Contratas a un programador, fichas a un espía: la amenaza norcoreana de 'Falsos Remotos' se expande a Europa

Imagínate que encuentras al teletrabajador perfecto: un desarrollador con un currículum impecable, referencias brillantes y habilidades punteras en tecnologías tales como blockchain o IA. Lo contratas. Pero, sin saberlo, acabas de abrirle la puerta de tu empresa a un agente encubierto del régimen de Corea del Norte.

Suena a película de espías, pero es una amenaza muy real y creciente, según alerta el Grupo de Inteligencia de Amenazas de Google (GTIG). Y lo peor es que este ejército digital norcoreano, tras encontrar más dificultades en Estados Unidos, está expandiendo sus operaciones y poniendo el foco en Europa.

Desde hace tiempo se sabe que Corea del Norte utiliza a miles de trabajadores IT altamente cualificados que se hacen pasar por autónomos legítimos de otras nacionalidades. Su misión principal es generar ingresos para el régimen de Kim Jong-un, infiltrándose en empresas de todo el mundo. Pero el riesgo va mucho más allá del fraude laboral: estas infiltraciones abren la puerta al espionaje industrial, el robo de datos sensibles y la posibilidad de sabotajes o interrupciones.

Europa, en el punto de mira

Si bien Estados Unidos sigue siendo un objetivo clave, el aumento de la vigilancia, las acciones legales del Departamento de Justicia y las dificultades para verificar la identidad allí han complicado las operaciones norcoreanas. ¿La consecuencia? Una expansión global, con Europa como destino preferente.

Google ha detectado un aumento de actividad en nuestro continente. Se han encontrado casos de estos "falsos remotos" buscando activamente empleo en Alemania y Portugal, y realizando una diversa cartera de proyectos en el Reino Unido, desde desarrollo web tradicional (Next.js, React, Node.js, MongoDB) hasta proyectos avanzados de blockchain (Solana, Rust, CosmosSDK) e incluso aplicaciones de IA.

Los objetivos en Europa no son aleatorios: se ha observado un interés particular en empresas del sector de defensa y organismos gubernamentales.

El 'Modus Operandi': camuflaje perfecto y redes de apoyo

Su habilidad para el engaño es notable. Utilizan múltiples identidades falsas (algunas totalmente inventadas, otras robadas), se hacen pasar por ciudadanos de países tan diversos como Italia, Japón, Singapur, Ucrania o Vietnam, y presentan referencias fabricadas, a veces usando otras de sus propias identidades falsas para darse credibilidad.

Para encontrar trabajo, recurren a plataformas online populares como Upwork, Telegram o Freelancer. Y para cobrar, utilizan métodos que dificultan el rastreo del dinero, como criptomonedas, TransferWise o Payoneer.

Además, no actúan solos. Cuentan con una red de "facilitadores", también detectados en Europa (concretamente en el Reino Unido y con interés en Serbia), que les ayudan a conseguir los trabajos, superar las verificaciones de identidad (incluso buscando pasaportes falsos) y recibir los pagos fraudulentos. La logística puede ser compleja: Google detectó un portátil de empresa destinado a Nueva York operando desde Londres.

Pero la amenaza no solo se expande, sino que evoluciona. GTIG alerta de dos tácticas nuevas y preocupantes:

• Aumento de la Extorsión: desde finales de octubre de 2024, se ha detectado un incremento en los intentos de extorsión. Cuando uno de estos trabajadores es despedido (posiblemente al sospechar la empresa su verdadera identidad), ahora amenazan con publicar datos sensibles o código fuente interno de la compañía, o venderlo a la competencia, si no reciben un pago. Este aumento coincide con la mayor presión de las autoridades estadounidenses, lo que sugiere que buscan vías más agresivas para mantener sus ingresos.

• Ataque al BYOD (Bring Your Own Device): han identificado una nueva vía de entrada: las empresas que permiten a sus empleados usar sus propios ordenadores personales para acceder a los sistemas corporativos mediante máquinas virtuales. Estos dispositivos personales a menudo carecen de las herramientas de monitorización y seguridad de los equipos corporativos, lo que dificulta enormemente detectar la actividad maliciosa. Google confirma que ya están realizando operaciones en estos entornos BYOD desde enero de 2025.

La expansión global, el foco en Europa, las tácticas de extorsión y el aprovechamiento de los entornos BYOD demuestran la enorme capacidad de adaptación de estos agentes norcoreanos. Están construyendo un ecosistema global de identidades fraudulentas y redes de apoyo para seguir operando. La alerta de Google es clara: la amenaza es real, sofisticada, está más cerca que nunca y requiere una vigilancia extrema por parte de las empresas europeas, especialmente en los procesos de contratación remota. Contratar talento IT online nunca había sido tan arriesgado.