Identidades de más de 80 estadounidenses robadas para estafas con trabajadores de TI norcoreanos

Durante años, el gobierno norcoreano ha encontrado una fuente creciente de ingresos para evadir sanciones al encargar a sus ciudadanos que soliciten en secreto empleos tecnológicos remotos en Occidente . Una operación de desmantelamiento recientemente revelada por las fuerzas del orden estadounidenses deja claro cuánta infraestructura utilizada para ejecutar estos planes se encuentra en Estados Unidos, y cuántas identidades estadounidenses fueron robadas por los suplantadores norcoreanos para llevarlos a cabo.

El lunes, el Departamento de Justicia anunció una operación exhaustiva para acabar con los elementos con sede en Estados Unidos del esquema de teletrabajo de Corea del Norte, incluyendo acusaciones formales contra dos estadounidenses que, según el gobierno, participaron en las operaciones, uno de los cuales fue arrestado por el FBI. Las autoridades también registraron 29 "granjas de portátiles" en 16 estados, supuestamente utilizadas para recibir y alojar las computadoras a las que los trabajadores norcoreanos acceden remotamente, e incautaron alrededor de 200 de esas computadoras, así como 21 dominios web y 29 cuentas financieras que habían recibido los ingresos generados por la operación. El anuncio y las acusaciones formales del Departamento de Justicia también revelan cómo los norcoreanos no solo crearon identificaciones falsas para infiltrarse en empresas tecnológicas occidentales, según las autoridades, sino que presuntamente robaron las identidades de "más de 80 estadounidenses" para hacerse pasar por ellos en puestos de trabajo en más de cien empresas estadounidenses y canalizar dinero al régimen de Kim.

"Es enorme", afirma Michael Barnhart, investigador especializado en hackeo y espionaje norcoreano en DTEX, una firma de seguridad especializada en amenazas internas. "Siempre que se tiene una granja de computadoras portátiles como esta, ese es el punto débil de estas operaciones. Bloquearlas en tantos estados es una gran tragedia".

En total, el Departamento de Justicia afirma haber identificado a seis estadounidenses que cree que participaron en un plan para habilitar a los suplantadores de identidad de trabajadores tecnológicos norcoreanos, aunque solo dos han sido nombrados y acusados ​​penalmente: Kejia Wang y Zhenxing Wang, ambos con sede en Nueva Jersey, y solo Zhenxing Wang ha sido arrestado. Los fiscales acusan a los dos hombres de ayudar a robar las identidades de decenas de estadounidenses para que los norcoreanos las asumieran, recibir computadoras portátiles que les enviaban sus empleadores, configurar el acceso remoto para que los norcoreanos controlaran esas máquinas desde cualquier parte del mundo (a menudo permitiendo ese acceso remoto mediante un dispositivo de hardware llamado "conmutador de teclado-video-ratón" o KVM) y crear empresas fantasma y cuentas bancarias que permitieron al gobierno norcoreano recibir los salarios que supuestamente ganaban. El Departamento de Justicia afirma que los dos hombres estadounidenses también trabajaron con seis co-conspiradores chinos nombrados, según los documentos de la acusación, así como con dos ciudadanos taiwaneses.

Para crear las identidades falsas de los trabajadores norcoreanos, la fiscalía afirma que los dos Wang accedieron a los datos personales de más de 700 estadounidenses en búsquedas de registros privados. Pero en el caso de las personas que los norcoreanos suplantaron, supuestamente fueron mucho más allá, utilizando escaneos de las licencias de conducir y tarjetas de la Seguridad Social de las víctimas de robo de identidad para que pudieran solicitar empleo bajo sus nombres, según el Departamento de Justicia.

Los documentos de acusación no aclaran cómo se obtuvieron supuestamente esos documentos personales. Sin embargo, Barnhart, de DTEX, afirma que las operaciones de suplantación de identidad norcoreanas suelen obtener documentos de identificación de estadounidenses de foros de ciberdelincuentes en la red oscura o sitios de filtración de datos. De hecho, afirma que las más de 80 identidades robadas citadas por el Departamento de Justicia representan una pequeña muestra de las miles de identificaciones estadounidenses que ha visto extraídas, en algunos casos, de la infraestructura de las operaciones de piratería informática norcoreanas.

“Tienen un montón de estos”, dice Barnhart. “Dondequiera que un delincuente vaya a obtener una identificación, simplemente se aprovechan de ella, porque así ni siquiera tienen que llevar a cabo la filtración. Ya está ahí”. Barnhart dice que ha visto a impostores norcoreanos llegar al extremo de verificar sus identidades robadas para detectar antecedentes penales e incluso hacerse pasar por estadounidenses que residen en estados sin impuesto sobre la renta para maximizar sus ganancias.

A diferencia de los cargos del Departamento de Justicia contra Kejia Wang y Zhenxing Wang, la fiscalía también anunció que el FBI realizó registros en otras 21 presuntas granjas de computadoras portátiles en 14 estados de EE. UU. y confiscó aproximadamente 137 computadoras que, según la fiscalía, se utilizaron en esquemas de teletrabajo norcoreanos. En otros dos casos, la fiscalía afirma que los norcoreanos utilizaron el acceso interno que obtuvieron haciéndose pasar por trabajadores tecnológicos occidentales en empresas de criptomonedas para robar más de 900.000 dólares en fondos, incluyendo unos 740.000 dólares robados a una empresa con sede en Atlanta.

Si bien la mayoría de los esquemas de suplantación de identidad norcoreanos que el Departamento de Justicia intentó desmantelar parecían estar centrados en el dinero, la fiscalía también señala que una de las empresas en las que los trabajadores norcoreanos se infiltraron en la operación, supuestamente facilitada por los dos Wang, era una contratista de defensa con sede en California especializada en tecnología relacionada con la inteligencia artificial. En ese caso, el gobierno afirma que los suplantadores norcoreanos también accedieron y probablemente robaron datos técnicos, incluyendo información lo suficientemente sensible como para estar protegida por los controles de exportación conocidos como el Reglamento sobre el Tráfico Internacional de Armas (ITAR).

Si bien las redadas, acusaciones y arrestos realizados por el Departamento de Justicia y el FBI son significativos, afirma Barnhart de DTEX, están lejos de ser el fin de los intentos de Corea del Norte de infiltrarse en empresas occidentales y, en particular, estadounidenses, tanto con fines de lucro como de espionaje. Al fin y al cabo, solo un sospechoso se encuentra bajo custodia, incluso entre los individuos que el Departamento de Justicia ha nombrado, y un sinnúmero de norcoreanos involucrados en este tipo de esquemas permanecen intactos dentro de las fronteras del régimen y en las regiones vecinas de China donde operan.

"Esto va a afectar gravemente su trabajo", dice Barnhart. "Pero a medida que nos adaptamos, ellos se adaptan".