Derecho Artificial
Ética IA

La granja de portátiles de Pyongyang: Cómo Corea del Norte infiltró el sector tecnológico estadounidense con 166.893 solicitudes de empleo y 76 ofertas

PorEquipo Redacción – derechoartificial.com

"LA GRANJA DE PORTÁTILES DE PYONGYANG:

CÓMO COREA DEL NORTE INFILTRÓ EL SECTOR TECNOLÓGICO ESTADOUNIDENSE

CON 166.893 SOLICITUDES DE EMPLEO Y 76 OFERTAS"

Análisis de inteligencia elaborado sobre la base del informe

"People, Process, Personas: Nisos Exposes the Human Risk in DPRK Employment Fraud Schemes"

Nisos (2026)

Equipo Redacción – derechoartificial.com

ÍNDICE

1. INTRODUCCIÓN

1.1. Contexto y relevancia del fenómeno

1.2. Objetivos de la investigación

1.3. Metodología y fuentes de información

1.4. Estructura del artículo

2. MARCO TEÓRICO Y ESTADO DEL ARTE

2.1. Amenazas híbridas y guerra económica en el contexto norcoreano

2.2. Fraude de identidad y robo de personas en la era digital

2.3. Elusión de sanciones internacionales mediante operaciones laborales

2.4. Antecedentes documentados de operaciones norcoreanas de obtención de divisas

2.5. Estado del arte: investigaciones académicas y reportes de inteligencia

3. METODOLOGÍA DE INVESTIGACIÓN

3.1. Diseño de la investigación

3.2. Fuentes de datos y criterios de selección

3.3. Técnicas de análisis

3.4. Limitaciones y consideraciones éticas

4. LA CÉLULA DE FRAUDE LABORAL NORCOREANA: ESTRUCTURA Y ORGANIZACIÓN

4.1. Jerarquía operativa: Administrador, gerentes y líderes de equipo

4.2. Roles y responsabilidades de los operativos

4.3. El concepto de "nativos" y su papel como facilitadores en Estados Unidos

4.4. Los "bidders" como fuerza de trabajo externalizada

4.5. Coordinación interna y sistemas de comunicación

5. METODOLOGÍA DE CREACIÓN Y GESTIÓN DE PERSONAS FALSAS

5.1. Adquisición de identidades estadounidenses

5.2. Verificación y validación de identidades robadas

5.3. Creación de huella digital completa

5.4. Sistema de validación de referencias de bucle cerrado

5.5. Empresas ficticias como respaldo (caso 710TECH LI)

5.6. Documentación falsificada y manipulación de metadatos

6. TÉCNICAS DE INFILTRACIÓN: DESDE LA SOLICITUD HASTA LA CONTRATACIÓN

6.1. Estrategias de aplicación masiva

6.2. Generación automatizada de currículos (SwiftCV)

6.3. Segmentación de objetivos y exclusión estratégica

6.4. Proceso de entrevista con asistencia de IA

6.5. Entrenamiento de acento y localización cultural

6.6. Onboarding y documentación fraudulenta

7. INFRAESTRUCTURA TÉCNICA Y OPERATIVA

7.1. Granjas de portátiles en suelo estadounidense

7.2. PiKVM y acceso remoto indetectable

7.3. VPNs y redes mesh (Astrill, Tailscale)

7.4. Herramientas de IA y ChatGPT para asistencia en entrevistas

7.5. Medidas de seguridad operativa (OPSEC)

7.6. Dashboard Vercel para seguimiento de rendimiento

8. ANÁLISIS CUANTITATIVO DE LA OPERACIÓN

8.1. Volumen de aplicaciones (166.893 en 9 meses)

8.2. Tasas de conversión: aplicación → entrevista → oferta

8.3. Distribución sectorial de ofertas

8.4. Roles y rangos salariales objetivo

8.5. Distribución geográfica y temporal de actividad

9. MODELOS DE EJECUCIÓN DEL TRABAJO

9.1. Modelo 1: Nativo como empleado de cara al público, operativo realiza el trabajo

9.2. Modelo 2: Operativo como empleado de cara al público y trabajador

9.3. Modelo 3: Operativo como empleado de cara al público, bidder realiza el trabajo

9.4. Análisis comparativo de riesgos y distribución de beneficios

10. ATRIBUCIÓN A COREA DEL NORTE Y EVIDENCIAS

10.1. Indicadores técnicos de atribución

10.2. Referencias geográficas a Taraksan

10.3. Patrones operativos consistentes con campañas previas

10.4. Uso de criptomonedas para pagos

10.5. Evaluación de confianza analítica

11. IMPLICACIONES PARA LA SEGURIDAD NACIONAL Y EMPRESARIAL

11.1. Riesgos para la propiedad intelectual y datos corporativos

11.2. Financiación de programas nucleares de Corea del Norte

11.3. Vulnerabilidad del modelo de trabajo remoto

11.4. Impacto en la confianza en los procesos de contratación

12. MEDIDAS DE MITIGACIÓN Y RECOMENDACIONES

12.1. Para equipos de recursos humanos

12.2. Para equipos de seguridad de la información

12.3. Para equipos de riesgos y cumplimiento

12.4. Recomendaciones para formuladores de políticas

12.5. Indicadores de alerta para la detección temprana

13. CONCLUSIONES

13.1. Síntesis de hallazgos principales

13.2. Contribuciones al conocimiento académico

13.3. Limitaciones del estudio

13.4. Líneas futuras de investigación

14. REFERENCIAS

15. ANEXOS

Anexo A: Definición detallada de roles de la célula

Anexo B: Orígenes de la investigación

Anexo C: Metodología de evaluación de probabilidad y confianza

1. INTRODUCCIÓN

1.1. Contexto y relevancia del fenómeno

En el panorama contemporáneo de la ciberseguridad y la geopolítica, el Estado de Corea del Norte ha demostrado una capacidad de adaptación excepcional para evadir las sanciones internacionales impuestas por el Consejo de Seguridad de las Naciones Unidas (1). Mientras que tradicionalmente las actividades ilícitas del régimen de Pyongyang se centraban en el ciberdelito convencional —como el despliegue de ransomware o el robo de criptomonedas—, se ha detectado una transición estratégica hacia operaciones de fraude laboral a escala industrial (13). Este fenómeno no constituye un esfuerzo aislado de individuos oportunistas, sino una campaña orquestada y patrocinada por el Estado para infiltrar operativos en el sector tecnológico global, con el objetivo primordial de generar ingresos en divisas convertibles para financiar sus programas de desarrollo de armas nucleares y misiles balísticos (2).

La magnitud de esta operación es sistémica y alcanza proporciones sin precedentes. Investigaciones recientes han identificado células de fraude laboral que han inundado a empresas estadounidenses y globales con más de 166.893 solicitudes de empleo en un periodo de apenas nueve meses, entre finales de 2024 y finales de 2025 (11). Estas células, compuestas por operativos altamente coordinados, han logrado asegurar al menos 21.645 entrevistas y obtener 76 ofertas de trabajo confirmadas (1). Lo que hace que esta amenaza sea particularmente alarmante es que estos actores ya no dependen exclusivamente del robo de datos externo; en su lugar, se incrustan dentro de las organizaciones como empleados aparentemente legítimos, percibiendo salarios sustanciales que oscilan entre los 55.000 y los 230.000 dólares anuales (13).

El auge del trabajo remoto, acelerado por las dinámicas laborales pospandemia, ha creado una superficie de ataque crítica que Corea del Norte ha explotado con precisión quirúrgica (16). Al aprovechar identidades robadas o apropiadas de ciudadanos estadounidenses y europeos, los operativos norcoreanos sortean los controles de recursos humanos y de seguridad (8). La sofisticación técnica de la operación se manifiesta en el uso de infraestructuras complejas conocidas como laptop farms (granjas de portátiles) en suelo estadounidense, gestionadas por facilitadores locales o natives (nativos), lo que permite a los operativos en el extranjero controlar dispositivos corporativos como si estuvieran físicamente presentes en la ubicación aprobada por la empresa (5).

Además, la integración de la Inteligencia Artificial (IA) ha permitido una escalabilidad masiva del fraude. Los operativos emplean herramientas de IA para generar currículos adaptados con gran precisión y exactitud a las descripciones de los puestos, practicar respuestas en tiempo real durante las entrevistas e incluso manipular su voz y apariencia para pasar desapercibidos (12). El sector tecnológico es el objetivo principal, representando el 42,6 % de las ofertas obtenidas, seguido por la consultoría, los servicios financieros y la salud (14). La presencia de estos individuos dentro de redes corporativas no solo supone una fuga financiera masiva para el régimen, sino que otorga a Corea del Norte un acceso interno privilegiado que podría derivar en el robo de propiedad intelectual, la exfiltración de datos sensibles o la creación de brechas de seguridad a largo plazo (13).

1.2. Objetivos de la investigación

El presente artículo tiene como objetivo principal desglosar y analizar de manera exhaustiva la estructura operativa, las tácticas técnicas y las implicaciones estratégicas de la campaña de fraude laboral de Corea del Norte contra el sector tecnológico estadounidense. Para alcanzar este fin, la investigación se propone cumplir los siguientes objetivos específicos:

  • Analizar la estructura organizativa y jerárquica de las células de fraude laboral de la República Popular Democrática de Corea (RPDC), detallando los roles de administradores, gestores, líderes de equipo y operativos, así como su coordinación interna a través de plataformas digitales (1).
  • Documentar las Tácticas, Técnicas y Procedimientos (TTPs) empleados durante todo el ciclo de vida del empleo, desde la creación de identidades falsas (personas) y la manipulación de documentos de identidad, hasta el uso de herramientas de IA para superar procesos de entrevista técnica (2).
  • Examinar la infraestructura técnica y operativa que sustenta el fraude, con especial énfasis en el funcionamiento de las laptop farms, el uso de dispositivos PiKVM para el acceso remoto indetectable y la adopción de redes privadas virtuales (VPN) como Astrill y Tailscale (5).
  • Cuantificar el alcance y la efectividad de la operación mediante el análisis de datos sobre el volumen de solicitudes, entrevistas y ofertas obtenidas, identificando los sectores industriales y roles profesionales más vulnerables (11).
  • Evaluar las implicaciones para la seguridad nacional y empresarial, analizando cómo el acceso interno de estos operativos pone en riesgo la propiedad intelectual y la integridad de los sistemas críticos, además de facilitar la evasión de sanciones internacionales (13).
  • Proponer medidas de mitigación y recomendaciones estratégicas para los equipos de contratación, seguridad y recursos humanos, sobre la base de la identificación de indicadores de compromiso (IoC) y señales de alerta (red flags) detectadas en investigaciones de campo (6).

1.3. Metodología y fuentes de información

La metodología empleada para este estudio se fundamenta en la inteligencia de fuentes abiertas (OSINT) y en investigaciones técnicas de vanguardia realizadas entre 2023 y 2026 (16). La base empírica central del artículo surge de una investigación operativa detallada iniciada en junio de 2025, cuando un presunto operativo norcoreano intentó infiltrarse en una empresa de inteligencia de ciberseguridad estadounidense aplicando para el puesto de arquitecto líder de IA (10).

El proceso de investigación incluyó varias fases técnicas y analíticas críticas:

  • Análisis de telemetría y dispositivos: Se realizó un seguimiento detallado de la actividad en un ordenador portátil configurado específicamente para la investigación, el cual fue enviado a una ubicación facilitadora en Florida. Esto permitió capturar imágenes de la infraestructura técnica de la célula y monitorizar las conexiones remotas (5).
  • Infiltración en canales de comunicación: Se analizaron miles de mensajes en servidores de Discord y registros en tableros de gestión en Vercel utilizados por la célula para coordinar sus métricas de rendimiento y compartir lecciones aprendidas sobre sus éxitos y fracasos en las entrevistas (1).
  • Diligencia debida de preempleo: Se examinaron currículos generados por IA, perfiles de LinkedIn y documentos de identidad manipulados digitalmente, utilizando técnicas de búsqueda inversa de imágenes y verificación de metadatos (10).
  • Análisis comparativo de TTPs: Los hallazgos se contrastaron con alertas previas emitidas por el FBI, el Departamento del Tesoro de los Estados Unidos y organismos internacionales como las Naciones Unidas, lo que permitió una atribución de alta confianza a actores estatales de Corea del Norte (13).

Las fuentes consultadas incluyen informes técnicos de Nisos, análisis de publicaciones especializadas en seguridad y tecnología, y reportes de medios internacionales que han documentado la magnitud de la amenaza. La combinación de datos cuantitativos y cualitativos permite ofrecer una visión multidimensional del fenómeno que integra la ciberseguridad, la psicología organizacional y la inteligencia de amenazas (16).

1.4. Estructura del artículo

Para abordar la complejidad de este fenómeno de manera rigurosa, el presente artículo se estructura en trece secciones adicionales que cubren todos los aspectos de la operación norcoreana. Tras esta introducción, la Sección 2 establece el marco teórico y el estado del arte de las operaciones cibernéticas de la RPDC. La Sección 3 profundiza en la metodología de investigación detallando el proceso de seguimiento técnico.

El núcleo analítico comienza en la Sección 4, donde se describe la estructura y organización jerárquica de la célula de fraude. Las Secciones 5 y 6 detallan la metodología de creación de identidades falsas y las técnicas de infiltración durante las entrevistas, respectivamente. La infraestructura técnica, incluyendo el análisis de las laptop farms, se explora en la Sección 7, seguida de un análisis cuantitativo de los resultados de la operación en la Sección 8.

Posteriormente, la Sección 9 analiza los modelos de ejecución del trabajo una vez que el operativo es contratado. La Sección 10 presenta las evidencias que sustentan la atribución directa a Corea del Norte, incluyendo referencias geográficas específicas como Taraksan (1). Las implicaciones de seguridad y las medidas de mitigación se desarrollan en las Secciones 11 y 12. El artículo concluye en la Sección 13 con una síntesis de los hallazgos y reflexiones finales sobre el futuro de esta amenaza transnacional. Finalmente, se presentan las referencias bibliográficas y los anexos correspondientes (16).

2. MARCO TEÓRICO Y ESTADO DEL ARTE

2.1. Amenazas híbridas y guerra económica en el contexto norcoreano

La República Popular Democrática de Corea (RPDC) ha desarrollado a lo largo de las últimas décadas una doctrina estratégica que combina elementos militares, diplomáticos y económicos para garantizar la supervivencia del régimen frente al aislamiento internacional (1). Esta doctrina, conocida como byungjin —línea política de desarrollo económico y nuclear simultáneo promovida por Kim Jong-un a partir de 2013—, ha encontrado en el ciberespacio y en la economía digital global un campo de batalla propicio para la guerra asimétrica (13). El fraude laboral a escala industrial constituye una manifestación avanzada de esta guerra híbrida, en la que los límites entre el ciberdelito, la inteligencia económica y la infiltración estatal se difuminan (1).

El concepto de guerra híbrida, acuñado en el ámbito de los estudios estratégicos para describir la combinación de medios convencionales e irregulares, se aplica con precisión a las operaciones norcoreanas (16). A diferencia de los ataques cibernéticos tradicionales que buscan causar daño o extraer información de manera inmediata, el fraude laboral busca la integración prolongada del operativo dentro de la organización objetivo (13). Esta integración permite al régimen obtener ingresos sostenidos, acceder a redes internas y establecer una presencia humana que puede ser activada en momentos de crisis o para operaciones de inteligencia posteriores (1).

La dimensión económica de esta amenaza es particularmente relevante. Corea del Norte enfrenta un régimen de sanciones internacionales impuesto por el Consejo de Seguridad de las Naciones Unidas que limita severamente su capacidad para obtener divisas mediante el comercio legítimo (7). En este contexto, la generación de ingresos a través del empleo fraudulento en empresas tecnológicas estadounidenses y de otros países occidentales se ha convertido en una fuente crítica de financiamiento para el régimen (2). Los salarios obtenidos, que pueden alcanzar los 230.000 dólares anuales por operativo, representan una inyección de capital significativa para un Estado con una economía severamente contraída (11).

2.2. Fraude de identidad y robo de personas en la era digital

El fraude de identidad ha experimentado una evolución significativa en la era digital, pasando de la simple apropiación de datos personales a la construcción de identidades sintéticas o personas que son prácticamente indistinguibles de las reales (8). En el contexto de las operaciones norcoreanas, el concepto de personation —la suplantación de personalidad con fines fraudulentos— adquiere una dimensión sistémica y altamente organizada (1).

La creación de una persona implica la adquisición de paquetes de identidad completos que incluyen números de Seguro Social, licencias de conducir, direcciones físicas y, en algunos casos, selfies o fotografías de documentos de identidad (10). Estos paquetes son adquiridos a través de brokers especializados en plataformas como Telegram, con precios que oscilan entre los 20 y los 200 dólares (1). Sin embargo, la mera posesión de estos datos no es suficiente para eludir los controles de recursos humanos modernos; los operativos norcoreanos han desarrollado un proceso de "lavado de identidad" que incluye la verificación de la validez de los números de Seguro Social mediante servicios en línea, la comprobación del registro en el Servicio Selectivo de los Estados Unidos y la búsqueda de la identidad en bases de datos de información pública como TruthFinder (1).

Una vez adquirida la identidad base, los operativos construyen un perfil profesional completo. Esto incluye la creación de cuentas de correo electrónico y perfiles de LinkedIn, la generación de currículos adaptados a descripciones de puestos específicos mediante herramientas automatizadas, y la creación de sitios web de portafolio que simulan años de experiencia profesional (4). En algunos casos, los operativos han establecido empresas ficticias —como el caso de 710TECH LI, una compañía de consultoría tecnológica creada específicamente para servir como respaldo de empleo previo para las identidades falsas (3)—. Este ecosistema de verificación cruzada, en el que las identidades falsas se respaldan mutuamente como referencias laborales, constituye un sistema cerrado de validación que dificulta enormemente la detección (1).

2.3. Elusión de sanciones internacionales mediante operaciones laborales

La arquitectura de sanciones internacionales contra Corea del Norte es una de las más amplias y complejas del sistema multilateral (7). La Resolución 1718 del Consejo de Seguridad de las Naciones Unidas, adoptada en 2006 en respuesta al primer ensayo nuclear norcoreano, inauguró un régimen de restricciones progresivas que fue intensificado de forma sucesiva por las Resoluciones 1874 (2009), 2270 (2016), 2375 (2017) y 2397 (2017) —esta última, adoptada tras el sexto ensayo nuclear, la más restrictiva aprobada hasta la fecha—. En conjunto, estas resoluciones limitaron de manera severa las exportaciones de productos básicos norcoreanos, los ingresos por exportación de trabajadores migrantes y las transacciones financieras con el régimen (16). Sin embargo, su aplicación ha resultado desigual y ha generado incentivos para la innovación en la evasión (13).

El fraude laboral constituye un mecanismo de elusión particularmente efectivo porque opera en la intersección entre el mercado laboral legítimo y la economía sumergida (1). Los operativos norcoreanos, al utilizar identidades robadas de ciudadanos estadounidenses y europeos, eluden las restricciones que prohíben a las empresas contratar ciudadanos norcoreanos (7). Una vez empleados, los salarios son depositados en cuentas bancarias a nombre de las identidades falsas, gestionadas por facilitadores locales o natives que residen en los Estados Unidos (5). Estos natives, que pueden recibir hasta el 50 % del salario o una tarifa fija por sus servicios, transfieren los fondos a los operativos mediante tokens ERC-20 basados en la red Ethereum, eludiendo así los controles bancarios tradicionales (1).

Este esquema no solo permite al régimen obtener divisas, sino que también crea una infraestructura financiera paralela que puede ser utilizada para otras actividades ilícitas (11). La participación de natives estadounidenses en la operación introduce además complejidades legales y de jurisdicción que dificultan la acción de las agencias de aplicación de la ley (13). En algunos casos documentados, los natives han sido reclutados a través de plataformas como Reddit, Chaturbate o Discord, a menudo aprovechando situaciones de vulnerabilidad económica o prometiendo ingresos rápidos y flexibles (1).

2.4. Antecedentes documentados de operaciones norcoreanas de obtención de divisas

Corea del Norte no es un actor nuevo en el ámbito de la obtención ilícita de divisas. Desde principios de la década de 2010, el régimen ha sido vinculado con una serie de operaciones cibernéticas de gran envergadura, incluyendo el robo de 81 millones de dólares del Banco Central de Bangladesh en 2016, ataques a intercambios de criptomonedas que suman cientos de millones de dólares, y campañas de ransomware como WannaCry, que afectaron a decenas de miles de sistemas en todo el mundo (13). Estas actividades, atribuidas por múltiples agencias de inteligencia al grupo Lazarus, han sido una fuente importante de ingresos para el régimen (16).

Sin embargo, a partir de 2022 y especialmente durante 2023 y 2024, se ha observado un cambio significativo en las tácticas de obtención de divisas (2). La creciente sofisticación de los controles de seguridad en los intercambios de criptomonedas y la mejora en la coordinación internacional para rastrear transacciones ilícitas han reducido la eficacia de los métodos tradicionales (13). En respuesta, los operativos norcoreanos han desarrollado el fraude laboral como una alternativa más sostenible y menos expuesta (1).

La evolución del tradecraft de estos trabajadores de TI es ilustrativa de su capacidad de adaptación (2). En fases iniciales, los operativos utilizaban perfiles rudimentarios que incluían imágenes de dibujos animados o fotografías de archivo fácilmente identificables como falsas (2). Con el tiempo, comenzaron a utilizar manipulación fotográfica digital para superponer sus rostros en imágenes de modelos de bancos de imágenes, y más recientemente han integrado inteligencia artificial generativa para crear perfiles visuales completamente nuevos y convincentes (14). Esta evolución técnica, combinada con un conocimiento cada vez más profundo de los procesos de contratación de las empresas tecnológicas, ha hecho que la detección sea significativamente más difícil (10).

2.5. Estado del arte: investigaciones académicas y reportes de inteligencia sobre el fenómeno

La literatura académica sobre el fraude laboral norcoreano es todavía incipiente, en parte debido a la naturaleza reservada de las operaciones de inteligencia y a la novedad del fenómeno (16). Hasta la fecha, la mayor parte del conocimiento disponible proviene de informes de inteligencia de fuentes abiertas, alertas gubernamentales y análisis técnicos de empresas de ciberseguridad (1).

Los informes del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas —cuyo mandato no fue renovado en marzo de 2024 tras el veto de Rusia en el Consejo de Seguridad, lo que supuso la disolución del panel— documentaron durante su vigencia la presencia de trabajadores norcoreanos de TI en empresas de todo el mundo, aunque con un nivel de detalle limitado por las restricciones de acceso a la información (7). Las agencias de inteligencia de los Estados Unidos, Japón y Corea del Sur han emitido alertas conjuntas sobre el riesgo que representan estos trabajadores —destacando la Alerta Conjunta de mayo de 2022 del FBI, la CISA y el Departamento del Tesoro sobre trabajadores de TI de la RPDC—, proporcionando indicadores técnicos y recomendaciones para las empresas (15). Sin embargo, estas alertas suelen ser de carácter general y no profundizan en la estructura organizativa de las células de fraude (13).

La contribución más significativa al conocimiento del fenómeno proviene de investigaciones técnicas detalladas realizadas por firmas de ciberseguridad como Nisos (1). El informe "People, Process, Personas", que constituye la base empírica central del presente artículo, es el primer análisis exhaustivo de una célula completa de fraude laboral norcoreana (9). Este informe documenta con un nivel de detalle sin precedentes la jerarquía organizativa de la célula, sus métricas operativas, sus tácticas de creación de identidades y su infraestructura técnica (1). La investigación revela que estas células no son grupos de individuos actuando de manera aislada, sino organizaciones altamente estructuradas con una clara división del trabajo y una coordinación centralizada (11).

El análisis de los datos de esta célula en particular ha permitido establecer que los operativos son capaces de generar miles de solicitudes de empleo por semana, utilizando herramientas automatizadas para adaptar sus currículos a cada descripción de puesto (4). La tasa de conversión de solicitudes a entrevistas es de aproximadamente el 13 %, y de entrevistas a ofertas es inferior al 1 %, pero la escala masiva de las solicitudes hace que incluso tasas bajas de éxito resulten en decenas de ofertas de trabajo (1). Este enfoque de "volumen industrial", combinado con la sofisticación técnica y la coordinación jerárquica, representa un cambio de paradigma en la amenaza que supone Corea del Norte para el sector tecnológico global (12).

3. METODOLOGÍA DE INVESTIGACIÓN

3.1. Diseño de la investigación

La investigación que sustenta el presente artículo se fundamenta en un diseño metodológico mixto que combina técnicas de inteligencia de fuentes abiertas (OSINT), análisis forense digital y estudio de caso operativo (1). El punto de partida de la investigación fue un incidente específico ocurrido en junio de 2025, cuando un candidato que aplicó a un puesto de arquitecto líder de inteligencia artificial en una firma de ciberseguridad estadounidense despertó sospechas por irregularidades en su documentación y perfil profesional (10). Este caso inicial permitió a los investigadores desplegar una operación de inteligencia controlada para mapear toda una red de fraude laboral (1).

El diseño de la investigación se estructuró en cuatro fases secuenciales (16):

Fase 1: Detección y verificación inicial.

Los investigadores identificaron al candidato sospechoso mediante un análisis de diligencia debida preempleo que incluyó la verificación de documentos de identidad, la revisión de perfiles en redes profesionales y la formulación de preguntas técnicas específicas durante las entrevistas (10). Las respuestas evasivas y las inconsistencias en la documentación condujeron a la decisión de profundizar en la investigación (1).

Fase 2: Operación de inteligencia controlada.

Los investigadores condujeron al candidato a creer que había sido seleccionado para un puesto de contratista ficticio y enviaron un ordenador portátil a una dirección en Florida proporcionada por el operativo (5). Este dispositivo, configurado con herramientas de monitorización y tokens canario, permitió a los investigadores observar la actividad técnica de la célula y rastrear las conexiones remotas (13).

Fase 3: Mapeo de la red.

A partir de los datos obtenidos del dispositivo monitorizado, los investigadores identificaron patrones de comunicación, infraestructura técnica y otros miembros de la célula (1). El análisis de los mensajes en servidores de Discord y los registros en dashboards de Vercel permitió reconstruir la jerarquía organizativa y las métricas operativas del grupo (11).

Fase 4: Análisis y atribución.

Los hallazgos se contrastaron con informes previos de inteligencia y alertas gubernamentales para establecer la atribución a Corea del Norte con un alto grado de confianza (2). Se utilizaron indicadores técnicos específicos, patrones operativos y referencias geográficas para confirmar el origen estatal de la operación (1).

3.2. Fuentes de datos y criterios de selección

La investigación se basó en múltiples fuentes de datos que abarcan desde comunicaciones internas de la célula hasta telemetría de red y perfiles públicos en plataformas profesionales (16). Los criterios de selección de estas fuentes se orientaron a garantizar la relevancia, fiabilidad y verificabilidad de la información (1).

Comunicaciones internas.

La fuente más rica de información provino del análisis de miles de mensajes en un servidor de Discord utilizado por la célula para la coordinación diaria (1). Este servidor incluía canales dedicados a la publicación de estadísticas diarias de entrevistas, alertas sobre verificaciones de referencias, solicitudes de facilitadores y reportes de estafas (11). Los mensajes, que abarcaban desde febrero de 2025, revelaron la estructura jerárquica del grupo, sus métricas de rendimiento y sus procedimientos operativos estándar (1).

Dashboards de rendimiento.

La célula utilizaba un dashboard alojado en Vercel.app para rastrear métricas clave como el número de aplicaciones enviadas, entrevistas realizadas y ofertas recibidas por cada operativo (1). Este dashboard también incluía un calendario agregado de todas las personas, permitiendo a los operativos coordinar entrevistas y reuniones para evitar conflictos de horario (11). El acceso a esta herramienta proporcionó datos cuantitativos precisos sobre la escala de la operación (1).

Telemetría de red y dispositivos.

El análisis del portátil enviado al facilitador en Florida permitió capturar imágenes de la infraestructura técnica de la célula (5). Se identificaron conexiones a través de Astrill VPN, el uso de dispositivos PiKVM para acceso remoto indetectable y la adopción de Tailscale para crear redes mesh cifradas (10). Estos datos técnicos proporcionaron evidencia sólida de las TTPs utilizadas por los operativos (2).

Perfiles públicos en plataformas profesionales.

Los investigadores analizaron perfiles de LinkedIn, repositorios de GitHub y otras plataformas profesionales asociadas con las identidades falsas (4). La reutilización de contenido, las inconsistencias en las fechas de empleo y la manipulación de imágenes fotográficas fueron indicadores clave de fraude (8).

Alertas gubernamentales e informes de inteligencia.

Los hallazgos se contrastaron con la Alerta Conjunta de mayo de 2022 del FBI, la CISA y el Departamento del Tesoro de los Estados Unidos sobre trabajadores de TI de la RPDC, así como con alertas posteriores de agencias de inteligencia de Japón y Corea del Sur (7). Estas fuentes proporcionaron un contexto adicional sobre las sanciones internacionales y las campañas previas de obtención de divisas de Corea del Norte (15).

3.3. Técnicas de análisis

El análisis de los datos recopilados requirió la aplicación de múltiples técnicas especializadas, adaptadas a la naturaleza de cada fuente de información (16).

Análisis de comunicaciones.

Los mensajes de Discord se analizaron mediante técnicas de minería de texto para identificar patrones de comunicación, roles dentro de la célula y procedimientos operativos (1). El análisis de frecuencia de términos permitió identificar conceptos clave como natives, bidders y personas, así como referencias geográficas específicas como "Tarak" en alusión a Taraksan (1). La estructura de los canales de Discord y las interacciones entre los miembros revelaron la jerarquía organizativa, incluyendo la presencia de un administrador, dos gerentes y tres líderes de equipo (11).

Análisis forense de dispositivos.

El portátil enviado al facilitador fue objeto de un análisis forense exhaustivo que incluyó la extracción de metadatos, el análisis de tráfico de red y la identificación de software instalado (5). Se detectaron conexiones a direcciones IP asociadas con Astrill VPN en múltiples ocasiones, así como la presencia de software de acceso remoto y herramientas de manipulación de documentos (10). El análisis de los tokens canario desplegados en el dispositivo permitió rastrear el acceso a servicios en línea y la exfiltración de datos (13).

Análisis de perfiles en línea.

Los perfiles de LinkedIn y GitHub fueron analizados mediante técnicas de búsqueda inversa de imágenes, verificación de metadatos y comparación de patrones de contenido (8). Se identificaron casos de reutilización de texto entre perfiles diferentes, así como la manipulación de fotografías mediante herramientas digitales (2). El análisis de los repositorios de GitHub reveló la existencia de herramientas personalizadas para la generación automatizada de currículos (4).

Análisis comparativo de TTPs.

Las tácticas, técnicas y procedimientos observados se compararon con los descritos en informes previos de inteligencia y alertas gubernamentales (2). Esta comparación permitió establecer similitudes con patrones documentados en campañas norcoreanas anteriores, incluyendo el uso de identidades apropiadas, la solicitud de envío de hardware a direcciones diferentes de las declaradas y el uso de ciertas personas como referencias de empleo para múltiples candidatos (1).

Análisis geoespacial.

Las referencias geográficas identificadas en las comunicaciones se analizaron utilizando herramientas de geolocalización de IP y bases de datos de infraestructura de red (7). Se identificaron conexiones desde ubicaciones en Asia, consistentes con la presencia física de operativos en Corea del Norte y otros países (1).

3.4. Limitaciones y consideraciones éticas

Toda investigación de inteligencia presenta limitaciones inherentes que deben ser reconocidas y abordadas de manera transparente (16).

Limitaciones metodológicas.

La investigación se fundamenta en gran medida en fuentes abiertas y en datos obtenidos a través de una operación de inteligencia controlada (1). Aunque se utilizaron múltiples fuentes para corroborar los hallazgos, no fue posible verificar directamente la identidad o ubicación de todos los operativos (10). El análisis de las comunicaciones internas proporciona una visión desde dentro de la célula, pero puede estar sujeto a sesgos o a la manipulación deliberada por parte de los operativos (11).

Limitaciones en la cobertura temporal.

Los datos analizados cubren principalmente el período entre diciembre de 2024 y septiembre de 2025 (1). No es posible determinar si la célula operó antes de esta fecha o si continuó operando después de la identificación y notificación a las empresas afectadas (13). La dinámica de las células de fraude laboral es probablemente fluida, con miembros que entran y salen del grupo, y con tácticas que evolucionan en respuesta a las medidas defensivas (2).

Limitaciones en la atribución.

Aunque los investigadores evalúan con alta confianza que la célula está vinculada al Estado norcoreano, la atribución definitiva en el ciberespacio es siempre compleja (1). Los indicadores técnicos y operativos, aunque consistentes con campañas previas, no constituyen prueba concluyente de patrocinio estatal directo (2). Sin embargo, la estructura jerárquica, la escala de la operación y la complejidad de la infraestructura sugieren un nivel de organización y recursos que excede las capacidades de grupos de ciberdelincuentes independientes (7).

Consideraciones éticas.

La investigación se condujo bajo estrictos protocolos éticos para proteger la identidad de las víctimas de robo de identidad y para evitar causar daños a los facilitadores locales o natives que pudieran estar actuando bajo coacción o sin pleno conocimiento de la naturaleza ilícita de la operación (1). Las empresas afectadas fueron notificadas de manera confidencial para que pudieran adoptar medidas correctivas sin exponer públicamente sus vulnerabilidades (10). La información sensible que podría comprometer investigaciones en curso se ha omitido o presentado de manera agregada para evitar la interferencia con las actividades de las agencias de aplicación de la ley (16).

4. LA CÉLULA DE FRAUDE LABORAL NORCOREANA: ESTRUCTURA Y ORGANIZACIÓN

4.1. Jerarquía operativa: Administrador, gerentes y líderes de equipo

La célula de fraude laboral identificada por Nisos operaba con una estructura jerárquica claramente definida que reflejaba una organización empresarial legítima, aunque dedicada a actividades ilícitas (1). Esta jerarquía permitía una coordinación eficiente de las actividades de los operativos y aseguraba que las ganancias se distribuyeran de manera controlada dentro de la organización (11).

En la cúspide de la estructura se encontraba el Administrador, un operativo de alto nivel que mantenía el control general de todas las operaciones de la célula (1). El administrador era responsable de la creación y gestión de los canales de comunicación —incluyendo el servidor de Discord y el dashboard de Vercel—, así como de establecer las políticas operativas que guiaban las actividades del grupo (11). Los investigadores solo identificaron a un administrador dentro de la jerarquía de la célula, lo que sugiere un modelo de liderazgo centralizado (1).

Por debajo del administrador se encontraba el Administrative Manager o gerente administrativo, un rol definido por los investigadores para describir a un operativo que gestionaba y se comunicaba con los natives y con los brokers que proporcionaban identidades robadas (1). Este gerente facilitaba la transferencia de información de identidad entre los brokers y los operativos, y también aplicaba a puestos de trabajo y ejecutaba tareas técnicas como el resto de los miembros de la célula (11).

El siguiente nivel jerárquico estaba compuesto por los Team Leads o líderes de equipo, operativos responsables de supervisar a grupos de tres a cuatro operativos (1). Los líderes de equipo rastreaban métricas clave como el número de aplicaciones enviadas, las entrevistas realizadas y las ofertas recibidas por cada miembro de su equipo (11). También orientaban la estrategia operativa de su grupo, proporcionando directrices sobre qué tipos de puestos priorizar y cómo mejorar las tasas de éxito en las entrevistas (1). Los líderes de equipo compartían sus conocimientos y experiencias con el resto de la célula a través del servidor de Discord, contribuyendo a un proceso de aprendizaje organizativo continuo (13).

4.2. Roles y responsabilidades de los operativos

Los operativos constituían el núcleo de la célula y eran responsables de la ejecución diaria de las actividades de fraude (1). Cada operativo gestionaba entre una y cuatro personas o identidades falsas, y era responsable de cada identidad a lo largo de todo el ciclo de vida del empleo, desde la solicitud inicial hasta el desempeño laboral (11). Esta responsabilidad integral aseguraba que cada identidad mantuviera consistencia y credibilidad a lo largo del tiempo (1).

Los operativos tenían la discreción de completar el trabajo técnico de sus puestos ellos mismos —lo que les permitía retener la mayor parte del salario— o de subcontratar las tareas a un bidder que reportaba directamente al operativo que lo contrataba (1). Esta flexibilidad permitía a los operativos escalar sus esfuerzos de empleo gestionando múltiples identidades simultáneamente (11). En algunos casos documentados, los operativos contrataban a bidders de países como India, Kenia y Nigeria para realizar el trabajo técnico, pagándoles una parte del salario mientras retenían el resto para la célula y para el régimen norcoreano (1).

Un aspecto notable de la operación era la estricta disciplina de los operativos en cuanto a la aplicación de medidas de seguridad operativa (OPSEC) (1). Los operativos se comunicaban exclusivamente en inglés para evitar la detección, utilizaban iniciales de tres letras en lugar de nombres completos en Discord y en el dashboard de Vercel, y evitaban registrar dominios públicos o vincular propiedades web identificables a su infraestructura (11). Estas medidas dificultaban la atribución y protegían la identidad de los miembros de la célula (1).

4.3. El concepto de "nativos" y su papel como facilitadores en Estados Unidos

Uno de los elementos más distintivos de la operación era el uso de natives —ciudadanos estadounidenses o residentes legales en Estados Unidos— que actuaban como facilitadores para la célula (1). El término, empleado por los propios operativos en sus comunicaciones, refleja la importancia estratégica de estas personas para el éxito de la operación (5).

Los natives cumplían múltiples funciones críticas para la célula (1):

Recepción y configuración de hardware.

Los natives recibían los ordenadores portátiles que las empresas empleadoras enviaban a las direcciones de las identidades falsas (5). Una vez recibidos, configuraban los dispositivos y los conectaban a la infraestructura de la célula, permitiendo a los operativos en el extranjero acceder a ellos de forma remota (13). Esta función era esencial porque las empresas a menudo requerían que los dispositivos corporativos estuvieran ubicados físicamente en Estados Unidos (1).

Participación en entrevistas y pruebas de drogas.

En algunos casos, los natives asistían a entrevistas de vídeo como la persona visible frente a la cámara, mientras los operativos proporcionaban respuestas técnicas a través de dispositivos PiKVM (5). Los natives también completaban pruebas de detección de sustancias y otros requisitos de incorporación (onboarding) que requerían presencia física en Estados Unidos (1). Por estos servicios, los natives recibían compensaciones específicas, como 300 dólares por completar una prueba de drogas (1).

Gestión de laptop farms.

Los natives operaban laptop farms que consistían en múltiples dispositivos corporativos configurados para diferentes identidades y empleadores (5). Estas instalaciones permitían a los operativos gestionar varios puestos de trabajo simultáneamente, alternando entre dispositivos según fuera necesario (1). Los natives mantenían los dispositivos en funcionamiento, asegurando que estuvieran conectados a Internet y accesibles remotamente (13).

Apertura de cuentas bancarias.

Los natives ayudaban a los operativos a abrir cuentas bancarias a nombre de las identidades falsas, permitiendo que los salarios de los empleadores se depositaran y luego se transfirieran a los operativos mediante tokens ERC-20 (1). Este proceso era fundamental para la elusión de los controles financieros y las sanciones internacionales (11).

El reclutamiento de natives se realizaba a través de plataformas como Reddit, Chaturbate y Discord, a menudo aprovechando situaciones de vulnerabilidad económica (1). Los operativos ofrecían a los natives entre el 20 % y el 50 % del salario del puesto, dependiendo del nivel de participación y responsabilidad (11).

4.4. Los "bidders" como fuerza de trabajo externalizada

Además de los natives, la célula utilizaba bidders —trabajadores externalizados, a menudo ubicados en países en desarrollo— para realizar el trabajo técnico de los puestos obtenidos (1). El término bidder se utilizaba en dos sentidos dentro de las comunicaciones de la célula: para referirse a los operativos que aplicaban a puestos de trabajo y para referirse a los trabajadores subcontratados que realizaban las tareas técnicas (11).

Los bidders externos eran contratados por los operativos para completar las responsabilidades laborales de las identidades falsas, permitiendo a los operativos escalar sus esfuerzos de empleo (1). Los operativos reclutaban bidders de países como India, Kenia y Nigeria, aprovechando la disponibilidad de talento técnico a bajo costo (13). Los bidders recibían una parte del salario del puesto, mientras que los operativos retenían el resto para la célula (1).

Los operativos supervisaban a los bidders mediante herramientas de acceso remoto como AnyDesk, observando su trabajo en tiempo real para asegurar la calidad y detectar posibles errores que pudieran exponer la operación (5). El bajo rendimiento de un bidder podría levantar sospechas entre los empleadores y poner en riesgo la identidad falsa (1). Este modelo de negocio, similar a una empresa de subcontratación de personal, maximizaba los ingresos de la célula mientras minimizaba el esfuerzo requerido de cada operativo (13).

4.5. Coordinación interna y sistemas de comunicación

La coordinación interna de la célula se articulaba en torno a dos sistemas principales: un servidor de Discord y un dashboard alojado en Vercel (1). Estos sistemas permitían una comunicación en tiempo real y un seguimiento detallado del rendimiento de los operativos (11).

El servidor de Discord, establecido a finales de febrero de 2025, era el principal canal de comunicación interna (1). El servidor incluía múltiples canales con funciones específicas:

  • Canal de estadísticas diarias: Los operativos publicaban diariamente el número de entrevistas realizadas y los resultados obtenidos (1).
  • Canal de verificaciones de referencias: Los operativos alertaban sobre solicitudes de verificación de referencias entrantes, coordinando las respuestas para mantener la coherencia entre las identidades falsas (11).
  • Canal de solicitudes de nativos: Los operativos coordinaban la contratación y gestión de natives, compartiendo información sobre disponibilidad y tarifas (1).
  • Canal de reportes de estafas: Los operativos compartían información sobre brokers fraudulentos u otros riesgos para la operación (11).

El dashboard de Vercel, establecido a finales de mayo de 2025, complementaba el servidor de Discord proporcionando datos cuantitativos agregados sobre el rendimiento de la célula (1). El dashboard incluía:

  • Leaderboard de rendimiento: mostraba el número de aplicaciones, entrevistas y ofertas de cada operativo, posibilitando la comparación y la competencia interna (1).
  • Calendario agregado: mostraba todas las citas de entrevistas y reuniones de todos los operativos, permitiendo la coordinación para evitar conflictos (11).
  • Métricas de conversión: calculaba las tasas de conversión de aplicaciones a entrevistas y de entrevistas a ofertas, proporcionando información sobre la efectividad de las tácticas (1).

5. METODOLOGÍA DE CREACIÓN Y GESTIÓN DE PERSONAS FALSAS

5.1. Adquisición de identidades estadounidenses

La creación de una persona —el término empleado en el presente estudio para describir la identidad falsa construida por los operativos— comenzaba con la adquisición de información personal de ciudadanos estadounidenses legítimos (1). Este proceso de "lavado de identidad" era fundamental para el éxito de la operación, ya que las empresas empleadoras realizaban verificaciones de antecedentes que requerían documentos de identidad válidos y verificables (10).

Los operativos obtenían paquetes de identidad completos a través de brokers especializados que operaban en plataformas de mensajería cifrada como Telegram (1). Un broker identificado como @accountproviderforyou ofrecía paquetes que incluían un número de Seguro Social válido, una licencia de conducir con fotografía y una selfie del titular de la identidad por un costo de aproximadamente 120 dólares (1). Los precios variaban según el tipo de documento: los números de Seguro Social individuales podían adquirirse por 20 dólares, mientras que las licencias de conducir con datos reales alcanzaban los 70 dólares (11). La misma fuente ofrecía cuentas bancarias y de pago (Payoneer, PayPal, Wise) por entre 50 y 300 dólares, así como cuentas de Discord con antigüedad verificada por menos de 20 dólares (1).

La verificación incluía la comprobación de la validez del SSN en servicios como ssn-verify.com, la verificación del registro en el Servicio Selectivo de los Estados Unidos a través de sss.gov/verify, y la búsqueda de la identidad en bases de datos de información pública como TruthFinder (1).

5.2. Verificación y validación de identidades robadas

Una vez adquirida la identidad base, los operativos realizaban un proceso de validación riguroso para asegurar que la identidad pudiera resistir las verificaciones de las empresas (1). Este proceso incluía varios pasos sistemáticos (10):

Verificación del número de Seguro Social.

Los operativos utilizaban servicios en línea para confirmar que el SSN adquirido correspondía a una persona real y que no había sido reportado como fallecido o fraudulento (1). La verificación también incluía la comprobación de que el número estaba activo y podía ser utilizado para fines de empleo (11).

Verificación de la licencia de conducir.

Los operativos escaneaban los códigos de barras de las licencias de conducir adquiridas utilizando herramientas como Dynamsoft Barcode Reader (1). Este proceso permitía extraer todos los datos codificados en la licencia y confirmar que coincidían con la información textual del documento (11). Si la licencia era falsificada, los operativos manipulaban digitalmente la fotografía para que coincidiera con la apariencia del operativo o del native que asistiría a las entrevistas (1).

Verificación de la dirección física.

Los operativos confirmaban que la dirección asociada con la identidad era una ubicación residencial real en Estados Unidos (5). Esta verificación era crítica porque las empresas a menudo enviaban dispositivos corporativos y documentación a la dirección declarada por el candidato (13). En algunos casos, los operativos utilizaban direcciones de natives para asegurar que los paquetes pudieran ser recibidos físicamente (1).

Verificación de la huella digital.

Los operativos buscaban la identidad en motores de búsqueda y redes sociales para confirmar que no había sido utilizada previamente en fraudes o que no presentaba una presencia en línea que pudiera generar sospechas (8). Si la identidad tenía una presencia en línea limitada, los operativos podían construir perfiles profesionales desde cero sin levantar alarmas (2).

5.3. Creación de huella digital completa

La construcción de una persona creíble requería la creación de una huella digital completa que incluyera perfiles en plataformas profesionales, cuentas de correo electrónico y, en algunos casos, sitios web de portafolio (1). Este proceso, conocido como backstopping, era esencial para superar las verificaciones de antecedentes y las entrevistas técnicas (8).

Creación de cuentas de correo electrónico.

Los operativos creaban cuentas de correo electrónico en servicios como Gmail utilizando el nombre de la identidad falsa (1). Estas cuentas se utilizaban para la comunicación con los empleadores, para el registro en plataformas de empleo y para la creación de perfiles en redes sociales (11). Los operativos aseguraban que las cuentas tuvieran una actividad mínima pero creíble, evitando patrones detectables como automatizados (1).

Creación de perfiles de LinkedIn.

Los operativos creaban perfiles de LinkedIn detallados para cada identidad falsa (8). Los perfiles incluían historiales laborales, habilidades técnicas, recomendaciones de otros perfiles falsos y conexiones con otros profesionales (1). La construcción de estos perfiles era cuidadosa y meticulosa; los operativos empleaban herramientas de generación de currículos para adaptar las descripciones de los puestos a las habilidades demandadas (4). En algunos casos, los operativos utilizaban inteligencia artificial para generar publicaciones y contenido profesional que aumentara la credibilidad del perfil (12).

Creación de perfiles de GitHub.

Los operativos también creaban perfiles de GitHub con repositorios de código y contribuciones a proyectos de código abierto (4). Estos perfiles proporcionaban evidencia adicional de habilidades técnicas y experiencia profesional, reforzando la credibilidad de la identidad falsa (2). En algunos casos, los operativos reutilizaban contenido de repositorios existentes o empleaban herramientas automatizadas para generar actividad creíble en GitHub (3).

Creación de sitios web de portafolio.

Los operativos creaban sitios web de portafolio que exhibían proyectos técnicos y experiencia profesional (1). Estos sitios, a menudo alojados en plataformas como Vercel, servían como evidencia adicional de las habilidades del candidato (11). En un caso documentado, los operativos crearon una empresa ficticia, 710TECH LI, con un sitio web que incluía información sobre la empresa y perfiles de empleados falsos (3).

5.4. Sistema de validación de referencias de bucle cerrado

Uno de los elementos más sofisticados de la operación era el sistema de validación de referencias de bucle cerrado, diseñado para superar las verificaciones de referencias laborales que las empresas realizan durante el proceso de contratación (1). Este sistema aprovechaba la estructura jerárquica de la célula y la multiplicidad de identidades falsas para crear un ecosistema de referencias mutuas (11).

El servidor de Discord de la célula incluía un canal dedicado exclusivamente a la coordinación de referencias laborales (1). En este canal, los operativos mantenían una lista actualizada de todas las personas disponibles —incluyendo sus direcciones de correo electrónico y números de teléfono— que podían ser utilizadas como referencias (11). Cuando un operativo necesitaba una referencia para una identidad falsa, publicaba una solicitud en el canal especificando el rol y el empleador que debía representar la referencia (1).

Otros operativos, actuando bajo sus identidades falsas, proporcionaban la referencia requerida, confirmando el historial laboral y las habilidades de la persona (11). En algunos casos, los operativos proporcionaban incluso texto de muestra sobre lo que la referencia debería decir si era contactada (1). Este sistema de referencias cruzadas aseguraba que todas las verificaciones de antecedentes condujeran a otros miembros de la célula, creando un circuito cerrado de validación extremadamente difícil de detectar (13).

5.5. Empresas ficticias como respaldo (caso 710TECH LI)

Además de las referencias individuales, la célula estableció una empresa ficticia completa, 710TECH LI, para proporcionar respaldo de empleo previo a las identidades falsas (3). Esta empresa, con sede declarada en Plano, Texas, se presentaba como una consultora de soluciones tecnológicas que ofrecía servicios de desarrollo de software y automatización (1).

El sitio web de 710TECH LI, alojado en Vercel, incluía información detallada sobre la empresa y perfiles de sus empleados (3). Los empleados ficticios —incluyendo un CEO y un ingeniero de software sénior— correspondían a las personas de los operativos de la célula (1). Aunque los investigadores no encontraron evidencia de que los operativos hubieran utilizado activamente 710TECH LI como referencia de empleo en sus solicitudes, su existencia sugiere que los operativos estaban preparando una capa adicional de respaldo para sus identidades (1).

5.6. Documentación falsificada y manipulación de metadatos

La creación de documentación falsificada era un componente crítico de la operación, especialmente durante la fase de onboarding (1). Los operativos utilizaban plantillas para crear formularios W-2 y recibos de pago falsificados que demostraban empleo previo y antecedentes financieros consistentes con las identidades falsas (11).

La falsificación de documentos requería el uso de herramientas de manipulación de imágenes, como Adobe Photoshop, para modificar los datos y las firmas en los documentos (1). Los operativos compartían plantillas en el servidor de Discord, lo que permitía que todos los miembros de la célula pudieran generar documentos falsificados de manera rápida y eficiente (11). Un aspecto particularmente sofisticado era la atención al detalle en la manipulación de metadatos: los operativos utilizaban herramientas en línea para eliminar la información de creación, el autor y el software utilizado para crear el documento, reduciendo el riesgo de que los empleadores detectaran inconsistencias (1).

6. TÉCNICAS DE INFILTRACIÓN: DESDE LA SOLICITUD HASTA LA CONTRATACIÓN

6.1. Estrategias de aplicación masiva

La célula de fraude laboral operaba con un enfoque de "volumen industrial" que maximizaba las posibilidades de éxito mediante la inundación del mercado laboral con solicitudes de empleo (1). Los datos de la célula revelan que 22 operativos presentaron 166.893 solicitudes de empleo en aproximadamente nueve meses, lo que equivale a un promedio de más de 600 solicitudes por operativo por semana (1).

La estrategia de aplicación masiva se desplegaba a través de múltiples canales y plataformas (1). Los operativos utilizaban plataformas de empleo convencionales como LinkedIn, Indeed y ZipRecruiter, así como plataformas especializadas en el sector tecnológico como JsJobs, Otta y YCombinator (11). Los operativos también recurrían a canales menos convencionales, como servidores de Discord dedicados a ofertas de empleo y grupos de Slack especializados (1). Un operativo reportó haber tenido mayor éxito con JsJobs, Slack y Discord, lo que sugiere que las plataformas más especializadas ofrecían menos competencia y mejores tasas de respuesta (11).

La temporalidad de las aplicaciones también era un factor estratégico (1). Los líderes de equipo recomendaban aplicar durante las primeras horas de la mañana, entre las 4:00 y las 7:00 a.m. CST, y durante las horas del mediodía, entre las 11:00 a.m. y la 1:00 p.m. CST (11). Estos horarios se seleccionaban para alinear las aplicaciones con el inicio de la jornada laboral en Estados Unidos, aumentando la probabilidad de que los reclutadores vieran las solicitudes en las primeras horas del día (1).

6.2. Generación automatizada de currículos (SwiftCV)

La generación de currículos personalizados para cada solicitud requería una herramienta de generación automatizada. Para abordar este desafío, la célula empleaba una utilidad basada en GitHub conocida como SwiftCV (4). Esta herramienta permitía a los operativos generar currículos adaptados a descripciones de puestos específicas mediante la extracción de palabras clave y frases relevantes de la oferta de empleo, que luego eran incorporadas al currículo del operativo (1).

SwiftCV también incluía funcionalidades de exclusión que permitían a los operativos evitar ciertos tipos de puestos —aquellos que requerían autorización de seguridad, los que no eran remotos o aquellos a los que ya habían aplicado anteriormente (11)—. El uso de SwiftCV estaba estrechamente integrado con el dashboard de Vercel utilizado por la célula para rastrear métricas: cada aplicación generada era registrada automáticamente, proporcionando visibilidad en tiempo real de la actividad de la célula (4).

6.3. Segmentación de objetivos y exclusión estratégica

Los líderes de equipo proporcionaban orientación específica sobre los tipos de puestos que los operativos debían priorizar y, más importante, aquellos que debían evitar (1). Los puestos prioritarios eran aquellos que ofrecían altos salarios, entornos de trabajo remoto y procesos de contratación técnicos manipulables con IA (1). Los operativos se centraban en roles de desarrollo e ingeniería, incluyendo desarrolladores full-stack, ingenieros de software sénior, arquitectos de datos y especialistas en tecnologías como React, .NET, Angular, Next, Node, Python y Ruby (11). Estos roles representaban el 71,7 % de todos los puestos perseguidos (1).

Los puestos que los operativos debían evitar activamente incluían roles de ciberseguridad, ingeniería integrada (embedded engineer), arquitectura, gerencia, staff, principal y vicepresidencia (1). La exclusión de roles de ciberseguridad era particularmente notable: aunque estos puestos podrían haber proporcionado acceso a información sensible y sistemas críticos, los procesos de verificación de antecedentes más rigurosos hacían que el riesgo de detección fuera inaceptablemente alto (13).

6.4. Proceso de entrevista con asistencia de IA

La fase de entrevista era el punto más crítico del proceso de infiltración, ya que requería una interacción en tiempo real con reclutadores y gerentes de contratación (1). Para superar este desafío, los operativos desarrollaron un sistema sofisticado de asistencia con IA que les permitía proporcionar respuestas técnicas precisas y convincentes durante las entrevistas (12).

El sistema de asistencia con IA funcionaba mediante dos modelos principales (13):

Modelo con native como empleado de cara al público.

El native aparecía en pantalla durante la entrevista, manteniendo el contacto visual y la interacción social con el entrevistador (1). El operativo, conectado remotamente a través de un dispositivo PiKVM, proporcionaba las respuestas técnicas en tiempo real, utilizando ChatGPT para generarlas e inyectándolas en la pantalla del native a través del dispositivo (13).

Modelo con operativo como empleado de cara al público.

El operativo aparecía directamente en pantalla como el candidato (1). El operativo utilizaba ventanas transparentes de ChatGPT superpuestas en la imagen de vídeo del entrevistador: el sistema escuchaba en tiempo real las preguntas del entrevistador, generaba respuestas y las mostraba en la pantalla del operativo, quien las leía manteniendo un flujo de conversación aparentemente natural (12-13).

6.5. Entrenamiento de acento y localización cultural

La capacidad de los operativos para pasar desapercibidos durante las entrevistas dependía no solo de su conocimiento técnico, sino también de su capacidad para simular un acento estadounidense y demostrar familiaridad con la cultura laboral del país (1). La célula empleaba herramientas de software especializadas como BoldVoice Accent Oracle y vocalimage.app, que proporcionaban retroalimentación sobre la pronunciación y la entonación (12).

La localización cultural era igualmente importante (1). Los operativos investigaban detalles específicos de la ubicación de la empresa —el clima, las universidades locales, los equipos deportivos y los eventos culturales— y los mencionaban durante las entrevistas para crear una impresión de autenticidad (12). Los operativos también ensayaban historias de vida y trayectorias profesionales consistentes con el perfil de la persona hasta que podían contarlas de manera fluida y convincente (1).

6.6. Onboarding y documentación fraudulenta

Una vez que los operativos obtenían una oferta de trabajo, la fase de onboarding presentaba un conjunto adicional de desafíos (1). Los operativos compartían plantillas de documentación falsificada en el servidor de Discord, incluyendo formularios W-2 y recibos de pago (1). La configuración de dispositivos corporativos requería una coordinación precisa entre operativos y natives: los natives recibían los dispositivos, los configuraban según las instrucciones de los operativos y los conectaban a la infraestructura de la célula (5). Los operativos utilizaban PiKVM para acceder a los dispositivos de forma remota, trabajando como si estuvieran físicamente presentes en la ubicación de la empresa (5).

7. INFRAESTRUCTURA TÉCNICA Y OPERATIVA

7.1. Granjas de portátiles en suelo estadounidense

La infraestructura técnica que sustentaba la operación de fraude laboral se articulaba en torno a un concepto central: las laptop farms ubicadas físicamente en Estados Unidos y gestionadas por los natives (5). Estas instalaciones consistían en colecciones de ordenadores portátiles corporativos —configurados para diferentes identidades y empleadores— que permitían a los operativos en el extranjero acceder a redes corporativas como si estuvieran trabajando desde ubicaciones aprobadas en Estados Unidos (1).

El funcionamiento de una laptop farm implicaba varios pasos coordinados (5):

  • Recepción de dispositivos: Las empresas empleadoras enviaban los portátiles corporativos a las direcciones físicas de las identidades falsas, que en realidad eran domicilios de los natives (1).
  • Configuración inicial: Los natives configuraban los dispositivos según las instrucciones de los operativos, incluyendo la instalación de software de acceso remoto, la configuración de VPNs y la conexión a la infraestructura de la célula (1).
  • Mantenimiento continuo: Los natives mantenían los dispositivos en funcionamiento, asegurando que estuvieran conectados a Internet y que el software de acceso remoto funcionara correctamente (5).
  • Rotación de dispositivos: Cuando un operativo obtenía un nuevo empleo se añadía un nuevo dispositivo a la granja; cuando un empleo terminaba, el dispositivo se retiraba (5).

7.2. PiKVM y acceso remoto indetectable

El componente técnico más sofisticado de la infraestructura era el uso de dispositivos PiKVM, que permitían a los operativos acceder de forma remota a los portátiles corporativos sin ser detectados por los sistemas de seguridad de las empresas (5). PiKVM, basado en la computadora de placa única Raspberry Pi, actúa como un conmutador de teclado, vídeo y ratón (KVM-over-IP) a través de Internet, permitiendo al usuario controlar un ordenador como si estuviera sentado frente a él (10).

El uso de PiKVM ofrecía varias ventajas operativas (5):

  • Indetectabilidad: El PiKVM se conecta al portátil a través de puertos USB y HDMI, sin requerir la instalación de software en el dispositivo corporativo (1). El software de monitoreo de la empresa no detectaba la presencia de herramientas de acceso remoto, ya que la conexión se realizaba a nivel de hardware (13).
  • Control total: Los operativos podían controlar completamente el portátil a través del PiKVM, incluyendo la capacidad de encender y apagar el dispositivo, acceder al BIOS y realizar tareas administrativas (5).
  • Bypass de autenticación: En algunos casos, los operativos utilizaban PiKVM para superar los requisitos de autenticación de dos factores (2FA), controlando el dispositivo físico para recibir y responder a las solicitudes de autenticación (13).

7.3. VPNs y redes mesh (Astrill, Tailscale)

Las redes privadas virtuales (VPN) y las redes mesh eran componentes esenciales de la infraestructura técnica, proporcionando capas adicionales de anonimización y seguridad para las conexiones de los operativos (10). La célula utilizaba principalmente dos servicios: Astrill VPN y Tailscale (1).

Astrill VPN era el servicio principal utilizado por los operativos para ocultar sus ubicaciones reales (10). Los análisis de los dispositivos capturados revelaron conexiones a las direcciones IP 167.88.61.250 y 167.88.61.117 (1). En al menos un caso documentado, el uso de VPN fue detectado por una empresa empleadora, que finalizó la entrevista al identificar la conexión como sospechosa (11).

Tailscale era utilizado para crear redes mesh cifradas entre los dispositivos de la célula (10). Tailscale, basado en el protocolo WireGuard, permite crear redes privadas virtuales entre dispositivos distribuidos geográficamente sin necesidad de configurar servidores VPN centralizados (1). Esta arquitectura descentralizada era particularmente útil para la célula, ya que permitía a los operativos, natives y bidders comunicarse de forma segura sin depender de infraestructuras centralizadas (13).

7.4. Herramientas de IA y ChatGPT para asistencia en entrevistas

La inteligencia artificial generativa —y específicamente ChatGPT— desempeñaba un papel central en la capacidad de la célula para superar las entrevistas técnicas (12). Los operativos utilizaban ChatGPT de dos maneras principales: para la asistencia en tiempo real durante las entrevistas, donde el sistema escuchaba las preguntas del entrevistador, generaba respuestas y las mostraba en pantalla (12-13); y para la preparación previa, practicando respuestas a preguntas comunes y generando ejemplos de proyectos y experiencias (12).

Además de ChatGPT, los operativos utilizaban otras herramientas de IA para la generación de currículos —SwiftCV— y la manipulación de imágenes de identidad, pegando sus rostros sobre las fotos de las identidades robadas o utilizando IA generativa para crear imágenes completamente nuevas (2).

7.5. Medidas de seguridad operativa (OPSEC)

La célula desplegaba un conjunto riguroso de medidas de seguridad operativa (OPSEC) para proteger la identidad de sus miembros y dificultar la detección de la operación (1). Estas medidas incluían:

  • Anonimización de identidades: Uso de iniciales de tres letras en lugar de nombres completos en Discord y en el dashboard de Vercel, y empleo de avatares en lugar de fotografías reales (1).
  • Segmentación de comunicaciones: Discord para la coordinación interna entre operativos; Telegram y WhatsApp para la comunicación con natives y brokers (11).
  • Comunicación exclusiva en inglés: Los operativos evitaban el uso de su idioma nativo para reducir el riesgo de detección basada en el idioma y dificultar la atribución geográfica (1).
  • Evitación de propiedades web identificables: Los operativos evitaban registrar dominios públicos o vincular propiedades web identificables a su infraestructura (1).
  • Ocultación de ubicaciones físicas: Aunque las referencias a Taraksan aparecían en algunas conversaciones, los operativos no proporcionaban información detallada sobre su paradero (11).

7.6. Dashboard Vercel para seguimiento de rendimiento

El dashboard alojado en Vercel era un componente central del sistema de gestión de la célula, proporcionando visibilidad en tiempo real del rendimiento de los operativos y de las métricas generales de la operación (1). El dashboard incluía un leaderboard de rendimiento, un calendario agregado con todas las citas de entrevistas y reuniones de todos los operativos, métricas de conversión —tasas de solicitud a entrevista y de entrevista a oferta— y un registro automático de cada aplicación enviada a través de SwiftCV (1, 11, 4).

8. ANÁLISIS CUANTITATIVO DE LA OPERACIÓN

8.1. Volumen de aplicaciones (166.893 en 9 meses)

Durante un período de aproximadamente nueve meses, entre diciembre de 2024 y septiembre de 2025, los 22 operativos de la célula presentaron un total de 166.893 solicitudes de empleo a empresas estadounidenses y de otros países occidentales (11). Esta cifra representa un promedio de más de 7.500 solicitudes por operativo durante todo el período, o aproximadamente 600 solicitudes semanales por cada operativo (1).

El volumen de aplicaciones presenta variaciones significativas a lo largo del período analizado (1). El ritmo de aplicaciones aumentó progresivamente a medida que la célula optimizaba sus procesos y herramientas, alcanzando su punto máximo en los meses de verano de 2025 (11). La herramienta SwiftCV fue un factor clave en la capacidad de la célula para mantener este ritmo sin comprometer la calidad de los perfiles (4).

8.2. Tasas de conversión: aplicación → entrevista → oferta

De las 166.893 aplicaciones enviadas, la célula logró asegurar al menos 21.645 entrevistas (11). Esta cifra representa una tasa de conversión de aplicaciones a entrevistas de aproximadamente el 13 % (1), notablemente alta para un proceso de contratación competitivo, lo que sugiere que los currículos generados por SwiftCV y los perfiles de LinkedIn construidos por la célula eran efectivos para captar la atención de los reclutadores (4).

De las 21.645 entrevistas realizadas, la célula obtuvo 76 ofertas de trabajo confirmadas (11), lo que representa una tasa de conversión de entrevistas a ofertas de aproximadamente el 0,35 % (1). Esta baja tasa sugiere que, aunque las solicitudes y los perfiles eran lo suficientemente convincentes como para generar interés, los operativos enfrentaban desafíos significativos durante las entrevistas técnicas y de comportamiento (13). La combinación de ambas tasas revela la lógica detrás del enfoque de volumen industrial: una tasa de éxito final baja pero con una escala masiva aseguraba un número significativo de ofertas de trabajo (1).

8.3. Distribución sectorial de ofertas

Las empresas de tecnología representaron el 42,6 % de todas las ofertas recibidas por la célula (11), seguidas por la consultoría (13,1 %), los servicios financieros (8,2 %) y la salud (8,2 %) (1). Los sectores defensa y gobierno representaron solo el 1,6 % de las ofertas —resultado coherente con la estrategia de segmentación de la célula, que instruía a los operativos a evitar puestos en el sector público y en la industria de defensa por el mayor rigor de sus procesos de verificación (11).

8.4. Roles y rangos salariales objetivo

Los desarrolladores representaban el 36,7 % de todos los roles perseguidos, mientras que los ingenieros representaban el 35 % (11). Juntos constituían el 71,7 % de todos los puestos perseguidos (1). Los roles específicos más perseguidos incluían desarrolladores full-stack, ingenieros de software sénior, arquitectos de datos y especialistas en React, .NET, Angular, Next, Node, Python y Ruby (1).

Los rangos salariales de los puestos obtenidos variaban desde 55.000 dólares para posiciones de nivel inicial hasta 230.000 dólares para roles sénior (1). La célula evitaba deliberadamente roles como ciberseguridad, ingeniería integrada, arquitectura, gerencia, staff, principal y vicepresidencia (1), cuya mayor probabilidad de verificación rigurosa los hacía menos atractivos desde el punto de vista del riesgo operativo.

8.5. Distribución geográfica y temporal de actividad

La concentración de aplicaciones en Estados Unidos responde a los salarios más altos y a la mayor prevalencia del trabajo remoto en el mercado laboral estadounidense (1). La célula también aplicaba a empresas en Europa y Japón, aunque en menor volumen (7). El análisis temporal revela que los líderes de equipo recomendaban aplicar durante las primeras horas de la mañana (4:00-7:00 a.m. CST) y durante las horas del mediodía (11:00 a.m.-1:00 p.m. CST), para alinear las aplicaciones con el inicio de la jornada laboral en Estados Unidos (11). Las entrevistas se programaban estratégicamente utilizando el calendario agregado del dashboard de Vercel para evitar conflictos de horario (1).

9. MODELOS DE EJECUCIÓN DEL TRABAJO

9.1. Modelo 1: Native como empleado de cara al público, operativo realiza el trabajo

En el primer modelo, el native completaba todas las tareas de onboarding que requerían presencia física en Estados Unidos —incluyendo pruebas de detección de sustancias, presentación de documentos de verificación de derecho a trabajar y configuración inicial de los dispositivos corporativos— y actuaba como el empleado visible en reuniones y videollamadas (5). El operativo, por su parte, realizaba todo el trabajo técnico de forma remota a través de PiKVM y Tailscale (5). La distribución de beneficios era típicamente equitativa, con el native y el operativo dividiendo el salario al 50 % (1). Este modelo ofrecía el mejor equilibrio entre autenticidad y control operativo, pero requería una relación de confianza con el native y una comunicación constante para asegurar la coherencia (1).

9.2. Modelo 2: Operativo como empleado de cara al público y trabajador

En el segundo modelo, el operativo asumía tanto el rol de empleado de cara al público como el de trabajador técnico (1). El native permanecía involucrado únicamente para proporcionar acceso físico a los dispositivos corporativos en Estados Unidos (5). Este modelo ofrecía mayor control al operativo —que retenía la mayor parte del salario— pero concentraba el riesgo en una sola persona (11). Era particularmente adecuado para operativos con habilidades técnicas avanzadas y con buena capacidad para simular un acento estadounidense de manera convincente (12).

9.3. Modelo 3: Operativo como empleado de cara al público, bidder realiza el trabajo

En el tercer modelo, el operativo actuaba como el empleado visible mientras el trabajo técnico era subcontratado a un bidder (1). Este modelo permitía al operativo escalar sus esfuerzos de empleo gestionando múltiples identidades y puestos de trabajo simultáneamente (11). Los bidders eran reclutados de países como India, Kenia y Nigeria, donde la disponibilidad de talento técnico a bajo costo era alta (1). El operativo supervisaba al bidder a través de herramientas de acceso remoto como AnyDesk, observando el trabajo en tiempo real para asegurar la calidad y detectar posibles errores que pudieran exponer la operación (5).

9.4. Análisis comparativo de riesgos y distribución de beneficios

Los tres modelos de ejecución del trabajo ofrecían diferentes perfiles de riesgo y distribución de beneficios, lo que permitía a la célula adaptar su enfoque según las circunstancias (1). La siguiente tabla sintetiza las compensaciones principales:

ModeloBeneficios para el operativoRiesgos principalesDistribución de salarioControl
Modelo 1: Native como fachada, operativo trabajadorAlta autenticidad; menor riesgo de detecciónRiesgo de errores del native; dependencia del native50/50 entre native y operativoMedio
Modelo 2: Operativo como fachada y trabajadorControl total; mayor retención de salarioMayor exposición personal; concentración de riesgoMayoría para el operativo; tarifa para el nativeAlto
Modelo 3: Operativo como fachada, bidder trabajadorEscalabilidad; gestión de múltiples puestosRiesgo de errores del bidder; menor calidad de trabajoVariable; operativo retiene parteBajo

La elección del modelo de ejecución también dependía de la naturaleza del puesto y del empleador (1). Los puestos con requisitos de presencia física frecuente o con verificación de identidad rigurosa favorecían el Modelo 1, mientras que los puestos con trabajo más autónomo y menos supervisión favorecían los Modelos 2 y 3 (11). La célula también podía cambiar de modelo a lo largo del tiempo, adaptándose a las circunstancias cambiantes y a las lecciones aprendidas (1).

10. ATRIBUCIÓN A COREA DEL NORTE Y EVIDENCIAS

10.1. Indicadores técnicos de atribución

La atribución de la célula de fraude laboral a Corea del Norte se fundamenta en un conjunto de indicadores técnicos que, en su conjunto, apuntan de manera consistente a actores estatales norcoreanos (1). Estos indicadores incluyen patrones de infraestructura, herramientas específicas y comportamientos operativos documentados en campañas previas atribuidas a la RPDC (2).

  • Uso de Astrill VPN: Los análisis de los dispositivos capturados revelaron conexiones a las direcciones IP 167.88.61.250 y 167.88.61.117 a través de Astrill VPN (1). El uso de este servicio es un patrón consistente con campañas previas de trabajadores de TI norcoreanos documentadas por el FBI y el Departamento del Tesoro (15).
  • Adopción de PiKVM: La utilización de dispositivos PiKVM para el acceso remoto indetectable ha sido documentada en informes previos del FBI y del Departamento del Tesoro como una característica distintiva de las operaciones de trabajadores de TI norcoreanos (15).
  • Uso de Tailscale: La adopción de Tailscale para crear redes mesh cifradas es consistente con la arquitectura descentralizada preferida por células distribuidas como la identificada en esta investigación (13).
  • Manipulación de metadatos y falsificación documental: Estas técnicas son consistentes con las descritas en alertas previas sobre trabajadores de TI norcoreanos emitidas por agencias de inteligencia de Estados Unidos, Japón y Corea del Sur (2).

10.2. Referencias geográficas a Taraksan

Las comunicaciones internas de la célula contienen referencias específicas a Taraksan, una montaña en Corea del Norte, que proporcionan evidencia geográfica adicional de la ubicación de al menos algunos operativos (1). Los mensajes de Discord directos revelaron que al menos tres operativos mencionaron explícitamente "Tarak" en sus discusiones (11). Taraksan es una ubicación con una densidad de población escasa en Corea del Norte, y su mención en múltiples mensajes sugiere que algunos operativos estaban físicamente co-localizados en esta área, posiblemente en instalaciones del Estado norcoreano diseñadas para albergar a trabajadores de TI (7). Esta referencia es consistente con informes anteriores del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas —durante su vigencia— sobre instalaciones de TI norcoreanas ubicadas en zonas remotas (7).

10.3. Patrones operativos consistentes con campañas previas

Los patrones operativos de la célula son consistentes con campañas previas de trabajadores de TI norcoreanos documentadas por agencias de inteligencia y firmas de ciberseguridad (2). Entre los patrones convergentes destacan:

  • Apropiación de identidades de ciudadanos estadounidenses, documentada en múltiples informes del FBI y del Departamento del Tesoro (15).
  • Solicitud de envío de hardware a direcciones diferentes de las declaradas, diseñada para permitir que los natives recibieran y configuraran los dispositivos (5).
  • Uso de ciertas personas como referencias de empleo para múltiples candidatos, creando un ecosistema de validación cruzada identificado en investigaciones previas (2).
  • Evitación deliberada de roles de ciberseguridad, consistente con la estrategia de minimización de riesgos documentada en campañas anteriores (13).

10.4. Uso de criptomonedas para pagos

El uso de tokens ERC-20 basados en la red Ethereum —y no de criptomonedas convencionales como Bitcoin— para los pagos entre los miembros de la célula y para las transferencias de fondos a Corea del Norte es otro indicador de atribución a actores estatales norcoreanos (1). La elección del estándar ERC-20, ampliamente compatible con múltiples carteras y plataformas de intercambio, sugiere que la célula disponía de una infraestructura criptográfica sofisticada (11). El uso de criptomonedas para eludir los controles bancarios es coherente con el historial de Corea del Norte, vinculada con el robo y la minería de criptomonedas por valor de miles de millones de dólares desde 2017 (7).

10.5. Evaluación de confianza analítica

Los investigadores de Nisos evalúan con alta confianza que la célula de fraude laboral identificada está vinculada al Estado norcoreano (1). Esta evaluación se basa en la convergencia de múltiples líneas de evidencia: indicadores técnicos consistentes con campañas previas, referencias geográficas a ubicaciones en Corea del Norte, patrones operativos documentados en informes de inteligencia y el uso de criptomonedas para pagos (2).

La evaluación de confianza moderada se aplica a la ubicación física exacta de los operativos (1). Aunque las referencias a Taraksan sugieren que al menos algunos operativos estaban ubicados en Corea del Norte, otros podrían haber estado operando desde otros países (7). Sin embargo, la evidencia disponible es suficiente para establecer que la célula forma parte de la campaña sistemática de Corea del Norte para generar ingresos a través del empleo fraudulento (2).

11. IMPLICACIONES PARA LA SEGURIDAD NACIONAL Y EMPRESARIAL

11.1. Riesgos para la propiedad intelectual y datos corporativos

La infiltración de operativos norcoreanos en empresas tecnológicas estadounidenses representa una amenaza crítica para la propiedad intelectual y los datos corporativos sensibles (1). A diferencia de los ataques cibernéticos tradicionales, que buscan penetrar las defensas perimetrales desde el exterior, el fraude laboral otorga a los operativos acceso legítimo a sistemas internos, credenciales corporativas y redes confidenciales (13). Esta forma de amenaza interna (insider threat) es particularmente peligrosa porque el operativo está autorizado para acceder a la información y los sistemas que maneja (11).

El acceso a repositorios de código fuente, bases de datos de clientes, algoritmos propietarios y planes estratégicos proporciona a Corea del Norte una ventana sin precedentes a la innovación tecnológica estadounidense (1). Los operativos, una vez integrados en las organizaciones, pueden exfiltrar información de manera gradual y discreta, evitando los controles de seguridad que detectarían movimientos bruscos de datos (13). Además, la presencia prolongada en las redes corporativas les permite mapear la infraestructura de la empresa, identificar vulnerabilidades y establecer puntos de acceso persistentes para futuras operaciones (5).

11.2. Financiación de programas nucleares de Corea del Norte

El objetivo primordial de las operaciones de fraude laboral es generar ingresos en divisas convertibles para financiar los programas de desarrollo de armas nucleares y misiles balísticos de Corea del Norte (1). Según estimaciones del Panel de Expertos del Consejo de Seguridad de las Naciones Unidas —durante su vigencia— y de diversas agencias de inteligencia, el régimen norcoreano habría sustraído más de 3.000 millones de dólares en activos criptográficos entre 2017 y 2023 a través de diversas operaciones ilícitas (7). El fraude laboral complementa y diversifica este flujo de ingresos con una fuente más sostenible y menos expuesta.

Los salarios obtenidos por los operativos, que oscilan entre 55.000 y 230.000 dólares anuales por puesto, representan una inyección de capital significativa para el régimen (11). Con 76 ofertas de trabajo obtenidas durante el período de observación, los ingresos potenciales para la célula podrían haber alcanzado varios millones de dólares (1). Estos fondos, transferidos a Corea del Norte a través de tokens ERC-20, eluden los controles financieros internacionales y contribuyen directamente a la capacidad del régimen para sostener sus programas de armamento (7).

11.3. Vulnerabilidad del modelo de trabajo remoto

El auge del trabajo remoto, acelerado por la pandemia de COVID-19, ha creado vulnerabilidades significativas que Corea del Norte ha explotado con gran precisión (13). La dependencia de las empresas en procesos de contratación remotos, la verificación de identidad basada en documentos digitales y la confianza en la autenticidad de los perfiles en línea han creado un entorno propicio para el fraude laboral (11). La célula explotó esta vulnerabilidad al utilizar identidades robadas, currículos generados por IA y entrevistas asistidas por tecnología para crear la ilusión de candidatos legítimos (13).

La vulnerabilidad se extiende también a la gestión del rendimiento y la supervisión de los empleados. Las empresas confían en la productividad y la integridad de los empleados remotos, asumiendo que el trabajo es realizado por la persona contratada (5). La célula explotó esta confianza al subcontratar el trabajo a bidders en países como India, Kenia y Nigeria, permitiendo que los operativos gestionaran múltiples puestos de trabajo simultáneamente sin levantar sospechas (11). Esta práctica, conocida como overemployment, es difícil de detectar porque los empleadores asumen que el trabajo es ejecutado por el empleado contratado (13).

11.4. Impacto en la confianza en los procesos de contratación

El descubrimiento de operaciones de fraude laboral a escala industrial tiene implicaciones profundas para la confianza en los procesos de contratación y en la integridad de la fuerza laboral remota (1). Las empresas que han sido víctimas de estas operaciones enfrentan no solo pérdidas financieras directas, sino también daños reputacionales y una pérdida de confianza en sus propios procesos de contratación (13). La necesidad de equilibrar la seguridad con la eficiencia y la experiencia del candidato es un desafío significativo para los equipos de recursos humanos (11).

La colaboración entre empresas, agencias gubernamentales y firmas de ciberseguridad es esencial para abordar esta amenaza de manera efectiva (6). El intercambio de indicadores de compromiso (IoC) y señales de alerta (red flags) puede ayudar a las empresas a identificar a los candidatos sospechosos antes de que sean contratados (10). La notificación a las agencias de aplicación de la ley y la coordinación con el FBI y otras agencias de inteligencia son pasos críticos para desmantelar estas redes (13).

12. MEDIDAS DE MITIGACIÓN Y RECOMENDACIONES

12.1. Para equipos de recursos humanos

Los equipos de recursos humanos constituyen la primera línea de defensa contra el fraude laboral norcoreano (1). Las siguientes medidas han sido identificadas como efectivas para fortalecer los procesos de verificación y reducir el riesgo de contratación de identidades falsas (10):

  • Verificación de identidad en persona o mediante videollamada avanzada. Las herramientas de verificación de identidad por vídeo deben incluir la comparación de la imagen del candidato con la foto de su documento de identidad, la verificación de movimientos faciales para detectar deepfakes y la comprobación de la ubicación geográfica a través de la dirección IP (13).
  • Verificación de antecedentes mejorada. Las verificaciones deben incluir llamadas telefónicas a los contactos de referencia, en lugar de depender únicamente de correos electrónicos que podrían ser interceptados por los operativos (1). Las empresas también deben estar atentas a referencias que proporcionan respuestas excesivamente detalladas o que utilizan un lenguaje similar al del candidato (11).
  • Análisis de perfiles en redes sociales y plataformas profesionales. Las señales de alerta incluyen perfiles creados recientemente, actividad limitada previa a la solicitud, conexiones sospechosas y contenido que parece generado por IA (8).
  • Formación del personal en la identificación de señales de alerta (red flags). El personal de recursos humanos debe recibir formación específica sobre las tácticas utilizadas por los operativos norcoreanos, incluyendo la identificación de indicadores de compromiso (IoC) (6).

12.2. Para equipos de seguridad de la información

Los equipos de seguridad de la información deben adoptar las siguientes medidas (1):

  • Monitorización de conexiones de red. Detectar el uso de Astrill VPN u otras herramientas de anonimización por parte de empleados que deberían estar trabajando desde ubicaciones específicas (5).
  • Verificación de dispositivos corporativos. Detectar software no autorizado, monitorizar el acceso a datos sensibles y considerar la adopción de sistemas de gestión de dispositivos móviles (MDM) (5).
  • Detección de acceso remoto no autorizado. Detectar la presencia de hardware no autorizado conectado a los dispositivos corporativos, como dispositivos PiKVM u otras herramientas de KVM-over-IP (5).
  • Auditoría de acceso a datos sensibles. Los empleados que acceden a información no relacionada con sus funciones laborales o que descargan grandes volúmenes de datos deben ser investigados (1).

12.3. Para equipos de riesgos y cumplimiento

Los equipos de riesgos y cumplimiento deben adoptar las siguientes medidas (1):

  • Evaluación periódica de riesgos de la fuerza laboral remota. Identificar puestos y roles vulnerables al fraude laboral y evaluar la efectividad de los controles existentes (6).
  • Desarrollo de políticas de contratación remota. Establecer requisitos claros para la verificación de identidad, la verificación de antecedentes y la monitorización de empleados, con procedimientos para la investigación de incidentes y la notificación a las agencias de aplicación de la ley (6).
  • Colaboración con agencias gubernamentales y firmas de ciberseguridad. El intercambio de información sobre IoC y señales de alerta puede ayudar a identificar y prevenir la infiltración de operativos norcoreanos (6).
  • Cumplimiento de sanciones internacionales. Asegurar que la organización cumpla con las sanciones impuestas a Corea del Norte —incluyendo las Órdenes Ejecutivas 13722 y 13810 de los Estados Unidos— mediante la adopción de sistemas de verificación de sanciones en los procesos de contratación (7).

12.4. Recomendaciones para formuladores de políticas

El fraude laboral norcoreano es un problema transnacional que requiere una respuesta coordinada a nivel nacional e internacional (1):

  • Fortalecimiento de la cooperación internacional. Intensificar el intercambio de inteligencia entre Estados Unidos, Japón, Corea del Sur y otros países aliados para desmantelar las redes de fraude laboral (7).
  • Mejora de la verificación de identidad en los procesos de contratación. Desarrollar estándares para la verificación de identidad remota y crear bases de datos gubernamentales de identidades válidas consultables por los empleadores (6).
  • Sanciones contra facilitadores y nativos. Incluir en listas de sanciones, congelar activos y prohibir viajar a los natives que participan conscientemente en operaciones de fraude laboral (7).
  • Educación y concienciación pública. Informar a los ciudadanos sobre el riesgo de que sus identidades sean robadas y proporcionar orientación a las empresas sobre cómo detectar y prevenir la infiltración (6).

12.5. Indicadores de alerta para la detección temprana

Los siguientes indicadores de alerta (red flags) pueden ayudar a identificar a los candidatos vinculados a operaciones de fraude laboral (10):

  • Inconsistencias en la documentación: Documentos de identidad que no coinciden con la información del perfil, fechas de emisión inconsistentes o documentos con apariencia de manipulación digital (1).
  • Perfiles en línea sospechosos: Perfiles de LinkedIn o GitHub creados recientemente, con actividad limitada o con contenido que parece generado por IA; reutilización de texto entre perfiles diferentes (8).
  • Comportamiento durante las entrevistas: Evasión de preguntas sobre la ubicación física, dificultades para responder preguntas técnicas básicas, inconsistencias en el acento o en el estilo de comunicación (12).
  • Solicitudes de envío de hardware a direcciones alternativas: Peticiones de que los dispositivos corporativos sean enviados a direcciones diferentes de la dirección declarada, o negativa a la verificación de identidad presencial (5).

13. CONCLUSIONES

13.1. Síntesis de hallazgos principales

La investigación sobre la célula de fraude laboral norcoreana identificada por Nisos revela un fenómeno de proporciones industriales que representa una amenaza crítica para la seguridad nacional y empresarial de los Estados Unidos y sus aliados (1). Los hallazgos principales del estudio pueden sintetizarse en cinco áreas fundamentales:

  • Escala y alcance de la operación: La célula, compuesta por 22 operativos, presentó más de 166.893 solicitudes de empleo en nueve meses, aseguró al menos 21.645 entrevistas y obtuvo 76 ofertas de trabajo confirmadas (1). El sector tecnológico fue el principal objetivo (42,6 % de las ofertas), seguido por la consultoría (13,1 %), los servicios financieros (8,2 %) y la salud (8,2 %) (1).
  • Estructura organizativa jerárquica: La célula operaba con una jerarquía claramente definida que incluía un administrador, un gerente administrativo, líderes de equipo y operativos (1). El uso de natives y bidders permitía operar a escala industrial y minimizar el riesgo de detección (1).
  • Tácticas sofisticadas de creación de identidades: La creación de personas falsas implicaba la adquisición de paquetes de identidad a través de brokers en Telegram, la construcción de huellas digitales completas mediante backstopping y un sistema de referencias de bucle cerrado (1). La empresa ficticia 710TECH LI proporcionaba respaldo adicional (3).
  • Infraestructura técnica robusta: La célula utilizaba laptop farms en suelo estadounidense, dispositivos PiKVM para acceso remoto indetectable, Astrill VPN y Tailscale para anonimización, y ChatGPT para asistencia en entrevistas (5).
  • Atribución a Corea del Norte con alta confianza: La convergencia de indicadores técnicos (Astrill VPN, PiKVM, Tailscale), referencias geográficas a Taraksan, patrones operativos consistentes con campañas previas y el uso de tokens ERC-20 fundamenta la atribución al Estado norcoreano (1, 2).

13.2. Contribuciones al conocimiento académico

El presente estudio realiza varias contribuciones significativas al conocimiento académico sobre el fraude laboral norcoreano y las amenazas híbridas en el ámbito de la ciberseguridad (16):

  • Análisis exhaustivo de una célula completa, con un nivel de detalle sin precedentes sobre su jerarquía, sus roles y sus procesos operativos (1).
  • Documentación de la evolución del tradecraft de los trabajadores de TI norcoreanos, desde perfiles rudimentarios hasta identidades sintéticas avanzadas y el uso de IA generativa (2).
  • Análisis cuantitativo detallado sobre el volumen de aplicaciones, las tasas de conversión y los sectores objetivo, proporcionando una base para el desarrollo de modelos predictivos (1).
  • Marco de mitigación integral para equipos de recursos humanos, seguridad de la información, riesgos y cumplimiento, y para formuladores de políticas (6).
  • Integración multidisciplinaria de perspectivas de ciberseguridad, relaciones internacionales, economía política, estudios de inteligencia y criminología (16).

13.3. Limitaciones del estudio

  • Limitaciones metodológicas derivadas del recurso mayoritario a fuentes abiertas y a una operación de inteligencia controlada; no fue posible verificar directamente la identidad o ubicación de todos los operativos (1, 10).
  • Cobertura temporal limitada al período entre diciembre de 2024 y septiembre de 2025, sin certeza sobre la actividad anterior o posterior a este período (1, 13).
  • Complejidad inherente de la atribución en el ciberespacio: los indicadores técnicos y operativos, aunque consistentes con campañas previas, no constituyen prueba concluyente de patrocinio estatal directo (1, 2).
  • Limitaciones en la generalización: la célula analizada puede no ser representativa de la totalidad de las operaciones de fraude laboral norcoreanas (1, 11).

13.4. Líneas futuras de investigación

  • Análisis comparativo de múltiples células de fraude para identificar patrones comunes y variaciones en TTPs (1).
  • Estudio de la economía política del fraude laboral, incluyendo el flujo de fondos y el impacto económico en el régimen norcoreano (7).
  • Análisis del papel creciente de la IA generativa en la creación de identidades sintéticas, la generación de currículos y la asistencia en entrevistas (12).
  • Evaluación de la efectividad de las medidas de mitigación adoptadas por empresas y gobiernos (6).
  • Monitorización continua de la evolución del tradecraft de los trabajadores de TI norcoreanos para anticipar futuras amenazas (2).

14. REFERENCIAS

(1) NISOS. People, Process, Personas: Nisos Exposes the Human Risk in DPRK Employment Fraud Schemes. Nisos Research, 2026. Disponible en: https://nisos.com/research/people-process-personas-dprk-employment-fraud/ [consulta: junio de 2026].

(2) NISOS. Assessment of DPRK IT Worker Tradecraft. Nisos Research, 2025. Disponible en: https://nisos.com [consulta: junio de 2026].

(3) NISOS. DPRK Employment Scam Network Targets Remote Tech Jobs. Nisos Research, 2025. Disponible en: https://nisos.com [consulta: junio de 2026].

(4) NISOS. DPRK IT Fraud Network Uses GitHub to Target Global Companies. Nisos Research, 2025. Disponible en: https://nisos.com [consulta: junio de 2026].

(5) NISOS. DPRK IT Worker Fraud: Inside a Laptop Farm Operation. Nisos Blog, 2025. Disponible en: https://nisos.com/blog [consulta: junio de 2026].

(6) NISOS. DPRK IT Worker Scam: Mitigation Steps for Hiring Teams. Nisos Research, 2025. Disponible en: https://nisos.com [consulta: junio de 2026].

(7) NISOS. DPRK IT Workers: A Hidden Cyber Threat to Japan. Nisos Research, 2025. Disponible en: https://nisos.com [consulta: junio de 2026].

(8) ASIA PACIFIC SECURITY MAGAZINE. DPRK Operatives Impersonate Professionals on LinkedIn to Infiltrate Companies. Asia Pacific Security Magazine, 2026.

(9) NISOS. Exposing DPRK Employment Fraud Operations. Resumen ejecutivo. Nisos Research, 2025. Disponible en: https://nisos.com [consulta: junio de 2026].

(10) NISOS. Exposing a Fraudulent DPRK Candidate. Nisos Research, 2025. Disponible en: https://nisos.com [consulta: junio de 2026].

(11) SECURITYBRIEF ASIA. North Korea IT fraud cell flooded US firms with 167,000 bids. SecurityBrief Asia, enero de 2026. Disponible en: https://securitybrief.asia [consulta: junio de 2026].

(12) THE CHOSUN ILBO. North Korean Agents Submit 7,586 Applications Each, Secure 76 Offers. The Chosun Ilbo, 2026. Disponible en: https://english.chosun.com [consulta: junio de 2026].

(13) INFOSECURITY MAGAZINE. North Korean Hiring Fraud Runs on AI and US Laptop Farms. Infosecurity Magazine, 2026. Disponible en: https://www.infosecurity-magazine.com [consulta: junio de 2026].

(14) DATABREACHTODAY. North Korean IT Workers Try, Try, Try Again. DataBreachToday, 2026. Disponible en: https://www.databreachtoday.com [consulta: junio de 2026].

(15) FBI / CISA / DEPARTAMENTO DEL TESORO DE LOS ESTADOS UNIDOS. Guidance on the Democratic People's Republic of Korea Information Technology Workers. Alerta Conjunta AA22-131A, mayo de 2022. Disponible en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-131a [consulta: junio de 2026].

(16) NISOS. Research Archive 2023-2026: Compilación de informes sobre trabajadores de TI de la RPDC. Nisos Research, 2026. Disponible en: https://nisos.com/research [consulta: junio de 2026].

15. ANEXOS

Anexo A: Definición detallada de roles de la célula

El siguiente glosario define los roles identificados en la célula de fraude laboral, basado en la terminología utilizada por los propios operativos en sus comunicaciones internas, excepto donde se indique lo contrario (1).

Administrador. El operativo de mayor rango dentro de la célula, responsable del control general de las operaciones, la creación y gestión de los canales de comunicación y el establecimiento de las políticas operativas. Los investigadores solo identificaron un administrador (1).

Administrative Manager (Gerente Administrativo). Operativo que gestionaba y se comunicaba con los natives y con los brokers que proporcionaban identidades robadas. Facilitaba la transferencia de información de identidad entre los brokers y los operativos, y también aplicaba a puestos de trabajo. Denominación definida por Nisos (1).

Bidder (Licitador). Trabajador externalizado que realizaba tareas técnicas y, en algunos casos, aplicaba a puestos de trabajo bajo la dirección de los operativos. Los operativos también se referían a sí mismos como bidders, ya que el término se aplica a cualquier persona que solicita un trabajo (1).

Broker (Corredor). Intermediario que suministraba a los operativos paquetes de identidad pre-creados o acceso a información personal como documentos de identidad gubernamentales. Los brokers interactuaban directamente con los operativos para proporcionar recursos para la creación de personas, pero no participaban en las tareas operativas continuas (1).

Laptop Farm (Granja de portátiles). Colección de ordenadores que los natives configuraban, alojaban y gestionaban para y bajo la dirección de los operativos, con el fin de sustentar múltiples personas de empleo simultáneamente. Denominación definida por Nisos; los operativos no utilizaron este término (1).

Native (Nativo). Individuo con sede en Estados Unidos reclutado para actuar como el empleado de cara al público, asistir a entrevistas, completar pruebas de drogas y/o mantener y operar portátiles para uso de los operativos. Anteriormente denominado "facilitador" por el FBI. Este estudio utiliza el término native porque es la nomenclatura específica empleada por la célula (1).

Operative/Member (Operativo/Miembro). Individuo afiliado a Corea del Norte que participa en la operación de fraude laboral, crea y gestiona personas, supervisa a natives y bidders, y realiza tareas laborales cuando su persona obtiene empleo. Los operativos utilizaban sus iniciales de tres letras para identificarse en Discord y Vercel (1).

Persona. Identidad fabricada construida utilizando información apropiada o comprada de residentes legítimos de Estados Unidos. Cada persona contaba con un perfil profesional completo, incluyendo currículo(s), cuenta de LinkedIn, correo electrónico, número de teléfono y referencias corroborantes. Denominación definida por Nisos; los operativos no utilizaron este término (1).

Team Lead (Líder de equipo). Operativo responsable de gestionar a varios operativos, rastrear métricas como aplicaciones enviadas, entrevistas realizadas y ofertas recibidas, y orientar la estrategia operativa del equipo (1).

Anexo B: Orígenes de la investigación

La investigación que sustenta el presente artículo se originó en junio de 2025, cuando Nisos comenzó a contratar para un puesto remoto de arquitecto líder de inteligencia artificial en su empresa (1). Durante el proceso de contratación, el equipo de Nisos detectó actividad sospechosa de uno de los candidatos y realizó una investigación de diligencia debida preempleo (10).

El candidato, que se hacía pasar por un arquitecto de IA y desarrollador full-stack sénior con sede en Florida, utilizó información de identificación personal (PII) apropiada, una cuenta de correo electrónico recién creada y un currículo generado por IA para solicitar el puesto (1). Nisos condujo al candidato a creer que había sido seleccionado para un puesto de contratista ficticio y envió un ordenador portátil a la dirección solicitada en Florida (5).

El análisis de la actividad en el ordenador portátil, combinado con investigación de fuentes abiertas, reveló la identidad del facilitador con sede en Florida y descubrió una célula de fraude laboral de Corea del Norte más amplia (1). Los actores establecieron la comunicación y coordinación principal en o alrededor de diciembre de 2024, y su tamaño fluctuó con el tiempo, alcanzando en ocasiones hasta 22 operativos (11).

Nisos no contrató al operativo, no le pagó y no le dio acceso a comunicaciones internas, datos o su red (1). La empresa utilizó infraestructura no atribuible para cada paso del proceso de investigación y analizó los indicadores técnicos, patrones operativos y comunicaciones obtenidas para evaluar el patrocinio estatal y la atribución nacional de la célula (10).

Anexo C: Metodología de evaluación de probabilidad y confianza

Nisos utiliza un lenguaje analítico probabilístico para comunicar juicios analíticos con precisión y transparencia (1). La siguiente tabla muestra el espectro de cómo se correlacionan estos términos con porcentajes de probabilidad:

Lenguaje de evaluaciónProbabilidad (%)
Almost no chance / Casi sin posibilidad<5%
Very unlikely / Muy improbable6-20%
Unlikely / Improbable21-45%
Possibly / Posiblemente46-55%
Likely / Probable56-80%
Very likely / Muy probable81-95%
Almost certainly / Casi con certeza96-99%

Además del lenguaje probabilístico, Nisos utiliza tres niveles de confianza que destacan la calidad de la información que sustenta un juicio analítico (1):

  • Baja Confianza (Low Confidence): Indica que la información es demasiado fragmentaria o cuestionable para hacer juicios analíticos sólidos. Los datos pueden ser limitados, no verificados o provenir de fuentes no corroboradas (1).
  • Confianza Moderada (Moderate Confidence): Indica que las piezas de información son creíbles y plausibles, pero no están altamente corroboradas. Puede haber algunas inconsistencias o lagunas en la información, pero el peso de la evidencia apoya el juicio (1).
  • Alta Confianza (High Confidence): Asociado con información y datos de alta calidad que están corroborados por otras fuentes creíbles. Múltiples líneas de evidencia convergen para apoyar el juicio, y las inconsistencias son mínimas o están resueltas (1).

En el contexto de la presente investigación, la evaluación de alta confianza se aplica a la atribución de la célula a Corea del Norte, sobre la base de la convergencia de indicadores técnicos, referencias geográficas, patrones operativos y el uso de tokens ERC-20 (1). La evaluación de confianza moderada se aplica a la ubicación física exacta de los operativos (7).

Artículos relacionados

La inteligencia artificial en la mediación y el arbitraje internacional: panorama global, marcos normativos y desafíos prácticos

investigacion

Panorama global de la IA en mediación y arbitraje: adopción, soft law (SVAMC, CIArb, IBA), modelos jurisdiccionales comparados y desafíos éticos.

El 'Hogan's Alley' Digital: El 'Kinetic Cyber Range' del FBI como Instrumento de Disuasión Híbrida ante la Crisis del Ransomware. Análisis Jurídico-Operativo de un Nuevo Paradigma de Entrenamiento.

analisis juridico

El FBI inaugura el Kinetic Cyber Range, ciudad réplica de 22.000 m² para entrenar la respuesta al ransomware. Análisis legal del nuevo modelo de disuasión.

Análisis exhaustivo: El uso abusivo de la Inteligencia Artificial en *LiveVideo v. Redstone*

jurisprudencia

Análisis doctrinal profundo sobre el uso indebido de IA generativa en litigios, las sanciones impuestas en el caso LiveVideo y las implicaciones deontológicas.

Del Dragón de la NSA al Ojo Algorítmico: Una Década de Erosión de la Privacidad en la Era de la Inteligencia Artificial

analisis juridico

Análisis jurídico comparado de la evolución de los riesgos para la privacidad desde Snowden (2013) hasta la vigilancia algorítmica de la IA generativa, evaluando el RGPD, la USA FREEDOM Act y el Reglamento (UE) 2024/1689.