Operativos norcoreanos usando deepfakes en ataques cibernéticos a empresas tecnológicas de EEUU

Hackers norcoreanos dominan el 47% de ataques a empresas tecnológicas de EEUU

By Manuel Castellano 4 horas ago

El 47% de las intrusiones estatales tienen un mismo origen. CrowdStrike alerta que operativos norcoreanos, bajo identidades falsas, lideran casi la mitad de los ataques “manos en el teclado” contra el sector tecnológico estadounidense.

Un informe de la firma de ciberseguridad revela que el grupo Famous Chollima concentró el 47% de la actividad estatal documentada contra empresas tecnológicas de Estados Unidos entre abril de 2025 y mayo de 2026. La campaña, sofisticada y persistente, combina robo de credenciales, uso de deepfakes, suplantación de identidades y espionaje corporativo, con un objetivo claro: desviar fondos en criptomonedas para financiar al régimen de Pyongyang.

Desde una perspectiva analítica, este patrón no solo refleja la evolución de las tácticas de ciberguerra, sino también la adaptación de Corea del Norte a un entorno global donde el trabajo remoto y la digitalización han ampliado las vulnerabilidades humanas. La pregunta clave ahora es cómo las empresas podrán distinguir entre un empleado legítimo y un actor malicioso infiltrado.

Una estrategia de infiltración humana y tecnológica

Las intrusiones “manos en el teclado” —donde un operador humano interactúa directamente con los sistemas de la víctima— representan un salto cualitativo en la amenaza. A diferencia de los ataques automatizados, estas operaciones son más flexibles, difíciles de detectar y capaces de adaptarse rápidamente al entorno corporativo. CrowdStrike detalla que los hackers norcoreanos inician el proceso con el robo de credenciales, para luego aprovechar herramientas legítimas ya presentes en la infraestructura de la empresa, lo que complica su identificación.

Lo que esto revela es una doble vulnerabilidad: técnica y humana. Los atacantes no solo explotan fallos en los sistemas, sino también las debilidades en los procesos de contratación y validación de identidades, especialmente en un contexto de trabajo remoto globalizado.

El engaño perfecto: deepfakes y identidades robadas

El informe destaca el uso de inteligencia artificial para potenciar el engaño. Los operativos de Famous Chollima emplean deepfakes en tiempo real durante entrevistas de trabajo, suplantando rostros de personas reales para dar credibilidad a perfiles falsos. Esta táctica se complementa con documentos de identidad fraudulentos, como pasaportes y licencias de conducir robados, que les permiten presentarse como ciudadanos estadounidenses o de otros países.

Analizando el contexto, este método no solo elude las sanciones internacionales que pesan sobre Corea del Norte, sino que también expone una brecha crítica en los sistemas de verificación de identidades digitales. Para empresas tecnológicas con equipos distribuidos, el riesgo es doble: pueden incorporar sin saberlo a un actor malicioso y, al mismo tiempo, darle acceso a información sensible o procesos críticos.

Espionaje, extorsión y el vínculo con las criptomonedas

Los operativos norcoreanos no se limitan a infiltrarse. Una vez dentro, sustraen propiedad intelectual y datos corporativos sensibles, que luego utilizan como herramienta de presión. Cuando son descubiertos, suelen amenazar con exponer la información robada si la empresa no paga un rescate. Este enfoque combina rasgos de espionaje estatal con tácticas de delincuencia financiera, lo que dificulta su clasificación bajo un único marco de defensa.

El informe subraya que el grupo también apunta específicamente a desarrolladores de blockchain, con el objetivo de robar criptomonedas. Para Corea del Norte, estos activos digitales representan una vía alternativa de financiamiento internacional, clave en un contexto de aislamiento financiero y sanciones. Según CrowdStrike, el régimen habría obtenido miles de millones en criptoactivos robados, con cerca de USD $2.000 millones solo en 2025.

Más allá de los hechos, lo que emerge es una estrategia de financiamiento estatal que aprovecha las lagunas del sistema financiero tradicional. Para el ecosistema cripto, esto significa que el riesgo ya no se limita a vulnerabilidades técnicas, sino que se extiende a la cadena humana de contratación y colaboración.

¿Por qué este informe es una señal de alarma?

La concentración del 47% de los ataques en un solo grupo, Famous Chollima, revela una escala operativa sin precedentes. No se trata de incidentes aislados, sino de una campaña organizada que aprovecha recursos técnicos, manipulación de identidad y objetivos financieros concretos. Además, el período analizado coincide con la profundización de la dependencia del trabajo remoto y las herramientas digitales en el sector tecnológico, lo que amplía la superficie de ataque.

La alerta llega en un momento en que la inteligencia artificial ya no solo se usa para defender sistemas, sino también para engañar a las personas. El uso de deepfakes en entrevistas de trabajo demuestra cómo la IA puede escalar fraudes de identidad con impacto directo en la seguridad corporativa y nacional.

La pregunta que queda en el aire es: ¿están las empresas preparadas para enfrentar una amenaza que ya no viene solo de fuera, sino que puede estar sentada en la siguiente reunión de equipo?

El desafío de la confianza en la era de la infiltración humana

Lo que este informe desvela va más allá de la sofisticación técnica: expone una crisis de confianza en los cimientos mismos de la colaboración empresarial. La capacidad de los hackers norcoreanos para suplantar identidades no solo con herramientas digitales, sino también con comportamientos y perfiles creíbles, obliga a replantear cómo se construyen las relaciones laborales en entornos remotos.

Desde una perspectiva analítica, el verdadero riesgo no reside en la tecnología en sí, sino en la normalización de procesos de contratación y verificación que ya no son suficientes. La combinación de deepfakes, credenciales robadas y el uso de herramientas corporativas legítimas crea un escenario donde la línea entre el empleado y el intruso se desdibuja. Lo que esto revela es que las empresas ya no pueden confiar únicamente en sistemas de autenticación tradicionales.

Más allá de los hechos, lo que emerge es una paradoja: cuanto más globalizado y digitalizado es el trabajo, más vulnerables son las organizaciones a amenazas que explotan la confianza humana. El enfoque de Famous Chollima no es solo robar datos, sino integrarse en los equipos como un miembro más, lo que multiplica su capacidad de daño y persistencia.

La pregunta clave

¿Cómo pueden las empresas redefinir la verificación de identidades en un mundo donde la autenticidad ya no es binaria, sino un espectro de probabilidades? La respuesta exigirá no solo tecnología avanzada, sino también una revisión profunda de los protocolos humanos que hoy son su talón de Aquiles.

Referencia de contenido: consultar fuente original aquí