El ejército invisible de Kim: cómo Corea del Norte financia su régimen infiltrando empleados fantasma en Europa

Un ejército silencioso de trabajadores que nunca existieron está infiltrándose en algunas de las empresas más grandes de Europa. Son operativos de Corea del Norte que, armados con inteligencia artificial, roban identidades, falsifican currículums y superan entrevistas laborales remotas sin levantar sospechas. El fenómeno, que durante años golpeó principalmente a compañías estadounidenses, se expande ahora hacia el Viejo Continente, según reveló este domingo el Financial Times.

El esquema no es nuevo, pero su sofisticación creció de forma notable. Según el diario británico, los operativos norcoreanos comienzan por apropiarse de identidades reales —a veces tomando el control de cuentas inactivas en LinkedIn, otras veces pagando a sus titulares por el acceso—. Luego forjan documentos y construyen redes de respaldo: otros agentes que proveen recomendaciones falsas en plataformas profesionales. El paso final es la entrevista: filtros de video con deepfake y avatares digitales les permiten aparecer en pantalla con un rostro que no es el propio.

Jamie Collier, asesor principal en Europa del Google Threat Intelligence Group, señaló al Financial Times que hay indicios claros de que la operación se está extendiendo al continente europeo, donde los norcoreanos habrían montado “granjas de laptops” en el Reino Unido. “La contratación no ha sido vista naturalmente como un problema de seguridad, y eso la convierte en un flanco débil”, advirtió Collier. El especialista relató que, al informar a un cliente que uno de sus empleados era en realidad un operativo norcoreano, la respuesta fue de incredulidad: “¿Estás completamente seguro? Porque es uno de nuestros mejores empleados”.

Los modelos de lenguaje de gran escala son una pieza clave del engaño. Alex Laurie, director de tecnología de la firma de ciberseguridad Ping Identity, explicó al FT que estas herramientas permiten generar nombres culturalmente apropiados, direcciones de correo coherentes y comunicaciones sin ningún rastro lingüístico que delate el fraude. Ante el endurecimiento de los procesos de selección en algunas compañías, los operativos adoptaron una variante: contratar personas reales —los llamados “facilitadores”— para que sean entrevistados en su lugar.

Una vez dentro de la organización, el fraude entra en su segunda fase. Las laptops enviadas a los nuevos empleados son interceptadas y controladas de forma remota. Desde esa posición, los agentes utilizan chatbots para ejecutar tareas, y en algunos casos llegan a mantener múltiples empleos simultáneamente. Rafe Pilling, director de inteligencia de amenazas de Sophos, describió la operación al Financial Times como una empresa respaldada por el Estado: agentes que se presentan como profesionales con siete a diez años de experiencia, cobran salarios y repiten el ciclo.

El esquema no se limita al robo de sueldos. La firma de ciberseguridad KnowBe4 fue una de las primeras empresas estadounidenses en admitir haber caído en la trampa: en ese caso, el falso empleado intentó instalar malware en los sistemas de la compañía antes de ser descubierto. Un patrón similar fue documentado en el hackeo a la bolsa de criptomonedas japonesa DMM Bitcoin, donde un operativo vinculado al grupo norcoreano TraderTraitor contactó a un empleado a través de LinkedIn haciéndose pasar por un reclutador, accedió al sistema de gestión de billeteras digitales y robó activos equivalentes a 300 millones de euros.

La escala del problema es significativa. Entre 2020 y 2024, operativos norcoreanos se infiltraron en más de 300 empresas estadounidenses, generando al menos 6,8 millones de dólares para el régimen de Pyongyang, según cifras del Departamento de Justicia de Estados Unidos citadas por el Financial Times. Amazon informó haber bloqueado más de 1.800 postulaciones sospechosas de origen norcoreano desde abril de 2024.

Para el régimen de Kim Jong-un, la operación es una fuente estratégica de divisas. Según un informe de Microsoft, Corea del Norte ha escalado sus operaciones cibernéticas de forma sostenida, vinculando estos ingresos a la financiación de programas militares. El número de incidentes con uso de inteligencia artificial por parte de actores estatales hostiles se duplicó en el último año, superando los 200 casos registrados a nivel global.