IA, VPN y Raspberry Pi: el arsenal del ciberespía moderno de Corea del Norte

La empresa de ciberseguridad KnowBe4 reveló un intento de infiltración en su sistema informático a través de un falso empleado de Corea del Norte. Todos los datos de la empresa permanecieron seguros gracias a la acción oportuna del departamento de seguridad de la información, sin embargo, vale la pena examinar este caso en detalle.

La empresa buscaba un ingeniero de software para su equipo de desarrollo de IA. Se publicaron anuncios de empleo, se realizaron entrevistas y se verificaron los antecedentes de los candidatos. El nuevo empleado pasó todos los procedimientos estándar, incluyendo entrevistas por video y verificación de datos personales, por lo que no levantó sospechas en la empresa.

Sin embargo, la identidad de esta persona, utilizada para obtener el trabajo, resultó ser robada. Después de enviar una computadora de trabajo al nuevo empleado, se detectó inmediatamente actividad maliciosa en el dispositivo. El software de detección de amenazas (EDR) registró acciones sospechosas y notificó al centro de seguridad de la información (SOC).

El SOC se puso rápidamente en contacto con el nuevo empleado, pero su comportamiento generó aún más sospechas. Después de esto, el incidente fue remitido para su investigación a la empresa Mandiant y al FBI. Se descubrió que el hombre era un agente encubierto de Corea del Norte. La fotografía proporcionada en el formulario de solicitud fue creada con IA basada en imágenes de stock.

Una investigación más profunda reveló que el empleado sospechoso realizaba acciones dirigidas a comprometer el sistema: manipulación de archivos de sesión, descarga de software malicioso utilizando Raspberry Pi y uso de VPN para ocultar su ubicación.

Este caso demuestra el alto nivel de organización de los ciberdelincuentes y la sofisticación de los recursos que utilizan. Los delincuentes utilizan identidades falsas, VPN y máquinas virtuales para acceder a los sistemas de la empresa, creando la apariencia de un trabajo legítimo.

KnowBe4 desarrolló una serie de recomendaciones para prevenir incidentes similares en el futuro. Estas pueden ser utilizadas por cualquier otra organización:

• Escaneo regular de dispositivos remotos.
• Mejora de las verificaciones de currículos y datos de los candidatos.
• Videoconferencias con potenciales empleados.
• Fortalecimiento del control de acceso y autenticación.
• Aumento de la concienciación de los empleados sobre los métodos de ingeniería social.

Es importante prestar atención al uso de números VOIP, la falta de huella digital, cualquier discrepancia en los datos personales, así como los intentos de instalar software malicioso. Verificaciones oportunas y más exhaustivas ayudarán a prevenir la infiltración de delincuentes en el sistema.