La infiltración ya no empieza siempre con phishing o vulnerabilidades expuestas. En algunos casos, empieza con una entrevista de trabajo. Redes vinculadas a Corea del Norte llevan años haciéndose pasar por desarrolladores y profesionales tecnológicos remotos para conseguir empleo en empresas occidentales y utilizar ese acceso con fines económicos y operativos.
Según datos recogidos por medios como Xataka y CNN, este modelo habría afectado a cientos de compañías —especialmente en Estados Unidos— entre 2020 y 2024, generando millones de dólares. El esquema se basa en identidades profesionales falsas, perfiles creíbles en LinkedIn y currículums diseñados específicamente para superar filtros automatizados y procesos de selección cada vez más estandarizados. El uso de herramientas de inteligencia artificial ha elevado el nivel: permite pulir comunicación, adaptar perfiles y reducir señales de alerta que antes delataban este tipo de operaciones.
Durante las entrevistas, algunos operativos van más allá y utilizan filtros de vídeo, avatares o incluso intermediarios reales para simular presencia local. Esto les permite superar verificaciones básicas y completar procesos de contratación sin levantar sospechas. Una vez dentro, el riesgo ya no es teórico: no se trata solo de fraude salarial, sino de acceso real a sistemas corporativos.
En algunos casos, estos esquemas incluyen la interceptación de portátiles enviados por la empresa, la creación de accesos persistentes a infraestructura interna, el robo de información sensible e incluso la posibilidad de desplegar malware desde dentro de la organización. Es un acceso legítimo convertido en vector de ataque.
El problema de fondo no es solo técnico, sino organizativo. Muchas empresas siguen tratando la contratación remota como un proceso exclusivamente de recursos humanos, cuando en realidad ya forma parte de la superficie de ataque. Validar habilidades sin validar con el mismo rigor la identidad, la ubicación o el entorno técnico del candidato abre una puerta directa a actores hostiles.
Este tipo de campañas refleja un cambio profundo en las tácticas: en lugar de forzar la entrada, los atacantes consiguen que se les invite a pasar. Y una vez dentro, operan con la legitimidad de un empleado más.
La conclusión es clara: contratar en remoto ya no es solo una decisión operativa, es una decisión de seguridad. Verificación reforzada de identidad, validación geográfica, control sobre la cadena de entrega de dispositivos, gestión estricta de accesos y monitorización temprana deben integrarse en el proceso si se quiere reducir este riesgo. Porque en el contexto actual, el onboarding también es parte del perímetro.