformas de contratación.
Estos servicios utilizan agentes de GenAI para probar los CV subidos con el ATS (software de seguimiento de candidatos), iterando hasta que logran un mejor resultado y aprendiendo qué perfiles serán más exitosos en un puesto determinado.
4. Gestión de candidatos
Okta Threat Intelligence observó servicios que utilizan agentes de GenAI para automatizar el proceso de completar formularios de aplicación en nombre de los candidatos y para dar seguimiento al progreso de los candidatos a través del proceso de aplicación.
Una vez más, estas capacidades abordan el desafío de facilitar las aplicaciones de empleo y el empleo en nombre de varias personas y sus múltiples identidades en múltiples zonas horarias.
5. Entrevistas Simuladas
Una vez que una aplicación tiene éxito, la siguiente tarea para los facilitadores es preparar a sus candidatos (o al facilitador mismo, en algunos casos) para las entrevistas de trabajo.
Se observó que los facilitadores utilizaban servicios mejorados con IA que implementan agentes de GenAI para albergar y grabar entrevistas de primera ronda en nombre de los empleadores, luego criticar y ofrecer consejos de mejora para el entrevistado.
Estos servicios automatizados de “revisión de entrevistas con webcam basada en IA” afirman ayudar con el uso adecuado de la iluminación, los filtros de video y el enfoque del candidato a la conversación.
Okta Threat Intelligence evalúa que las entrevistas simuladas organizadas por agentes de IA se pueden utilizar para evaluar la eficacia de las superposiciones de deepfake y de las respuestas muy guionizadas a preguntas comunes, para disminuir la probabilidad de que se descubra su engaño.
6. Chatbots basados en LLM
Si bien la mayoría de las aplicaciones GenAI utilizadas por los facilitadores se relacionan directamente con la capacitación y el reclutamiento, Okta Threat Intelligence también los observó iniciando sesión constantemente en chatbots basados en LLM.
Al analizar los patrones de actividad, estas herramientas generalizadas de GenAI parecen ser muy utilizadas a lo largo del proceso de reclutamiento, así como por los candidatos exitosos una vez que consiguen el empleo.
7. Servicios de Capacitación en código
También se observó a los candidatos acceder a servicios gratuitos que ofrecen capacitación en lenguajes de desarrollo específicos y herramientas de IA. Estas plataformas de capacitación ofrecen un conocimiento superficial de las habilidades de desarrollo desconocidas que requiere una organización de contratación en la entrevista, y lo esencial para mantener el empleo durante el mayor tiempo posible.
“Usuarios avanzados” de la IA
Los facilitadores emplean ampliamente herramientas mejoradas con IA para ayudar a los trabajadores de ingeniería de software con habilidades mínimas y que no son hablantes nativos de inglés a mantener puestos, lo que les permite canalizar las ganancias hacia el régimen sancionado de la RPDC. La escala de las operaciones observadas sugiere que incluso el empleo a corto plazo durante unas pocas semanas o meses a la vez, cuando se escala con la automatización y GenAI, puede presentar una oportunidad económica viable para la RPDC.
Controles de mitigación
Para mitigar la amenaza que suponen estas campañas, Okta Threat Intelligence recomienda:
Verificación de identidades
Incrustación de la verificación de identidad en procesos empresariales clave
Capacitación y elaboración de informes
Capacitación al personal para que identifique los indicadores comunes de comportamiento fraudulento
Detectar el uso no autorizado de dispositivos de acceso remoto
Detección del uso no autorizado de herramientas RMM (gestión y supervisión remotas) preferidas por los trabajadores de TI de la RPDC.
Verificación de identidad
Los esquemas de trabajadores de TI de la RPDC explotan la naturaleza fragmentada de los procesos de contratación en las grandes organizaciones. La mayoría de las organizaciones hoy en día utilizan ampliamente a proveedores, socios, trabajadores independientes y trabajadores contingentes como parte de su empresa extendida.
Las organizaciones son más vulnerables cuando la verificación de identidad se realiza en silos en diferentes etapas del proceso de contratación. El riesgo aumenta aún más cuando se contratan agencias de empleo externas para realizar una o más de las tareas críticas del proceso, ya sea publicitar un puesto, realizar entrevistas, gestionar contratos o la logística de la incorporación de un nuevo trabajador contingente. En cualquier etapa de este proceso, surgen oportunidades para que los facilitadores locales pagados proporcionen documentación de verificación, o incluso para participar en una entrevista, para ayudar a un solicitante a pasar al siguiente paso.
Okta Workforce Identity ahora incluye métodos para añadir un servicio de Verificación de Identidad como un proveedor de identidades. Un servicio de verificación de identidad de terceros normalmente solicita que un usuario proporcione un documento de identidad emitido por el gobierno y le pide que se tome una selfie para satisfacer una comprobación de autenticidad. Cuando se configura como un proveedor de identidades en Okta, puedes configurar la solución para que se aplique durante los momentos de mayor riesgo en el ciclo de vida del usuario, como el reclutamiento, la incorporación de usuarios y la recuperación de cuenta.
Recomendamos que la verificación de identidad se aplique de manera consistente, desde el procesamiento de las solicitudes hasta las entrevistas, la aceptación de la oferta, la firma de contratos y la incorporación. Cada revalidación sucesiva de la identidad de un individuo crea una "cadena de confianza" a lo largo del proceso.
Okta configuró recientemente una integración con Persona, un servicio líder de Verificación de Identidad, para asegurar los flujos de inscripción y recuperación de autoservicio para nuestro propio personal y proveedores de servicios. Esta implementación, que se describe en detalle en una publicación de blog, ha influido en el enfoque que Okta ahora recomienda a los clientes.
Capacitación y elaboración de informes
La identificación de actividades fraudulentas de empleo requiere colaboraciones profundas entre los equipos de seguridad, los equipos de talento y las funciones de adquisiciones para garantizar que las verificaciones de antecedentes y la verificación de identidad se realicen de manera consistente, independientemente de si el candidato está siendo contratado a través de un tercero.
Las siguientes señales de alerta son comunes, pero no exclusivas, de las aplicaciones fraudulentas de empleo. Dado que las personas involucradas en estos esquemas han desarrollado significativamente su oficio con el tiempo para mejorar su tasa de éxito, anticipamos la necesidad de adaptarnos continuamente y agregar a esta lista.
Señales de alerta (Capacitación y elaboración de informes)
Durante el reclutamiento:
- Un candidato expresa una preferencia por las aplicaciones basadas en chat en lugar de las llamadas de voz y video, culpando a la mala cobertura de Internet u otros pretextos similares
- Un candidato proporciona datos inconsistentes en varias etapas del proceso (nombre, ubicación, información de contacto, educación e historial laboral).
- Los metadatos de las videoconferencias remotas sitúan al candidato en un lugar marcadamente diferente al que se proporcionó en su aplicación
- Un candidato parece estar utilizando herramientas de GenAI para responder preguntas durante el proceso de entrevista
- Un candidato proporciona respuestas a preguntas comunes que parecen estar escritas
- El rostro de los candidatos parece estar alterado digitalmente en tiempo real y se niegan cuando se les pide que sostengan una mano o un objeto frente a su rostro.
Durante la oferta:
- Un candidato exitoso está dispuesto a aceptar tarifas más bajas por su trabajo o a buscar métodos de pago poco ortodoxos
- Un candidato exitoso solicita un cambio de direcciones de envío para los dispositivos emitidos por la empresa
- La información proporcionada durante las verificaciones de antecedentes es inconsistente con la información proporcionada en la aplicación del candidato (como educación, historial laboral o ubicación)
Durante la incorporación y el empleo:
- Un proveedor de servicios o empleado no está disponible con frecuencia para las videollamadas programadas con colegas, a menudo utilizando emergencias familiares o enfermedades como motivo
- Un proveedor de servicios o empleado no está dispuesto a mostrar su fondo cuando se le pide que aparezca en videollamadas.
- Un proveedor de servicios o empleado tiene dificultades intermitentes para iniciar sesión en los sistemas de la empresa
- Un proveedor de servicios o empleado demuestra un rendimiento deficiente en relación con las habilidades y capacidades evaluadas durante el proceso de entrevista
- Las horas trabajadas por un proveedor de servicios o empleado son inconsistentes con el horario comercial o la zona horaria en la que fue empleado
- Un proveedor de servicios o empleado solicita cambios en la información de pago debido a problemas con su cuenta bancaria.
Detectar el uso de herramientas de acceso remoto no autorizadas
Otros controles críticos incluyen aquellos que previenen o detectan la instalación de herramientas y dispositivos de acceso remoto no autorizados, especialmente aquellos que se usan comúnmente en las granjas de laptops, instalados o conectados a dispositivos emitidos por la empresa.
Un IP-KVM es un dispositivo de hardware que permite el acceso y control remoto de ordenadores a través de una conexión de red. Existen dispositivos pequeños y de bajo costo que transmiten señales de teclado, video y mouse (“KVM”) a usuarios remotos sin la necesidad de instalar software en el dispositivo. Esto hace que sean difíciles de detectar utilizando herramientas tradicionales de detección y respuesta de extremos (EDR). No tenemos conocimiento de ninguna firma proporcionada por proveedores de EDR que estén diseñadas específicamente para detectar el uso de tales dispositivos.
Tomando nota de los informes sobre el uso extensivo de dispositivos IP-KVM que se utilizan para habilitar el acceso remoto a las computadoras portátiles en las granjas de computadoras portátiles de la RPDC, Okta Threat Intelligence ha probado varios de ellos para desarrollar diversos enfoques para la detección.
Miembros de nuestro equipo han publicado un conjunto de elementos observables relacionados con estos dispositivos, que están disponibles para los clientes de Okta en security.okta.com. Tenga en cuenta que estos dispositivos pueden ser utilizados con fines legítimos o no autorizados pero benignos por los empleados y, por sí solos, no son un indicador de la actividad de la RPDC.
Basándonos en los resultados de nuestra investigación, recomendamos encarecidamente implementar múltiples métodos de detección y adoptar un enfoque basado en riesgos para determinar si un dispositivo IP-KVM conectado a un host está siendo utilizado de forma maliciosa.
Apéndice: Lecturas Adicionales
- Exposing DPRK's Cyber Syndicate and Hidden IT Workforce - DTEX - May 2025
- Ingeniero falso: fraude avanzado de deepfake y cómo detectarlo - Vidoc Security - Marzo de 2025
- Dos ciudadanos norcoreanos y tres facilitadores acusados por un esquema fraudulento de trabajadores remotos de tecnología de la información que generó ingresos para la República Popular Democrática de Corea - Departamento de Justicia de EE. UU. - Enero de 2025
- Catorce ciudadanos norcoreanos acusados de llevar a cabo un plan fraudulento de trabajadores de tecnología de la información de varios años y extorsiones relacionadas - Departamento de Justicia de EE. UU. - Diciembre de 2024
- Asesoramiento sobre los trabajadores de TI norcoreanos - Oficina de Implementación de Sanciones Financieras, HM Treasury - Septiembre de 2024
- El Departamento de Justicia interrumpe los esquemas de fraude de trabajadores de TI remotos de Corea del Norte a través de cargos y el arresto de un facilitador de Nashville - Departamento de Justicia de EE. UU. - agosto de 2024.
- Encontramos ingenieros norcoreanos en nuestro conjunto de aplicaciones. Esto es lo que nuestros fundadores ex-CIA hicieron al respecto - Blog de Cinder - agosto de 2024
- Cómo un falso trabajador de TI norcoreano intentó infiltrarse en nosotros - Capacitación en concientización sobre seguridad de KnowBe4 - julio de 2024
- The North Korean IT Workers (podcast) - Mandiant - Julio de 2024
- Cargos y confiscaciones presentados en un esquema de fraude destinado a negar ingresos a los trabajadores asociados con Corea del Norte - Departamento de Justicia de EE. UU. - Mayo de 2024
- Número de alerta: I-101823-PSA - Oficina Federal de Investigaciones de EE. UU. - octubre de 2023
- Justice Department Announces Court-Authorized Action to Disrupt Illicit Revenue Generation Efforts of Democratic People’s Republic of Korea Information tecnología Workers - US Department of Justice - October 2023
- Treasury Targets DPRK Malicious Cyber and Illicit IT Worker Activities - Mayo de 2023 - Departamento del Tesoro de los Estados Unidos
- Advisory on the Democratic People’s Republic of Korea Information tecnología Workers - Republic of Korea - Ministry of Foreign Affairs -February 2023
- Guidance on the DPRK Information Tecnología Workers - US Department of the Treasury - May 2022
Una nota sobre el lenguaje de estimación
Los equipos de Threat Intelligence de Okta utilizan los siguientes términos para expresar la probabilidad, tal como se describe en la Directiva 203 de la Comunidad de Inteligencia de la Oficina del Director de Inteligencia Nacional de EE. UU.: estándares analíticos.
| Probabilidad | Casi ninguna posibilidad | Muy improbable | Poco probable | Aproximadamente posibilidades parejas | Probable | Muy probable | Casi cierto(mente) |
|---|---|---|---|---|---|---|---|
| Probabilidad | Remoto | Altamente improbable | Improbable | Aproximadamente posibilidades parejas | Probable | Altamente probable | Casi Seguro |
| Porcentaje | 1-5% | 5-20% | 20-45% | 45-55% | 55-80 % | 80-95% | 95-99% |
