Ciencia y tecnolog�a

Espionaje corporativo: �c�mo detectar falsos postulantes a empleos?

ESET alerta sobre una nueva amenaza corporativa interna en la que falsos inform�ticos norcoreanos se infiltran en empresas occidentales. Adem�s, advierte c�mo detectarlos desde el proceso de selecci�n de personal.

ESET ESET

Redacci�n 04-11-2025

CIUDAD DE M�XICO.�- En julio de 2024, el proveedor de ciberseguridad KnowBe4 comenz� a observar una actividad sospechosa relacionada con un nuevo empleado que comenz� a manipular y transferir archivos potencialmente da�inos, e intent� ejecutar software no autorizado. Posteriormente, se descubri� que era un trabajador norcoreano que hab�a enga�ado al equipo de recursos humanos de la empresa para conseguir un empleo a distancia. En total, consigui� superar cuatro entrevistas por videoconferencia, as� como una comprobaci�n de antecedentes y previa a la contrataci�n. ESET, compa��a l�der en detecci�n proactiva de amenazas, analiza este enga�o y advierte que ninguna organizaci�n es inmune al riesgo de contratar inadvertidamente a un saboteador.

"Las amenazas basadas en la identidad no se limitan al robo de contrase�as o la apropiaci�n de cuentas, sino que se extienden a las personas que se incorporan a la plantilla. A medida que la IA mejora en la falsificaci�n de la realidad, es el momento de mejorar los procesos de contrataci�n", advierte Camilo Guti�rrez Amaya, Jefe del Laboratorio de Investigaci�n de ESET Latinoam�rica.

Esta amenaza ha estado presente desde, al menos, abril de 2017, seg�n una alerta de b�squeda del FBI y rastreado como WageMole por ESET Research. Seg�n Microsoft, el gobierno estadounidense ha descubierto m�s de 300 empresas -algunas de ellas incluidas en la lista Fortune 500- que han sido v�ctimas de este tipo de ataques, entre 2020 y 2022. La empresa tecnol�gica se vio obligada en junio a suspender 3,000 cuentas de Outlook y Hotmail creadas por solicitantes de empleo norcoreanos.

Por otra parte, una acusaci�n estadounidense imputa a dos norcoreanos y tres �facilitadores� por haber obtenido m�s de 860,000 d�lares de 10 de las m�s de 60 empresas en las que trabajaron. El equipo de investigaci�n de ESET advierte que el foco se ha desplazado recientemente a Europa, incluyendo Francia, Polonia y Ucrania. Por su parte, Google ha advertido de que las empresas brit�nicas tambi�n est�n en el punto de mira.

Este tipo de enga�os es posible ya que los estafadores crean o roban identidades que coinciden con la ubicaci�n de la organizaci�n objetivo y, a continuaci�n, abren cuentas de correo electr�nico, perfiles en redes sociales y cuentas falsas en plataformas de desarrolladores como GitHub para a�adir legitimidad. Durante el proceso de contrataci�n, pueden utilizar im�genes y v�deos deepfake, o software de intercambio de caras y cambio de voz, para disfrazar su identidad o crear otras sint�ticas.

Seg�n los investigadores de ESET, el grupo WageMole est� vinculado a otra campa�a norcoreana que rastrea como DeceptiveDevelopment. Esta se centra en enga�ar a desarrolladores occidentales para que soliciten trabajos inexistentes. Los estafadores piden a sus v�ctimas que participen en un reto de codificaci�n o en una tarea previa a una entrevista. Pero el proyecto que descargan para participar contiene en realidad c�digo troyanizado. WageMole roba estas identidades de desarrolladores para utilizarlas en sus falsos esquemas de trabajadores.

La clave de la estafa reside en los facilitadores extranjeros:

� � � � � Crear cuentas en sitios web de trabajo aut�nomo.

� � � � � Crear cuentas bancarias o prestar al trabajador norcoreano la suya propia.

� � � � � Comprar n�meros de m�vil o tarjetas SIM.

� � � � � Validar la identidad fraudulenta del trabajador durante la verificaci�n del empleo, utilizando servicios de comprobaci�n de antecedentes.

Una vez contratado el falso trabajador, estos individuos reciben el port�til corporativo y lo instalan en una granja de port�tiles situada en el pa�s de la empresa contratante. A continuaci�n, el trabajador inform�tico norcoreano utiliza VPN, servicios proxy, supervisi�n y gesti�n remota (RMM) y/o servidores privados virtuales (VPS) para ocultar su verdadera ubicaci�n.

"El impacto en las organizaciones enga�adas podr�a ser enorme. No solo est�n pagando involuntariamente a trabajadores de un pa�s fuertemente sancionado, sino que estos mismos empleados a menudo obtienen acceso privilegiado a sistemas cr�ticos. Es una invitaci�n abierta a robar datos confidenciales o incluso a pedir un rescate a la empresa", resalta el investigador de ESET.

En t�rminos de detecci�n y protecci�n, desde ESET advierten c�mo evitar que una organizaci�n se convierta en v�ctima:

1. � �Identificar los falsos trabajadores durante el proceso de contrataci�n:

� � � � � Comprobar el perfil digital del candidato, incluidas las redes sociales y otras cuentas en l�nea, en busca de similitudes con otras personas cuya identidad puedan haber robado. Tambi�n pueden crear varios perfiles falsos para solicitar puestos de trabajo con nombres diferentes.

� � � � � Prestar atenci�n a las discrepancias entre las actividades en l�nea y la experiencia declarada: un "desarrollador senior" con repositorios de c�digo gen�ricos o cuentas creadas recientemente deber�a hacer saltar las alarmas.

� � � � � Asegurarse de que tiene un n�mero de tel�fono leg�timo y �nico, y comprobar que su curr�culum no presenta incoherencias. Comprobar que las empresas mencionadas existen realmente. Ponerse en contacto directamente con las referencias (tel�fono/videollamada) y prestar especial atenci�n a los empleados de las empresas de personal.

� � � � � Dado que muchos solicitantes pueden utilizar audio, v�deo e im�genes falsificados, insistir en las entrevistas en v�deo y realizarlas varias veces durante la contrataci�n.

� � � � � Durante las entrevistas, considerar una advertencia importante cualquier afirmaci�n de que la c�mara funciona mal. Pedirle al candidato que apague los filtros de fondo para tener m�s posibilidades de identificar los deepfakes (los indicios podr�an incluir fallos visuales, expresiones faciales que parecen r�gidas y poco naturales y movimientos de los labios que no se sincronizan con el audio) Hacerles preguntas basadas en la ubicaci�n y la cultura del lugar donde "viven" o "trabajan", por ejemplo, sobre la comida o los deportes locales.

2. Vigilar a los empleados en busca de actividades potencialmente sospechosas:

� � � � � Estar atento a se�ales de alarma como n�meros de tel�fono chinos, descarga inmediata de software RMM en un port�til reci�n entregado y trabajo realizado fuera del horario normal de oficina. Si el port�til se autentica desde direcciones IP chinas o rusas, tambi�n debe investigarse.

� � � � � Vigilar el comportamiento de los empleados y los patrones de acceso al sistema, como inicios de sesi�n inusuales, transferencias de archivos de gran tama�o o cambios en el horario de trabajo. Centrase en el contexto, no solo en las alertas: la diferencia entre un error y una actividad maliciosa puede estar en la intenci�n.

� � � � � Utilizar herramientas contra amenazas internas para detectar actividades an�malas.

3. Contener la amenaza:

� � � � � Si se cree haber identificado a un trabajador norcoreano en la organizaci�n, actuar con cautela al principio para no ponerle sobre aviso.

� � � � � Limitar su acceso a recursos sensibles y revisar su actividad en la red, limitando este proyecto a un peque�o grupo de personas de confianza de los departamentos de seguridad inform�tica, recursos humanos y jur�dico.

� � � � � Conservar las pruebas e informe del incidente a las fuerzas de seguridad, al tiempo que busca asesoramiento jur�dico para la empresa.

"Adem�s, es buena idea actualizar los programas de formaci�n sobre ciberseguridad. Y asegurarse de que todos los empleados, especialmente los responsables de contrataci�n de IT y el personal de recursos humanos, comprenden algunas de las se�ales de alarma a las que hay que prestar atenci�n en el futuro. Las t�cticas, t�cnicas y procedimientos (TTP) de los actores de amenazas evolucionan constantemente, por lo que estos consejos tambi�n deber�n cambiar peri�dicamente. Los mejores m�todos para evitar que los falsos candidatos se conviertan en informadores maliciosos combinan los conocimientos humanos y los controles t�cnicos. Asegurarse de cubrir todas las bases", sugiere Guti�rrez Amaya de ESET.

Para saber m�s sobre seguridad inform�tica visite el portal corporativo de ESET: https://www.welivesecurity.com/es/seguridad-corporativa/espionaje-procesos-seleccion-personal-falsos-postulantes/

Por otro lado, ESET invita a conocer Conexi�n Segura, su podcast para saber qu� est� ocurriendo en el mundo de la seguridad inform�tica. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Espionaje corporativo: �c�mo detectar falsos postulantes a empleos?

Lee también

Espionaje corporativo: �c�mo detectar falsos postulantes a empleos?

WhatsApp: c�mo funciona el enga�o de compartir pantalla

Buen Fin mejores ofertas 2025: gu�a de descuentos de noviembre

�Es posible infectarse con solo hacer clic?

Chatbot de la red social X es usado para difundir estafas

As� pueden robar tu informaci�n en Google Chrome

Supercl�ster Yuca facilita an�lisis de datos a investigadores y estudiantes de la Unison

�Qu� hay detr�s del fallo en la nube de AWS?

DCRat: el malware que se camufla como Adobe para robar informaci�n

M�xico gana el primer lugar en el Premio ESET al Periodismo en Seguridad Inform�tica 2025