Incode invests in privacy-first architecture and acquires Identiq.
Acomenzar

Mulas portátiles: Cómo Corea del Norte se está infiltrando en las fuerzas de trabajo remotas (Parte 1)

Incode

June 13, 2025

Mulas portátiles: Cómo Corea del Norte se está infiltrando en las fuerzas de trabajo remotas (Parte 1)

Imagínese esto: acaba de contratar a un desarrollador remoto estelar. Su código es limpio, cumplen con los plazos, y parecen la adición perfecta para tu equipo.

Seis meses después, descubres que en realidad son un operativo norcoreano que ha estado desvía los datos de su empresa y canaliza su salario a un régimen sancionado.

Esto no es ciencia ficción. Está sucediendo ahora mismo a través de un sofisticado esquema llamado “mulas para portátiles”.

A medida que el trabajo remoto reconfigura el panorama mundial del empleo, los ciberoperativos norcoreanos han encontrado una manera ingeniosa de explotar nuestros procesos de contratación. Al utilizar cómplices locales para recibir y configurar computadoras portátiles corporativas, están integrando agentes patrocinados por el estado dentro de las empresas occidentales mientras aparecen como empleados remotos legítimos.

Esta amenaza ha suscitado advertencias urgentes por parte de las agencias federales. El El Centro de Quejas de Delitos en Internet del FBI emitió el aviso I-012325-PSA en enero de 2025, advirtiendo específicamente sobre “Trabajadores de TI de Corea del Norte que realizan extorsión de datos”.

De igual manera, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha elevado esto a una prioridad de seguridad nacional, señalando la conexión directa con los programas de armas de Corea del Norte.

Las implicaciones son asombrosas: robo de datos confidenciales, pérdidas financieras, violaciones reglamentarias y financiamiento involuntado de programas sancionados. Esta es la historia de cómo se está desarrollando esta amenaza y por qué cada organización necesita entenderla.

El incidente de KnowBe4: una tormenta perfecta

En 2024, La compañía de ciberseguridad KnowBe4 pensó que habían encontrado al ingeniero de software remoto ideal. El candidato navegó por su riguroso proceso de entrevista, pasando las proyecciones técnicas con gran revuelo. Su verificación de antecedentes volvió limpia. Incluso sus referencias comprobadas a la perfección.

Solo había un problema: la persona no existía.

KnowBe4 en realidad había contratado a un operativo norcoreano usando una identidad de ciudadano estadounidense robada, completa con una fotografía generada por IA que pasó la inspección visual. El empleado falso había engañado a gerentes de contratación experimentados, entrevistadores técnicos y sistemas de verificación de antecedentes.

El engaño comenzó a desentrañarse casi inmediatamente después de que el “empleado” recibiera su MacBook corporativo. El operativo inmediatamente comenzó a cargar malware en el dispositivo, pero el software de detección y respuesta (EDR) de punto final de KnowBe4 lo detectó y alertó a su Centro de Operaciones de Seguridad InfoSec.

El CEO de KnowBe4, Stu Sjouwerman, reveló más tarde la línea de tiempo: “Si nos puede pasar a nosotros, le puede pasar a casi cualquiera”. El equipo de seguridad de la compañía detectó la actividad sospechosa en 25 minutos y contuvo la amenaza antes de que ocurriera algún daño significativo.

Su equipo de recursos humanos había realizado cuatro entrevistas basadas en videoconferencias en distintas ocasiones, confirmando que la persona coincidía con la foto mejorada con IA proporcionada en su solicitud.

El operativo utilizó una Raspberry Pi para descargar malware e intentar manipular archivos de historial de sesión y ejecutar software no autorizado. Cuando el equipo de SOC se acercó para preguntar sobre la actividad anómala, el empleado falso afirmó estar resolviando un problema de velocidad del enrutador, pero luego quedó sin responder.

Cómo sucedió esto realmente: El libro de jugadas de la mula portátil

El incidente de KnowBe4 ilustra perfectamente el funcionamiento de la mula portátil de seis fases que los operativos norcoreanos han refinado en un libro de jugadas repetible:

Fase 1: Construcción de Identidad

El operativo no sólo robó un nombre. Ellos elaboraron una persona digital completa utilizando el número legítimo de Seguro Social de la víctima, el historial laboral fabricado y referencias profesionales que pudieran pasar la verificación básica. Lo más sofisticado fue el uso de IA para generar una fotografía de perfil creíble que pasaría el escrutinio de entrevistas en video.

Fase 2: El engaño de la entrevista

Armado con habilidades técnicas y una historia de fondo convincente, el operativo solicitó el puesto de ingeniería de software remoto de KnowBe4. Demostraron habilidades genuinas de codificación durante las proyecciones técnicas y mantuvieron su cobertura a lo largo de múltiples rondas de entrevistas, utilizando la fotografía mejorada con IA para pasar la verificación por video.

Fase 3: Redirección de equipos

Una vez contratado, el operativo proporcionó una dirección de envío que difería de su residencia declarada. Esta dirección dio lugar a lo que los investigadores federales llaman una “mula portátil”: un cómplice local que recibe equipo corporativo en nombre de operativos extranjeros.

Fase 4: Configuración remota

El portátil mula configura el dispositivo para que el operativo norcoreano pueda hacer VPN desde donde realmente están físicamente (Corea del Norte o al otro lugar de la frontera en China) y trabajar el turno de noche para que parezcan estar trabajando en EU durante el día. El dispositivo esencialmente se convierte en un portal a la red corporativa, accesible desde miles de kilómetros de distancia.

Fase 5: La cobertura fallida

La impaciencia del operativo resultó ser su ruina. En lugar de mantener patrones de trabajo legítimos para generar confianza a lo largo del tiempo, inmediatamente comenzaron a instalar malware e intentar acceder a sistemas restringidos. Este enfoque agresivo activó el monitoreo de seguridad de KnowBe4 en cuestión de minutos.

Fase 6: La red más grande

Revelada la investigación posterior al incidente este no fue un intento aislado. El caso fue compartido con Mandiant y el FBI, confirmando que era parte de una sofisticada operación patrocinada por el Estado dirigida a numerosas empresas simultáneamente.

Cómo Incode detiene el fraude de candidatos

Incode brinda verificación de identidad adaptable en tiempo real a cada etapa de su flujo de trabajo de reclutamiento para proteger y agilizar el proceso de contratación.

  • Incode evita que candidatos fraudulentos lleguen a la etapa de entrevista, lo que ayuda a reducir el riesgo organizacional, los costos de reclutamiento y la interrupción descendente.
  • Nuestra plataforma no solo bloquea temprano a los malos actores, también acelera la contratación con una experiencia perfecta para los candidatos que reduce la revisión manual y permite una toma de decisiones más rápida y segura.
  • Verificación biométrica adaptativa confirma la identidad real de cada candidato, dando confianza a los equipos de reclutamiento desde la aplicación inicial hasta la incorporación del Día 1.

Más información acerca de cómo la solución de Verificación de Candidatos de Incode ofrece protección end-to-end desde la aplicación hasta el Día 1.

Esto no está aislado: una crisis de seguridad nacional

El incidente de KnowBe4 no fue un intento único de un actor solitario. Fue parte de una campaña masiva y coordinada que los investigadores federales han estado rastreando en cientos de empresas.

Estén atentos para la parte 2, en la que exponemos más ejemplos de la vida real de operaciones de infiltración de Corea del Norte.

Recursos Adicionales

Autor

Carrie Melanda es Gerente de Marketing de Producto en Incode. Aporta una profunda experiencia en marketing de productos y estrategia de lanzamiento al mercado, con un historial comprobado de impulsar el crecimiento de los ingresos y la diferenciación del mercado en el espacio de ciberseguridad.

Incode
Incode is a global leader in AI-driven identity and trust, with a mission to power a world of trust at the speed of AI. The platform verifies identity and age, stops fraud, and turns verification into business enablement.
Linkedin
Chapters
Abstract Incode graphic.

Suscríbase a nuestro boletín

Conquista información de expertos sobre el panorama en evolución de la identidad impulsada por la IA
verificación y prevención del fraude.

¡Gracias! ¡Su envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.
Al suscribirse, asíciese nuestro Politica de Privacidad
Incode Technologies, Inc.
101 Mission St, Suite 900,
San Francisco, CA 94105, EE. UU.
Tel: +1 (650) 446-3444
Incode reviews on G2 logo.
Plataforma
Explora la plataforma
Explore Platform
Orchestation Dashboard
Workflow builder
Personalización de la Ul
Decisiones y resultados
Análisis de fraude
Gestión de Casos
Integraciones de plataformas
Nuestra tecnologia
Reeconocimiento facial
Verificación de documentos
Verificación de liveness
OCR
Detección de deepfakes
Incode Network
Casos de uso
Verificación de identidad
Verificación de edad
Cumplimiento KYC/AML
Know Your Business (KYB)
Incode Workforce (KYE)
Verificación de Candidatos
Identidad Agentica
Verificación sin documentos
Industrias
Servicios financieros
Salud
Juegos en línea
Apuestas Online
E-commerce y marketplaces
Sector público
Redes sociales
Recursos
Blog
Prensa
Webinars
Centro de confianza
Asociados de negocios e integraciones
Empresa
Acerca de Incode
Carreras
Privacy Manifesto
Contáctanos
Seguridad
HIPAA
Política de privacidad
Términos de uso
Accesibilidad
SDK Y API
Informe de privacidad de datos de Washington Consumer Health
Política y aviso de datos biométricos
Manage Cookies
Incode Technologies ha sido certificado para cumplir con SOC 2 Tipo ii. Incode Technologies utiliza cifrado TLS de 256 bits
© Incode Technologies Inc. Todos los derechos reservados. Marca registrada Incode