El Ecosistema Startup > Blog > Actualidad Startup > Falsos empleados de Corea del Norte infiltran empresas tech
Falsos empleados IT de Corea del Norte infiltrando empresas tech europeas mediante deepfakes y ciberseguridad en la contratación remota.

Falsos empleados de Corea del Norte infiltran empresas tech

por

El problema que nadie esperaba: el proceso de contratación como vector de ataque

Imagina que publicas una oferta de trabajo remoto para un perfil senior de ingeniería. Recibes decenas de candidaturas. Una destaca: el currículum es impecable, las entrevistas fluyen con naturalidad, las referencias son positivas. Contratas. Y sin saberlo, acabas de incorporar a tu equipo a un operativo vinculado a Pyongyang.

Esto no es un escenario de ciencia ficción. Es una amenaza documentada y en expansión que está llegando a Europa, y que afecta especialmente a empresas tecnológicas y startups con equipos distribuidos. Expertos en ciberseguridad —entre ellos los del Google Threat Intelligence Group (GTIG)— confirman un crecimiento notable de estas operaciones desde enero de 2025, con casos ya identificados en Reino Unido, Alemania y Portugal.

El modelo norcoreano: cómo funciona la operación a escala industrial

Lo que hace especialmente preocupante esta amenaza es su nivel de sistematización. No se trata de actores solitarios improvisando: es una red operativa coordinada con objetivos claros. Según datos del Departamento de Justicia de Estados Unidos, estos operativos lograron infiltrarse en más de 300 empresas entre 2020 y 2024, generando al menos 6,8 millones de dólares en ingresos para el régimen de Kim Jong-un. Pero el objetivo no es solo económico: también buscan acceder a información sensible, robar propiedad intelectual y, en los casos más graves, instalar malware en los sistemas de las compañías afectadas.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

El esquema tiene dos fases bien definidas: entrar y explotar. Y ambas están blindadas por tecnología cada vez más sofisticada.

Fase 1: construir la identidad perfecta

Los operativos utilizan inteligencia artificial generativa para crear perfiles profesionales convincentes desde cero. Esto incluye fotos de perfil generadas mediante deepfakes, historiales laborales fabricados con coherencia temporal, cuentas de LinkedIn con actividad simulada —a veces apropiándose de perfiles inactivos o pagando a sus propietarios por su uso— y referencias aportadas por otros miembros de la misma red operativa.

Un caso documentado por investigadores muestra a un individuo gestionando al menos 12 identidades distintas para postularse simultáneamente a empleos en Europa y Estados Unidos, utilizando otras identidades bajo su control para validar referencias cruzadas. La sofisticación es tal que estos perfiles superan sin problemas los filtros automáticos de plataformas de empleo y las cribas iniciales de los equipos de recursos humanos.

Fase 2: superar las entrevistas

Una vez en el proceso de selección, la tecnología vuelve a ser su aliada. Estos operativos pueden recurrir a máscaras digitales, avatares en tiempo real y filtros de vídeo para alterar su apariencia durante videollamadas. Cuando las empresas endurecen los controles de verificación, algunas redes optan por contratar a intermediarios reales —personas físicas— que se presentan a las entrevistas en su nombre.

El uso de modelos de lenguaje avanzados también les permite construir respuestas técnicas coherentes y reducir las señales lingüísticas o culturales que antes podían delatarlos. El resultado: candidatos que pasan todos los filtros diseñados para evaluar talento, pero que ningún proceso estándar de RRHH estaba preparado para detectar como amenaza de seguridad.

Una vez dentro: el daño real para tu empresa

Superar el proceso de contratación es solo el comienzo. Una vez integrados en el equipo, estos operativos tienen múltiples vías de explotación activas al mismo tiempo.

Algunos esquemas incluyen la interceptación de los dispositivos corporativos que las compañías envían a sus nuevos empleados. Tras acceder al equipo, los operativos redirigen la conexión desde otras ubicaciones, utilizando herramientas de automatización y LLMs para cumplir con las tareas asignadas. Esto les permite, en algunos casos, mantener varios empleos tecnológicos simultáneamente, maximizando los ingresos para la operación.

Pero el riesgo más grave va más allá del fraude salarial. Estos actores pueden:

  • Robar código fuente y propiedad intelectual.
  • Exfiltrar datos sensibles de clientes o inversores.
  • Instalar malware o puertas traseras en los sistemas de la empresa.
  • Escalar privilegios de acceso de forma progresiva y silenciosa.

El FBI ha reconocido públicamente que sus propias guías de seguridad están siendo estudiadas desde Pyongyang, lo que indica que la operación se adapta continuamente a las defensas existentes.

Europa en el radar: las laptop farms ya están aquí

Hasta hace poco, Europa observaba este fenómeno como un problema fundamentalmente americano. Eso está cambiando. Investigadores han identificado en Reino Unido las llamadas laptop farms: espacios físicos donde se concentran portátiles corporativos conectados de forma remota para que los operativos puedan trabajar como si estuviesen legalmente en el país. En un caso concreto, se detectó un portátil de empresa supuestamente ubicado en Nueva York que en realidad operaba desde Londres.

Además, se han detectado perfiles activos vinculados a esta red en plataformas de contratación de Alemania y Portugal, y existe evidencia de interés operativo en Serbia. En marzo de 2026, Estados Unidos sancionó a dos entidades y seis personas —incluida una de nacionalidad española— que facilitaban estas operaciones mediante documentación fraudulenta e identidades robadas.

El Google Threat Intelligence Group confirma que desde enero de 2025 el volumen de operaciones en Europa ha crecido de forma significativa, con proyectos que abarcan desarrollo web con Next.js y Tailwind CSS, integración de IA, sistemas blockchain y bots automatizados: exactamente el stack tecnológico más habitual en startups de rápido crecimiento.

Por qué las startups son especialmente vulnerables

El problema estructural no está solo en la sofisticación del atacante, sino en una debilidad inherente al modelo de contratación de muchas startups: la velocidad. Contratar rápido, validar talento en remoto y operar con equipos distribuidos son ventajas competitivas reales, pero también crean superficies de ataque que estas redes están aprovechando de forma sistemática.

El proceso de contratación nunca ha sido tratado como un frente de seguridad corporativa. RRHH está diseñado para evaluar talento, no para detectar operaciones de inteligencia. Esa brecha es exactamente donde opera este esquema.

Los entornos BYOD (Bring Your Own Device) y la externalización de la selección a plataformas automatizadas agravan el problema, ya que reducen la visibilidad y el control sobre quién accede realmente a los sistemas.

Cómo proteger tu startup: medidas concretas

La buena noticia es que hay acciones accionables que puedes implementar sin sacrificar agilidad. Estos son los controles más recomendados por expertos en ciberseguridad:

En el proceso de selección

  • Verifica identidades de forma activa: solicita videollamadas sin filtros, preferiblemente con cámara verificada y luz natural. Evalúa inconsistencias visuales o de audio que puedan indicar manipulación digital.
  • Contrasta referencias de forma independiente: no aceptes referencias que no puedas verificar en fuentes externas y públicas. Busca coherencia temporal en el historial de LinkedIn y otras plataformas.
  • Introduce pruebas técnicas dentro de tus sistemas: evalúa a los candidatos en entornos controlados por tu empresa, no en plataformas de terceros.
  • Forma a tus reclutadores en la detección de señales de alerta no convencionales: incoherencias culturales, respuestas demasiado perfectas, ubicaciones que no coinciden con la IP declarada.

Una vez contratado

  • Aplica el principio de mínimo privilegio desde el primer día: acceso solo a lo estrictamente necesario para el rol.
  • Monitoriza la actividad de cuentas recién creadas con alertas por patrones inusuales: conexiones desde múltiples IPs, horarios atípicos o accesos a recursos fuera del alcance del rol.
  • Gestiona y rastrea el envío de dispositivos corporativos: confirma físicamente la dirección de entrega y alerta ante redirecciones no autorizadas.
  • Implementa autenticación multifactor (MFA) y herramientas de detección de amenazas internas (UEBA).

Conclusión

La amenaza de los falsos empleados norcoreanos no es un riesgo futuro ni un problema exclusivo de las grandes corporaciones: es una realidad presente que ya está afectando a empresas tecnológicas en Europa, incluidas startups con perfiles exactamente como los que busca esta red. La expansión documentada en Reino Unido, Alemania y Portugal, las sanciones internacionales de marzo de 2026 y la creciente sofisticación de las herramientas de IA empleadas por estos operativos configuran un escenario que exige acción inmediata.

El mensaje para founders y CTOs es claro: el proceso de contratación es ahora un frente de seguridad. Tratarlo como tal —con los mismos controles, formación y vigilancia que aplicarías a cualquier otro vector de ciberataque— no es paranoia. Es gestión de riesgo inteligente.

Profundiza estos temas con nuestra comunidad de expertos en seguridad y tecnología para startups.

Unirme a la comunidad

Fuentes

  1. https://www.xataka.com/seguridad/ejercito-falsos-empleados-esta-infiltrandose-companias-europeas-detras-esta-corea-norte (fuente original)
  2. https://consultoriainformatica.net/corea-del-norte-usa-falsos-trabajadores-con-ia-para-colarse-en-empresas-europeas-la-nueva-alerta-roja-del-sector-tech/ (fuente adicional)
  3. https://www.xataka.com/seguridad/algunas-empresas-europa-contrataron-talento-perfiles-solidos-realidad-ficharon-a-ciberdelincuentes-norcoreanos (fuente adicional)
  4. https://www.larazon.es/tecnologia-consumo/contratas-programador-fichas-espia-amenaza-norcoreana-falsos-remotos-expande-europa_2025040267ed058ceec2d30001414045.html (fuente adicional)
  5. https://digitalinside.es/crece-el-numero-de-agentes-norcoreanos-que-se-hacen-pasar-por-trabajadores-informaticos-en-europa/ (fuente adicional)
  6. https://www.notimerica.com/politica/noticia-corea-eeuu-sanciona-dos-entidades-seis-personas-espanola-estafar-empresas-favor-corea-norte-20260312204842.html (fuente adicional)
  7. https://decripto.org/es/estafas-en-linea-y-ciberespionaje-como-corea-del-norte-se-infiltra-en-empresas-occidentales-con-falsos-trabajadores-a-distancia/ (fuente adicional)
¿te gustó o sirvió lo que leíste?, Por favor, comparte.
LinkedInPrintRedditTelegramWhatsApp

Artículos relacionados:

Migración de centros de datos en Europa debido a la crisis energética, con enfoque en infraestructura e inteligencia artificial.Crisis energética: centros de datos migran en Europa Infraestructura de fibra óptica en Corea del Norte con red cerrada Kwangmyong, mostrando conectividad regulada y enseñanzas para mercados tecnológicos restrictivos.Infraestructura de fibra óptica en Corea del Norte: lecciones y tendencias Atlas oficial de Corea del Norte con mapas geopolíticos y narrativa visual destacada en colores naranja y negro para análisis de tendencias de mercado.Atlas oficial de Corea del Norte: geopolítica y narrativa visual Mujeres fundadoras en startups con patentes en España liderando la innovación tecnológica y cerrando la brecha de género en STEM.Mujeres en startups con patentes: España lidera Europa Inversión de la Unión Europea en NanoIC para startups tecnológicas en semiconductores avanzados de 2 nanómetros con infraestructura de fabricación europea.UE invierte €700M en NanoIC: Oportunidad para Startups Tech

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly