Por Canuto   Un informe de CrowdStrike advierte que operativos norcoreanos disfrazados de trabajadores remotos y reclutadores ya concentran casi la mitad de las intrusiones estatales documentadas contra empresas tecnológicas de Estados Unidos. La campaña combina robo de credenciales, deepfakes, identidades falsas, espionaje corporativo y ataques dirigidos al ecosistema blockchain para desviar fondos en criptomonedas. ***
  • CrowdStrike atribuyó a Famous Chollima el 47% de la actividad estatal “manos en el teclado” contra el sector tecnológico entre abril de 2025 y mayo de 2026.
  • Los operativos se hacen pasar por desarrolladores, programadores y personal de TI para conseguir empleos remotos y mantener acceso persistente dentro de empresas.
  • Corea del Norte habría obtenido miles de millones en criptoactivos robados a lo largo de los años, incluidos cerca de USD $2.000 millones solo en 2025.
 
La firma de ciberseguridad CrowdStrike advirtió que los hackers norcoreanos se consolidaron como una de las mayores amenazas para la industria tecnológica de Estados Unidos. Según su informe anual más reciente sobre el panorama de la ciberseguridad, los operativos vinculados a Pyongyang estuvieron detrás de aproximadamente la mitad de todas las intrusiones documentadas de tipo “manos en el teclado” dirigidas al sector durante el último año. El dato resulta especialmente sensible para empresas tecnológicas, desarrolladores y compañías vinculadas con blockchain, porque describe ataques ejecutados por personas reales y no solo por malware automatizado. En este caso, el patrón incluye infiltración humana, robo de información sensible, uso de herramientas legítimas dentro de los sistemas comprometidos y, en muchos casos, desvío de fondos que terminan apoyando al régimen de Kim Jong Un. La investigación citada por TechCrunch ubica al grupo que CrowdStrike denomina Famous Chollima como responsable del 47% de toda la actividad estatal detectada contra el sector tecnológico en el período comprendido entre abril de 2025 y mayo de 2026. Ese porcentaje convierte al colectivo en el actor más visible dentro de una campaña que ya mezcla espionaje corporativo, extorsión y robo de criptomonedas.

Una campaña que entra por la puerta principal

Para lectores menos familiarizados con este fenómeno, una intrusión “manos en el teclado” describe un ataque en el que un operador humano interactúa directamente con los sistemas de la víctima. Ese detalle importa porque estas operaciones suelen ser más flexibles, más difíciles de detectar y capaces de adaptarse al entorno de la empresa comprometida con mucha rapidez. CrowdStrike explicó que este tipo de ataques suele comenzar con contraseñas o credenciales robadas. Luego, los intrusos aprovechan herramientas legítimas ya presentes en la infraestructura de la organización para mantener acceso persistente durante más tiempo, lo que complica la detección por parte de soluciones de seguridad tradicionales. En el caso norcoreano, la táctica va más allá del hackeo técnico clásico. Famous Chollima se hace pasar por trabajadores tecnológicos, como desarrolladores, programadores y personal de TI, y también por reclutadores en línea. Bajo esas identidades falsas, los operativos buscan empleo remoto en empresas de Estados Unidos, Europa y Asia. La maniobra tiene una lógica financiera y estratégica. Una vez contratados, no solo obtienen acceso interno a sistemas, procesos y datos corporativos, sino que también perciben salarios que, según el informe, terminan desviándose de vuelta al régimen norcoreano. Así, una supuesta relación laboral se convierte en un canal de financiamiento y espionaje.

Deepfakes, documentos robados e identidades falsas

Uno de los aspectos más inquietantes del informe es el uso de inteligencia artificial para reforzar el engaño. CrowdStrike señaló que estos hackers emplean imágenes deepfake en tiempo real para suplantar los rostros de personas reales durante entrevistas y procesos de selección, lo que eleva la credibilidad de perfiles inventados. La estrategia se complementa con documentos de identidad fraudulentos. Entre ellos figuran pasaportes y licencias de conducir robados, utilizados para hacerse pasar por ciudadanos estadounidenses u otros nacionales extranjeros. El objetivo es eludir sospechas en un contexto donde Corea del Norte permanece fuertemente sancionada por Occidente y por Naciones Unidas debido a su programa nuclear. Este componente de ingeniería social ayuda a explicar por qué la amenaza afecta tanto a departamentos de recursos humanos como a equipos de seguridad informática. La infiltración ya no depende solo de vulnerabilidades técnicas. También aprovecha las debilidades de la contratación global, el trabajo remoto y la validación de identidades en entornos digitales. Para empresas tecnológicas con plantillas distribuidas, el riesgo es doble. Por un lado, pueden incorporar sin saberlo a un actor malicioso dentro de sus operaciones. Por el otro, ese acceso interno puede utilizarse para extraer propiedad intelectual, observar procesos críticos o preparar una etapa posterior de extorsión.

Espionaje corporativo y amenaza de rescate

De acuerdo con CrowdStrike, los operativos norcoreanos no se limitan a obtener presencia interna. También sustraen propiedad intelectual y otra información corporativa sensible. Ese material, una vez en sus manos, se convierte con frecuencia en una herramienta de presión contra las compañías afectadas. Cuando finalmente son descubiertos, estos actores suelen amenazar con exponer la información robada si la empresa no accede a pagar un rescate. El patrón combina rasgos de espionaje estatal con tácticas de delincuencia financiera, lo que dificulta responder al problema bajo un solo marco de defensa o cumplimiento normativo. La mezcla de infiltración laboral, robo de datos y coerción refuerza una tendencia creciente en ciberseguridad. Los atacantes ya no necesitan desplegar código destructivo desde el primer momento. Les basta con parecer empleados legítimos, integrarse a la operación y esperar el momento adecuado para monetizar el acceso. En la práctica, esto también obliga a revisar cómo las empresas entienden la amenaza interna. En este caso, el “insider” no es necesariamente un empleado descontento. Puede ser un supuesto desarrollador remoto que, desde el primer día, formaba parte de una operación patrocinada por un Estado.

El vínculo directo con blockchain y criptomonedas

El informe también subraya que los hackers norcoreanos siguen apuntando contra desarrolladores de blockchain con el objetivo de robar grandes cantidades de criptomonedas. Ese punto resulta central para la audiencia del ecosistema cripto, porque muestra que las campañas no se concentran solo en bases de datos corporativas o secretos comerciales. Las criptomonedas cumplen un papel estratégico para Pyongyang. Según el reporte, el régimen las utiliza para sortear su amplia incapacidad para acceder al sistema bancario occidental. En otras palabras, los criptoactivos sirven como una vía alternativa de financiamiento internacional en medio del aislamiento financiero y las sanciones. La magnitud del fenómeno ya es considerable. CrowdStrike indicó que Corea del Norte ha obtenido miles de millones de dólares en criptomonedas robadas a lo largo de los años. Solo en 2025, esa cifra habría rondado los USD $2.000 millones, lo que da una idea del peso económico de estas operaciones. Para proyectos blockchain, exchanges, proveedores de infraestructura y estudios de desarrollo Web3, la advertencia es clara. El riesgo no solo está en fallas de contratos inteligentes o vulnerabilidades de puentes entre cadenas. También está en la cadena humana de contratación, soporte técnico, reclutamiento y colaboración remota.

Por qué este informe importa ahora

El hallazgo de que un solo grupo, Famous Chollima, concentró el 47% de la actividad estatal observada contra el sector tecnológico de Estados Unidos revela una escala operativa poco común. No se trata de incidentes aislados, sino de una campaña persistente y organizada que combina recursos técnicos, manipulación de identidad y objetivos financieros concretos. Además, el período analizado, entre abril de 2025 y mayo de 2026, coincide con una etapa en la que las empresas tecnológicas profundizaron su dependencia del trabajo remoto, la subcontratación global y las herramientas de colaboración digital. Ese entorno ofrece eficiencia y acceso a talento, pero también amplía la superficie de ataque. La alerta también llega en un momento en que la inteligencia artificial ya no solo ayuda a defender sistemas, sino también a engañar personas. El uso de deepfakes en tiempo real durante entrevistas muestra cómo la IA puede abaratar y escalar fraudes de identidad con impacto directo sobre operaciones corporativas y seguridad nacional. En ese contexto, el informe de CrowdStrike funciona como una señal de advertencia para la industria tecnológica y para el sector cripto. La amenaza norcoreana ya no se limita a campañas externas de intrusión. Ahora también puede adoptar el rostro de un candidato convincente, un reclutador amistoso o un nuevo empleado con acceso legítimo a información crítica.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público. Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

Descubre más desde DiarioBitcoin

Suscríbete y recibe las últimas entradas en tu correo electrónico.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados