Mulas portátiles: cómo Corea del Norte se está infiltrando en las fuerzas laborales remotas (Parte 2)
Incode
June 17, 2025
June 17, 2025
Los procesos de contratación se han convertido en la nueva línea de frente de la guerra cibernética. En nuestro post anterior, nosotros detallamos las tácticas utilizadas por los ciberoperativos norcoreanos para infiltrarse en los procesos de contratación utilizando cómplices locales para recibir y configurar computadoras portátiles corporativas, también conocidas como “portátiles mules”.
A continuación, recorremos tres ejemplos de la vida real de estos esquemas de infiltración, las consecuencias para las empresas objetivo, las señales de advertencia, y cómo comprender este panorama de amenazas en evolución ya no es opcional.
En Tennessee, Matthew Isaac Knoot pensó que dirigía un negocio legítimo de soporte tecnológico. Durante más de un año, recibió computadoras portátiles corporativas en su casa del área de Nashville, las configuró con software de acceso remoto y las envió a lo que él creía que eran trabajadores remotos legítimos. Los dispositivos seguían llegándose, a veces varias computadoras portátiles por semana, cada uno con instrucciones detalladas de configuración y nombres de empleados que nunca cuestionó.
Lo que Knoot no se dio cuenta fue que se había convertido en el centro de una de las operaciones de infiltración norcoreanas más exitosas jamás documentadas. Los “empleados” a los que apoyaba eran en realidad operativos que trabajan desde Pyongyang, accediendo a las redes corporativas estadounidenses a través de los dispositivos que configuró meticulosamente en su oficina en casa.
El operativo se desentrañó cuando una de las empresas infiltradas notó patrones inusuales de actividad de la red. La investigación forense rastreó el tráfico sospechoso hasta la dirección de Knoot, donde agentes federales descubrieron sus registros detallados de configuraciones de computadoras portátiles, registros de envío y comunicación con manejadores que coordinaron todo el esquema.
Autoridades federales acusaron a Knoot en agosto de 2024, revelando la sofisticada red de soporte requerida para estas operaciones. Según el Departamento de Justicia, a los trabajadores de TI asociados con Knoot se les pagó más de $250,000 por su trabajo entre julio de 2022 y agosto de 2023. Los manejadores le habían proporcionado instrucciones técnicas detalladas, canales de comunicación de respaldo e incluso guías de solución de problemas comunes de configuración de computadoras portátiles.
La casa suburbana de Christina Chapman en Litchfield Park, Arizona parecía poco notable desde el exterior. Pero por dentro, ella había transformado su espacio vital en lo que los fiscales federales llamaron una “granja de computadoras portátiles” que apoyaba un esquema masivo de infiltración de Corea del Norte.
La operación de Chapman fue mucho más sofisticada que la configuración de una sola persona de Nashville. Según el Departamento de Justicia, su esquema impactó a más de 300 empresas estadounidenses y generó 17 millones de dólares en ingresos para Corea del Norte en tres años. La operación comprometió más de 70 identidades de personas estadounidenses y creó obligaciones fiscales falsas para más de 70 individuos estadounidenses.
Chapman administró múltiples “empleados” simultáneamente, manejando todo, desde recibir y configurar computadoras portátiles para administrar depósitos de nómina y mantener historias de portada para sus falsos trabajadores. Sus registros detallados, incautados por agentes federales, revelaron una operación meticulosa que rastreaba las personas de los empleados, los horarios de trabajo y las historias de portada para mantener la autenticidad.
Lo que hizo que el caso de Chapman fuera particularmente alarmante fue la diversidad de sus “empleados”. Su granja de computadoras portátiles apoyaba a falsos ingenieros de software, analistas de datos, diseñadores gráficos y asistentes administrativos.
Cada persona había sido cuidadosamente elaborada con historias de trabajo consistentes, habilidades técnicas y detalles personales que podían resistir el escrutinio. Algunos de esos empleados falsos habían estado “trabajando” para las mismas empresas durante largos períodos, generar confianza y acceder a proyectos cada vez más sensibles.
La operación de Chapman implicó transmitir docenas de computadoras de compañías estadounidenses en el extranjero, en su mayoría a la ciudad china de Dandong, justo al otro lado del río Yalu desde Corea del Norte. El esquema incluía instrucciones detalladas para los operarios, incluyendo orientación como “Si preguntan POR QUÉ estás usando dos dispositivos, solo di que el micrófono de tu computadora portátil no funciona bien”.
Chapman se declaró culpable en febrero de 2025 de conspiración para cometer fraude bancario, robo de identidad agravado y conspiración para lavar instrumentos monetarios. Su caso resaltó cómo habían tenido estas operaciones evolucionó más allá del simple fraude laboral hacia un sofisticado espionaje corporativo con componentes internacionales de lavado de dinero.
Las operaciones de mulas para portátiles más complejas descubiertas hasta la fecha abarcan múltiples países e involucran redes de facilitadores que los investigadores federales aún están desentrañando. Estos esquemas han colocado a trabajadores falsos en docenas de empresas de diversas industrias, desde startups tecnológicas hasta corporaciones Fortune 500.
La coordinación de las operaciones involucra redes en China que manejan aspectos técnicos, operativos norcoreanos que realizan el trabajo real y facilitadores estadounidenses que manejan la logística física. El lado estadounidense incluye no solo mulas portátiles sino también empresas de dotación de personal falsas que brindan legitimidad adicional al proceso de contratación.
La infraestructura financiera es particularmente sofisticada, con fondos que fluyen a través de complejas redes de compañías ficticias, intercambios de criptomonedas y transferencias electrónicas internacionales diseñadas para oscurecer el destino final en Corea del Norte.
Una vez integrados dentro de las redes corporativas, estos operativos puede acceder al código fuente, bases de datos de clientes, planes estratégicos y otra información confidencial. El FBI ha observado a los trabajadores de TI norcoreanos aprovechar el acceso ilegal para la extorsión de datos en los últimos meses.
Con credenciales legítimas del sistema, los operarios pueden deshabilitar las protecciones de seguridad e instalar puertas traseras que proporcionan acceso a largo plazo incluso después de que se descubre su infiltración inicial. Ellos pueden cosechar credenciales confidenciales de la empresa y cookies de sesión para iniciar sesiones de trabajo desde dispositivos que no son de la empresa.
Las empresas que financian inadvertidamente entidades sancionadas enfrentan posibles violaciones regulatorias y sanciones. Los complejos esquemas de lavado de dinero a menudo involucran criptomonedas y banca internacional, lo que agrava los riesgos legales.
Incluso los intentos de infiltración fallidos desencadenan extensas investigaciones forenses, retiradas de dispositivos, auditorías de sistemas y daños a la reputación.
Como El subdirector de la División Cibernética del FBI, Bryan Vorndran, señaló: “La investigación del FBI ha descubierto un complot de años de duración para instalar trabajadores de TI norcoreanos como empleados remotos para generar ingresos para el régimen de la RPDC y evadir sanciones”. Lo describió como “una amenaza muy sofisticada” que “es muy omnipresente” y que ha “evolucionado a medida que la industria y el gobierno han evolucionado para contrarrestarla”.
El aspecto más inquietante de las operaciones de mulas portátiles no es su sofisticación técnica. Es como explotan nuestra tendencia humana básica a la confianza. Todos los días, los gerentes de contratación en todo el país están entrevistando sin saberlo a operativos norcoreanos. que han perfeccionado el arte de aparecer como empleados remotos ideales.
Considere las banderas rojas que surgieron en el análisis retrospectivo de infiltraciones exitosas: candidatos que constantemente evitan las videollamadas, proporcionan direcciones de envío que no coinciden con su residencia declarada o demuestran habilidades técnicas que parecen inconsistentes con su historial laboral reclamado. Sin embargo, estas señales de advertencia a menudo se descartan como peculiaridades de la cultura del trabajo remoto.
La escala de la amenaza es asombrosa. Investigaciones federales han destapado operaciones que afectan cientos de empresas, con nuevos casos que surgen regularmente. Lo que hace que esto sea particularmente preocupante es que muchas infiltraciones exitosas probablemente permanecen sin ser detectadas, con agentes que ganan salarios legítimos mientras acceden silenciosamente a sistemas sensibles y propiedad intelectual.
El fenómeno de la mula portátil revela una verdad incómoda: la misma flexibilidad que hace que el trabajo remoto sea atractivo ha creado vulnerabilidades sin precedentes. Corea del Norte ha convertido nuestra confianza en la colaboración virtual, convirtiendo entrevistas de trabajo en operaciones de inteligencia y computadoras portátiles corporativas en herramientas de vigilancia.
Lo que es particularmente preocupante es la paciencia que demuestran estas operaciones. A diferencia de los ciberataques tradicionales que atacan rápidamente y se retiran, los esquemas de mulas portátiles están diseñados para el juego a largo plazo. Los operativos trabajarán legítimamente durante meses, construyendo confianza y acceso, antes de comenzar su verdadera misión de extracción de datos y desvíos financieros.
Las implicaciones van mucho más allá de las empresas individuales. Cada infiltración exitosa proporciona a Corea del Norte información sobre las prácticas comerciales estadounidenses, los desarrollos tecnológicos y las estrategias económicas. En esencia, estas operaciones representan una forma de espionaje económico disfrazado de fraude laboral.
A medida que el trabajo remoto continúa reconfigurando la economía global, la amenaza de las mulas portátiles sirve como un duro recordatorio de que nuestros procesos de contratación se han convertido en la nueva línea de frente de la guerra cibernética. La pregunta no es si su organización se enfrentará a esta amenaza, sino si la reconocerá cuando llegue a su puerta virtual.
Para los profesionales de seguridad y los líderes del negocio, comprender este panorama de amenazas en evolución ya no es opcional. Es una preparación esencial para proteger tanto a su organización como para prevenir el apoyo involuntario de regímenes extranjeros hostiles a través de prácticas de contratación comprometidas.
Incode brinda verificación de identidad adaptable en tiempo real a cada etapa de su flujo de trabajo de reclutamiento para proteger y agilizar el proceso de contratación.
Más información acerca de cómo la solución de Verificación de Candidatos de Incode ofrece protección end-to-end desde la aplicación hasta el Día 1.
¿Se perdió la parte 1? Lea el manual de jugadas de la mula portátil aquí.
Carrie Melanda es Gerente de Marketing de Producto en Incode. Aporta una profunda experiencia en marketing de productos y estrategia de lanzamiento al mercado, con un historial comprobado de impulsar el crecimiento de los ingresos y la diferenciación del mercado en el espacio de ciberseguridad.
%20(1).avif)
