Por James Pearson
LONDRES (Reuters) – Usando nombres falsos, perfiles de LinkedIn falsos, documentos laborales falsificados y guiones de entrevistas simuladas, trabajadores de tecnología norcoreanos buscan empleo en empresas de tecnología occidentales desplegando sutiles estrategias para ser contratados.
Conseguir un trabajo fuera de Corea del Norte para ganar secretamente divisas extranjeras para el país aislado requiere estrategias altamente desarrolladas para convencer a los gerentes de contratación occidentales, según documentos revisados por Reuters, una entrevista con un ex trabajador norcoreano de tecnología de la información e investigadores de ciberseguridad.
Corea del Norte ha enviado miles de trabajadores de TI en el extranjero, un esfuerzo que se ha acelerado en los últimos cuatro años, para obtener millones en financiamiento para el programa de misiles nucleares de Pyongyang, según Estados Unidos, Corea del Sur y las Naciones Unidas.
“Las personas son libres de expresar ideas y opiniones”, dice uno de los guiones de entrevistas utilizados por los desarrolladores de software norcoreanos que ofrece sugerencias sobre cómo describir una “buena cultura corporativa” cuando se les pregunte. Expresar libremente los pensamientos podría resultar en prisión en Corea del Norte.
Los guiones, que suman 30 páginas, fueron descubiertos por investigadores de Palo Alto Networks, una empresa estadounidense de ciberseguridad que descubrió un grupo de documentos internos en línea que detallan el funcionamiento de la mano de obra remota de TI de Corea del Norte.
Los documentos contienen decenas de currículums fraudulentos, perfiles en línea, notas de entrevistas e identidades falsificadas que los trabajadores norcoreanos usaron para solicitar empleo en desarrollo de software.
Reuters encontró más evidencia en datos filtrados en la web oscura que reveló algunas de las herramientas y técnicas utilizadas por los trabajadores norcoreanos para convencer a las empresas de que los contraten en empleos tan lejanos como Chile, Nueva Zelanda, Estados Unidos, Uzbekistán y los Emiratos Árabes Unidos.
Los documentos y datos revelan el intenso esfuerzo y subterfugio emprendidos por las autoridades norcoreanas para garantizar el éxito de un esquema que se ha convertido en un vital salvavidas de divisas extranjeras para el régimen con problemas de efectivo.
La misión de Corea del Norte ante la ONU no respondió a una solicitud de comentarios.
Los trabajadores de TI remotos pueden ganar más de diez veces lo que un trabajador común norcoreano que trabaja en el extranjero en construcción u otros trabajos manuales gana, dijo el Departamento de Justicia de Estados Unidos (DOJ) en 2022, y equipos de ellos pueden ganar colectivamente más de $3 millones al año.
Reuters no pudo determinar cuánto ha generado el esquema a lo largo de los años.
Algunos de los guiones, diseñados para preparar a los trabajadores para preguntas de entrevistas, contienen excusas para la necesidad de trabajar de forma remota.
“Richard”, un desarrollador de software integrado senior, dijo: “Hace varias semanas volé a Singapur. Mis padres contrajeron Covid y decidí estar con los miembros de mi familia por un tiempo. Ahora estoy planeando regresar a Los Ángeles en tres meses. Estoy pensando que podría empezar a trabajar remotamente en este momento, luego me incorporaré cuando regrese a Los Ángeles”.
Un trabajador de TI norcoreano que desertó recientemente también examinó los documentos y confirmó su autenticidad a Reuters: “Creamos de 20 a 50 perfiles falsos al año hasta que nos contrataran”, dijo.
Él observó los guiones, datos y documentos y dijo que era exactamente lo mismo que él había estado haciendo porque reconoció las tácticas y técnicas utilizadas.
“Una vez que me contrataban, creaba otro perfil falso para obtener un segundo trabajo”, dijo el trabajador, quien habló bajo condición de anonimato, citando preocupaciones de seguridad.
En octubre, el DOJ y el Buró Federal de Investigaciones (FBI) incautaron 17 dominios de sitios web que, según dijeron, fueron utilizados por trabajadores de TI norcoreanos para defraudar empresas y $1.5 millones en fondos.
Los desarrolladores norcoreanos que trabajaban en empresas estadounidenses se escondían detrás de cuentas de correo electrónico y redes sociales pseudónimas y generaban millones de dólares al año en nombre de entidades norcoreanas sancionadas a través del esquema, dijo el DOJ.
“Hay un riesgo para el gobierno de Corea del Norte, ya que estos trabajadores privilegiados están expuestos a realidades peligrosas sobre el mundo y el atraso forzado de su país”, dijo Sokeel Park de Liberty in North Korea (LINK), una organización que trabaja con desertores.
DINERO EN EFECTIVO
El año pasado, el gobierno de Estados Unidos dijo que los trabajadores de TI norcoreanos se encontraban principalmente en China y Rusia, con algunos en África y el sudeste asiático, y cada uno puede ganar hasta $300,000 anuales.
Según su experiencia, el ex trabajador de TI dijo que se espera que todos ganen al menos $100,000, de los cuales el 30-40% se repatria a Pyongyang, el 30-60% se gasta en gastos generales y el 10-30% es para los trabajadores.
Calculó que había alrededor de 3,000 personas como él en el extranjero, y otras 1,000 basadas en Corea del Norte.
“Trabajé para ganar divisas extranjeras”, dijo a Reuters. “Difiere entre las personas, pero básicamente, una vez que consigues un trabajo remoto puedes trabajar por tan poco como seis meses, o hasta tres o cuatro años.”
“Cuando no puedes encontrar una trabajo, trabajas de forma independiente.”
Los investigadores, parte de la división de investigación cibernética Unit 42 de Palo Alto, hicieron el descubrimiento al examinar una campaña de hackers norcoreanos que apuntaba a desarrolladores de software.
Uno de los hackers dejó los documentos expuestos en un servidor, dijo Unit 42, lo que indica que hay vínculos entre los hackers de Corea del Norte y sus trabajadores de TI, aunque el desertor dijo que las campañas de espionaje eran para algunos selectos: “Los hackers son entrenados por separado. Esas misiones no se dan a personas como nosotros”, dijo.
Sin embargo, hay cruces. El DOJ y FBI han advertido que los trabajadores de TI norcoreanos pueden utilizar el acceso para hackear a sus empleadores, y algunos de los currículums filtrados indicaron experiencia en empresas de criptomonedas, una industria que ha sido durante mucho tiempo objetivo de hackers norcoreanos.
IDENTIDADES FALSAS
Datos de Constella Intelligence, una empresa de investigación de identidades, mostraron que uno de los trabajadores tenía cuentas en más de 20 sitios web de trabajo independiente en Estados Unidos, Gran Bretaña, Japón, Uzbekistán, España, Australia y Nueva Zelanda.
El trabajador no respondió a una solicitud de comentarios por correo electrónico.
Los datos, recopilados a partir de filtraciones en la web oscura, también revelaron una cuenta en un sitio web que vende plantillas digitales para crear documentos de identificación falsos que parecen realistas, incluyendo licencias de conducir de Estados Unidos, visas y pasaportes, encontró Reuters.
Los documentos descubiertos por Unit 42 incluyeron currículums para 14 identidades, una tarjeta de residencia falsificada de Estados Unidos, guiones de entrevistas y evidencia de que algunos trabajadores habían comprado acceso a perfiles en línea legítimos para parecer más genuinos.
El “Richard” en Singapur que buscaba trabajo de TI remoto parecía referirse a un perfil falso con el nombre de “Richard Lee” – el mismo nombre en la tarjeta de residencia. El Departamento de Seguridad Nacional de Estados Unidos no respondió a una solicitud de comentarios.
Reuters encontró una cuenta de LinkedIn de un Richard Lee con la misma foto de perfil que listaba experiencia en Jumio, una empresa de verificación de identidad digital.
“No tenemos registros de que Richard Lee haya sido un empleado actual o anterior de Jumio”, dijo un portavoz de Jumio. “Jumio no tiene evidencia que sugiera que la empresa haya tenido alguna vez un empleado norcoreano en su fuerza laboral.”
Reuters envió un mensaje a la cuenta de LinkedIn buscando comentarios, pero no recibió respuesta. LinkedIn eliminó la cuenta después de recibir solicitudes de comentarios de Reuters.
“Nuestro equipo usa información de una variedad de fuentes para detectar y eliminar cuentas falsas, como lo hicimos en este caso”, dijo un portavoz.
(Reporte de James Pearson; Reporte adicional de Ted Hesson y Daphne Psaledakis en Washington; Edición por Chris Sanders y Anna Driver)