Los piratas informáticos norcoreanos están saturando la industria de las criptomonedas con ofertas de empleo que suenan creíbles como parte de su campaña para robar dinero digital, según una nueva investigación, datos sin procesar y entrevistas.
El problema se está volviendo tan común que los solicitantes de empleo ahora examinan regularmente a los reclutadores en busca de señales de que podrían estar actuando en nombre de Pyongyang. Veinticinco expertos, víctimas y representantes corporativos con los que habló Reuters coincidieron en que el problema era omnipresente.
“Me pasa todo el tiempo y estoy seguro de que le pasa a todo el mundo en este espacio”, dijo Carlos Yáñez, ejecutivo de desarrollo de negocios de la firma de análisis de blockchain Global Ledger, con sede en Suiza, que fue uno de los que recientemente fueron atacados por los ladrones, según datos proporcionados por las empresas de ciberseguridad SentinelOne y Validin.
Yáñez dijo que si bien evitó ser hackeado, la calidad de las mascaradas llevadas a cabo por los norcoreanos había mejorado significativamente en el último año. “Da miedo lo lejos que han llegado”, dijo.
Aunque no hay una estimación disponible públicamente de cuánto dinero se toma solo a través de esta táctica, se cree que los piratas informáticos norcoreanos robaron al menos 1.34 mil millones de dólares en criptomonedas el año pasado, según la firma de inteligencia blockchain Chainalysis. Los observadores de Estados Unidos y las Naciones Unidas han alegado que Pyongyang utiliza los robos para apoyar su programa de armas sancionado.
Las acusaciones de que Pyongyang apunta al mundo blockchain con estafas sofisticadas no son nuevas. A fines del año pasado, la Oficina Federal de Investigaciones emitió una advertencia pública diciendo que Corea del Norte estaba apuntando “agresivamente” a la industria de las criptomonedas con esquemas de ingeniería social “complejos y elaborados”. Pero el informe de Reuters, que siete objetivos corroboraron con capturas de pantalla de sus conversaciones con los piratas informáticos, proporciona detalles no reportados previamente de cómo engañan a sus objetivos, junto con un desglose detallado de sus tácticas.
Primero, un reclutador se comunicaría a través de LinkedIn o Telegram con un lanzamiento para un empleo relacionado con blockchain. “Actualmente estamos ampliando nuestro equipo”, decía un mensaje de LinkedIn del 20 de enero enviado a Victoria Perepel por un reclutador que pretendía representar a Bitwise Asset Management. “Estamos buscando particularmente personas apasionadas por los mercados de criptomonedas”.
Después de un breve intercambio sobre el supuesto empleo y la compensación, el reclutador alentaría a los posibles solicitantes a visitar un sitio web oscuro para realizar una prueba de habilidades y grabar un video. En este punto, varios objetivos comenzaron a sospechar.
¿Por qué no simplemente hacer una entrevista en vivo a través de una plataforma de video más conocida, como Google Meet o Zoom? Esa fue la objeción planteada por el empresario de aprendizaje automático Olof Haglund el 21 de enero cuando Wieslaw Slizewski se le acercó, quien pretendía ser un reclutador técnico de la plataforma de comercio en línea Robinhood.
Slizewski se negó a ceder, insistiendo en que Haglund descargara el código para grabar el video.
“Seguimos un proceso de contratación estructurado, y la evaluación en video es una parte clave de nuestra evaluación para garantizar la consistencia y la equidad para todos los candidatos”, dijo Slizewski en un mensaje de LinkedIn.
Haglund terminó terminando la entrevista, pero otros no. Un gerente de producto de una empresa estadounidense de criptomonedas, que habló bajo condición de anonimato porque no quería ser conocido como un solicitante de empleo, dijo que grabó el video y se lo envió a una persona que afirmó estar reclutando para la compañía de criptomonedas Ripple Labs. No fue hasta esa noche, cuando se dio cuenta de que faltaban 1,000 dólares en ether y Solana en la billetera digital que guardaba en su computadora, que se dio cuenta de que había sido engañado. Cuando buscó el perfil de LinkedIn del supuesto reclutador de Ripple, ya no estaba.
Te puede interesar: Administración Trump dice que se avecinan más operaciones contra los cárteles
Cómo los piratas informáticos norcoreanos están utilizando ofertas de empleo falsas para robar criptomonedas
En otro caso, el consultor Ben Humbert estaba hablando a través de LinkedIn con Mirela Tafili, una reclutadora que afirmaba actuar en nombre del exchange de criptomonedas Kraken sobre un puesto de gestión de proyectos. Tafili le pidió a Humbert que completara una “breve entrevista virtual” y le proporcionó un enlace que, según Tafili, les ayudaría a “acelerar el proceso” y pasar a la siguiente etapa. Humbert dijo que comenzó a sospechar y terminó la conversación.
Ripple y Bitwise no respondieron a los mensajes en busca de comentarios. En un comunicado, Robinhood dijo que estaba “al tanto de una campaña a principios de este año que intentaba hacerse pasar por varias empresas de criptomonedas, incluida Robinhood” y que había tomado medidas para deshabilitar los dominios web vinculados a la estafa. LinkedIn dijo en un comunicado que las cuentas falsas de reclutadores identificadas por Reuters fueron “previamente actuadas”. Telegram dijo que las estafas fueron eliminadas dondequiera que se encontraran. Los intentos de Reuters de comunicarse con los piratas informáticos no tuvieron éxito.
SentinelOne y Validin atribuyen los robos a una operación norcoreana anteriormente denominada “Entrevista contagiosa” por la empresa de ciberseguridad Palo Alto Networks. Los investigadores que rastrearon la campaña concluyeron que los norcoreanos estaban detrás de ella en función de varios factores, incluido el uso de direcciones de protocolo de Internet y correos electrónicos vinculados a actividades de piratería anteriores de Corea del Norte.
Como parte de su investigación, los investigadores descubrieron archivos de registro expuestos accidentalmente por los piratas informáticos que mostraban las direcciones de correo electrónico e IP de más de 230 personas (codificadores, personas influyentes, contadores, consultores, ejecutivos, especialistas en marketing y más) atacados entre enero y marzo.
Reuters contactó a todos los objetivos para alertarlos sobre la actividad maliciosa. Los diecinueve que hablaron con la agencia de noticias confirmaron haber sido atacados en ese momento. Una de las empresas suplantadas por los piratas informáticos dijo que esto era típico del espacio criptográfico.
“Todos los días pasa algo”, dijo Nick Percoco, director de seguridad de Kraken.
La misión de Corea del Norte ante las Naciones Unidas no respondió a los mensajes en busca de comentarios sobre los hallazgos de Reuters. Pyongyang niega regularmente haber llevado a cabo robos de criptomonedas.
Los objetivos identificados por Reuters eran solo “una pequeña fracción” de las posibles víctimas de Contagious Interview, lo que a su vez representa un subconjunto de los esfuerzos generales de robo de criptomonedas de Corea del Norte, dijo Aleksandar Milenkoski, investigador principal de SentinelOne que fue uno de los coautores del informe.
“Son como un grupo de estafadores típico”, dijo. “Van por la amplitud”.
Percoco, el ejecutivo de Kraken, dijo que la compañía comenzó a ver estafas de reclutamiento a fines del año pasado, con informes que persistieron durante marzo, abril y mayo. La compañía utiliza herramientas para buscar cuentas falsas que se hacen pasar por reclutadores, pero también recibe informes de personas externas que se pondrán en contacto para decir: “Oye, estaba entrevistando para un empleo con ustedes y luego se convirtió en una verdadera estafa”, dijo Percoco.
Dijo que era difícil para las empresas vigilar la suplantación de identidad.
“Cualquiera puede decir que es un reclutador”, dijo.
Con información de Reuters.
Síguenos en Google Noticias para mantenerte siempre informado
