Espías Disfrazados: Cómo Detectar Falsos Candidatos en Tu Empresa

Imagínate contratar a un supuesto ingeniero remoto que supera entrevistas, pruebas técnicas y verificaciones de antecedentes, solo para descubrir que es un espía informático infiltrado. No es ficción: ocurrió en 2024, cuando la empresa de ciberseguridad KnowBe4 detectó que uno de sus nuevos empleados manipulaba archivos sospechosos y ejecutaba software no autorizado.

Tras una investigación, descubrieron que el individuo era un trabajador norcoreano, parte de una red de falsos profesionales que engañan a empresas en todo el mundo para acceder a sistemas corporativos y robar información sensible.

Este caso no es aislado. Forma parte de una tendencia cada vez más extendida que expone un nuevo tipo de riesgo: la amenaza interna disfrazada de contratación remota.

Un problema global que crece silenciosamente

Desde 2017, el FBI y empresas como ESET y Microsoft han seguido la pista de WageMole, un grupo vinculado a Corea del Norte dedicado a infiltrar trabajadores falsos en compañías occidentales.

Según datos de Microsoft, entre 2020 y 2022 más de 300 empresas, incluidas algunas del Fortune 500, fueron víctimas de esta táctica. Solo en junio de 2022, Microsoft suspendió 3.000 cuentas de Outlook y Hotmail usadas por falsos postulantes.

Y el problema ya no se limita a Estados Unidos:

1. ESET ha detectado actividades similares en Europa, especialmente en Francia, Polonia y Ucrania.

2. Google advierte que Reino Unido también está en la mira.

3. Se estima que miles de falsos desarrolladores trabajan actualmente bajo identidades robadas o inventadas.

El alcance económico también es alarmante. Un proceso judicial en EE. UU. reveló que algunos infiltrados ganaron más de 860.000 dólares trabajando en al menos 60 empresas distintas.

Cómo logran engañar a las empresas

Los atacantes construyen identidades digitales completas, combinando datos reales y falsos para parecer legítimos. Usan emails, redes sociales y perfiles en plataformas como GitHub o LinkedIn, y en algunos casos recurren a deepfakes o software de cambio de voz y rostro durante las entrevistas.

Su objetivo: convencer a los equipos de reclutamiento de que son profesionales calificados que buscan empleo remoto.

Una vez dentro, estos falsos empleados pueden:

1. Acceder a sistemas internos, bases de datos o repositorios de código.

2. Exfiltrar información sensible, venderla o usarla para chantaje.

3. Infiltrar malware o abrir puertas traseras para otros actores.

El grupo WageMole, según ESET, también coordina con otra operación llamada DeceptiveDevelopment, que engaña a desarrolladores reales pidiéndoles resolver “retos técnicos” con código infectado. Luego, los criminales roban sus identidades y las reutilizan en nuevos fraudes de contratación.

Conoce más: Protegiendo la Privacidad en Dispositivos Inteligentes

El rol de los facilitadores

Detrás de cada falso candidato hay redes de colaboradores extranjeros que ayudan a los atacantes a mantener su fachada. Estos “facilitadores” se encargan de:

1. Crear cuentas en sitios de trabajo freelance.

2. Abrir cuentas bancarias o prestar las suyas para cobrar salarios.

3. Comprar números SIM y teléfonos locales.

4. Validar identidades durante verificaciones de antecedentes.

Una vez contratado, el falso empleado recibe el portátil corporativo de la empresa, que se envía a un “laptop farm” en el país objetivo. Desde allí, el trabajador real, ubicado en Corea del Norte, se conecta mediante VPN, proxys o servidores privados virtuales (VPS), aparentando estar físicamente en el país de la empresa.

Riesgos y consecuencias para las empresas

Contratar a un infiltrado no solo supone una brecha de seguridad, sino también riesgos legales y reputacionales. Las organizaciones afectadas podrían, sin saberlo, estar pagando salarios a empleados sancionados por gobiernos internacionales, violando regulaciones de comercio y financiamiento.

Además, estos individuos suelen obtener acceso privilegiado a entornos críticos, lo que puede derivar en:

1. Robo de propiedad intelectual o código fuente.

2. Acceso no autorizado a datos financieros y personales.

3. Manipulación de infraestructuras TI o sabotaje interno.

4. Ataques de ransomware o chantajes.

En resumen, una sola contratación mal gestionada puede convertirse en una catástrofe operativa y reputacional.

Cómo detectar y prevenir falsos candidatos

En TecnetOne, creemos que la ciberseguridad empieza desde el proceso de selección. Estos son los puntos clave que te ayudarán a proteger a tu empresa.

Revisa cuidadosamente la identidad digital

1. Busca coherencia entre su currículum y su huella digital. Un perfil con poca actividad o creado recientemente es sospechoso.

2. Compara sus redes sociales y repositorios con los de otros usuarios para detectar posibles copias de identidad.

3. Verifica las referencias directamente por videollamada y confirma que las empresas donde trabajó realmente existen.

Usa entrevistas con video, no solo audio

1. Realiza múltiples entrevistas por video y exige que el candidato tenga la cámara encendida.

2. Desconfía si dice tener problemas con la cámara o usa filtros de fondo.

3. Observa posibles señales de deepfake: expresiones faciales rígidas, movimientos de labios desincronizados o reflejos inusuales en los ojos.

4. Formula preguntas culturales o locales (comida típica, clima, festividades) para comprobar si vive realmente donde dice.

Vigila el comportamiento después de la contratación

1. Presta atención a actividades como:

1. Descargas sospechosas o instalación de software no autorizado.

2. Conexiones desde IPs extranjeras (China, Rusia, Corea del Norte).

3. Uso de herramientas de administración remota (RMM) en equipos corporativos.

2. Usa soluciones de detección de amenazas internas y correlaciona alertas con patrones de comportamiento.

Responde con rapidez ante indicios de infiltración

1. Si sospechas de un falso empleado, limita su acceso de inmediato y revisa toda su actividad reciente.

2. Conserva registros y evidencia digital antes de actuar.

3. Informa al área legal y contacta a las autoridades pertinentes (por ejemplo, unidades de delitos cibernéticos).

4. Finalmente, actualiza tus programas de capacitación para que RR. HH. y líderes técnicos puedan identificar señales de alerta en el futuro.

Títulos similares: PassiveNeuron: Nueva Amenaza de Espionaje que Nos Afecta a Todos

Combina tecnología y criterio humano

La prevención no depende solo de herramientas. Combinar control tecnológico con intuición humana es clave para detectar comportamientos anómalos.

Refuerza tus procesos con:

1. Autenticación multifactor para empleados remotos.

2. Revisión de accesos por roles y privilegios.

3. Supervisión continua de endpoints y redes.

4. Políticas claras sobre dispositivos corporativos y ubicaciones permitidas.

Y, sobre todo, promueve una cultura de vigilancia activa: tu equipo de RR. HH. y TI debe colaborar estrechamente, compartiendo información sobre candidatos y empleados sospechosos.

Conclusión: el enemigo puede venir con un currículum impecable

El caso de KnowBe4 demuestra que el riesgo no siempre está fuera de la empresa, sino a veces dentro de tu propio equipo. En una era de trabajo remoto y herramientas de IA cada vez más realistas, los atacantes han aprendido a camuflarse como profesionales perfectos.

Desde TecnetOne, te recomendamos blindar tus procesos de contratación con controles técnicos, entrevistas rigurosas y monitoreo continuo. Así protegerás tu información, tu reputación y tu equipo.