El Departamento de Justicia de EE. UU. (DOJ) ha desmantelado una red internacional de fraude cibernético que permitió a trabajadores de TI norcoreanos infiltrarse en más de 100 empresas estadounidenses utilizando identidades robadas, empresas fantasma y dispositivos de acceso remoto. El objetivo: financiar el programa de armas y ciberoperaciones del régimen de Pyongyang, eludiendo sanciones internacionales y comprometiendo datos sensibles de defensa y tecnología.
La operación, que se extendió entre 2020 y 2024, fue facilitada por cómplices en EE. UU., China, Taiwán y Emiratos Árabes Unidos. Los trabajadores norcoreanos se hacían pasar por ciudadanos estadounidenses o residentes legales, utilizando documentos de identidad robados para conseguir empleos remotos en sectores como blockchain, desarrollo de software, inteligencia artificial y defensa.
Una vez contratados, los trabajadores accedían a los sistemas corporativos desde el extranjero mediante “laptop farms”: computadoras portátiles enviadas a direcciones en EE. UU. y conectadas a dispositivos KVM (keyboard-video-mouse), que permitían el control remoto desde China o Corea del Norte. Esta técnica engañaba a los sistemas de seguridad y a los empleadores, haciendo parecer que los trabajadores estaban físicamente en territorio estadounidense.
Los salarios eran depositados en cuentas bancarias asociadas a empresas fantasma como Hopana Tech LLC y Tony WKJ LLC, creadas por los cómplices para recibir y lavar los fondos. Según el DOJ, el esquema generó más de $5 millones en ingresos ilícitos, parte de los cuales fueron canalizados directamente al régimen norcoreano.
El impacto fue más allá del fraude financiero. En al menos un caso, un trabajador norcoreano accedió sin autorización a una laptop de un contratista de defensa en California y extrajo información regulada por ITAR (International Traffic in Arms Regulations), incluyendo datos sobre tecnologías de inteligencia artificial aplicadas a sistemas militares.
Las autoridades estadounidenses incautaron 29 cuentas financieras, 21 dominios web fraudulentos y más de 200 dispositivos, incluyendo laptops y equipos de acceso remoto. También se presentaron cargos contra varios implicados, incluyendo Zhenxing “Danny” Wang, un ciudadano estadounidense acusado de conspiración, fraude electrónico, lavado de dinero e identidad falsa.
Este caso revela una nueva dimensión del cibercrimen estatal: el uso de trabajo remoto como vector de infiltración, aprovechando la descentralización del empleo post-pandemia y la dificultad de verificar la identidad y ubicación de los trabajadores. Según el FBI, miles de operativos norcoreanos han sido entrenados para integrarse en el mercado global de TI, con el objetivo de generar ingresos y obtener acceso a propiedad intelectual crítica.
El DOJ advirtió que esta amenaza persistirá mientras las empresas no refuercen sus procesos de verificación de identidad, monitoreo de acceso remoto y análisis de comportamiento. La colaboración entre agencias de inteligencia, empresas tecnológicas y gobiernos aliados será clave para detectar y desmantelar estas redes antes de que comprometan aún más la seguridad nacional.
https://securityonline.info/doj-dismantles-north-korean-it-job-scam-stolen-identities-laundering-funded-dprk-weapons/
