En julio de 2024, la empresa de ciberseguridad KnowBe4 detectó una actividad sospechosa relacionada con un nuevo empleado: manipulaba archivos potencialmente dañinos e intentó ejecutar software no autorizado. Tras la investigación, se descubrió que se trataba de un trabajador norcoreano que había engañado al equipo de recursos humanos para conseguir un empleo remoto.Superó con éxito cuatro entrevistas virtuales y verificaciones de antecedentes. Este caso, analizado por ESET, demuestra que ninguna organización está exenta del riesgo de contratar inadvertidamente a un saboteador.
“Las amenazas basadas en la identidad no se limitan al robo de contraseñas o cuentas; también alcanzan a quienes se incorporan a las empresas. A medida que la IA perfecciona la falsificación de la realidad, es momento de reforzar los procesos de contratación”, advierte Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Una amenaza global en expansión
Según el FBI, esta modalidad se ha registrado desde abril de 2017 y es rastreada por ESET Research bajo el nombre WageMole. Entre 2020 y 2022, el gobierno estadounidense detectó más de 300 empresas víctimas, incluidas varias del Fortune 500.En junio, Microsoft suspendió 3.000 cuentas de Outlook y Hotmail creadas por falsos solicitantes de empleo norcoreanos.Además, una acusación estadounidense vincula a dos norcoreanos y tres facilitadores con el robo de más de 860.000 dólares obtenidos de diez empresas.
ESET advierte que el foco de la operación se ha desplazado recientemente hacia Europa —en países como Francia, Polonia y Ucrania—, mientras que Google ha reportado intentos similares en Reino Unido.
Cómo operan los falsos postulantes
Los estafadores crean o roban identidades que coinciden con la ubicación de la empresa objetivo. Abren correos electrónicos, perfiles en redes sociales y cuentas falsas en plataformas como GitHub para parecer legítimos.Durante el proceso de selección, utilizan deepfakes, software de intercambio de rostros o de voz, o incluso identidades sintéticas para pasar desapercibidos.
El grupo WageMole, según ESET, está vinculado a otra campaña denominada DeceptiveDevelopment, que engaña a desarrolladores occidentales con supuestos trabajos inexistentes. A través de desafíos de codificación o tareas previas a entrevistas, los atacantes distribuyen proyectos troyanizados que instalan malware y roban identidades.
Una vez contratados, los falsos empleados reciben el portátil corporativo, que se instala en granjas de portátiles ubicadas en el país de la empresa. Desde allí, los ciberdelincuentes usan VPN, proxys y servidores privados virtuales (VPS) para ocultar su verdadera ubicación.
“El impacto puede ser devastador. No solo se paga involuntariamente a trabajadores de un país sancionado, sino que estos obtienen acceso privilegiado a sistemas críticos. Es una puerta abierta al robo de datos confidenciales o a posibles ataques de ransomware”, explica Gutiérrez Amaya.
Cómo detectar y evitar a los falsos empleados
1. Durante el proceso de selección
Verificar el perfil digital del candidato (redes sociales, GitHub, portales profesionales) y comprobar si hay coincidencias sospechosas con otras identidades.
Revisar si la experiencia declarada coincide con su actividad en línea. Un “desarrollador senior” con cuentas recientes o sin historial relevante debe generar alerta.
Confirmar que el número de teléfono y los datos de contacto sean reales. Llamar directamente a las referencias laborales.
Realizar varias entrevistas por video y estar atentos a señales de deepfake: expresiones rígidas, fallos visuales o desincronización de labios y audio.
Formular preguntas relacionadas con la ubicación o cultura local del candidato (comida, deportes, etc.) para comprobar coherencia.
2. Durante la relación laboral
Detectar comportamientos sospechosos como uso de números telefónicos extranjeros, instalación inmediata de software no autorizado o actividad fuera del horario habitual.
Monitorear direcciones IP, transferencias de archivos y patrones de acceso.
Utilizar herramientas para detectar amenazas internas y comportamientos anómalos.
3. Si se confirma la amenaza
Limitar el acceso del sospechoso a recursos sensibles.
Revisar su actividad en la red con un equipo reducido de confianza (seguridad informática, RR.HH. y área legal).
Conservar las pruebas e informar a las autoridades competentes.
“Es importante actualizar los programas de formación en ciberseguridad y capacitar a los equipos de RR.HH. e IT para reconocer estas señales de alerta. Las tácticas de los actores maliciosos evolucionan constantemente; por ello, la mejor defensa combina conocimiento humano y controles técnicos”, concluye Gutiérrez Amaya.
