Amazon descubrió a un infiltrado informático norcoreano mediante la latencia
de las pulsaciones de teclas, lo que pone de relieve los riesgos de la
contratación remota y la necesidad de contar con controles de identidad más
estrictos.
Un retraso apenas perceptible en las pulsaciones de teclas fue suficiente para
que Amazon descubriera a un infiltrado de un estado-nación oculto a plena
vista. «Si no hubiéramos estado buscando a los trabajadores de la RPDC, no los
habríamos encontrado», declaró Stephen Schmidt, director de seguridad de Amazon.
Lo que parecía ser un administrador remoto de sistemas con sede en EE.UU. era,
en realidad, un trabajador de TI norcoreano que accedía a la red de Amazon
desde el otro lado del mundo, revelado por una latencia de tan solo 110
milisegundos.
Este incidente pone de relieve un riesgo creciente para las organizaciones que
adoptan el teletrabajo: actores estatales que explotan los canales de
contratación globales para obtener acceso legítimo a entornos corporativos.
Corea del Norte, severamente sancionada y aislada, ha convertido el fraude
informático remoto en una fuente de ingresos que financia directamente sus
programas de armas, a la vez que genera amenazas internas para empresas
grandes y pequeñas.
La latencia de las pulsaciones de teclas expone la suplantación de identidad
remota
El caso surgió a principios de este año cuando el sistema de monitorización de
seguridad de Amazon detectó un comportamiento inusual en una computadora
portátil corporativa recién entregada, asignada a un administrador de
sistemas.
Si bien el dispositivo se encontraba físicamente en Arizona, los
investigadores observaron que las entradas de comandos llegaban a la
infraestructura de Amazon en Seattle con mayor lentitud de lo esperado.
Para los trabajadores con sede en EE.UU., las pulsaciones de teclas deberían
registrarse en menos de 100 milisegundos. Estas superaron constantemente los
110 milisegundos, un indicador sutil pero revelador de acceso desde el
extranjero.
Según Bloomberg, Amazon determinó que la computadora portátil estaba siendo controlada
remotamente, y el tráfico de red se rastreó hasta China, un punto de
retransmisión común utilizado por los operadores norcoreanos. Amazon confirmó
rápidamente que el individuo formaba parte de un plan más amplio de
trabajadores de TI de la RPDC y canceló el acceso en cuestión de días.
Amazon afirma haber bloqueado más de 1.800 intentos de contratación
norcoreanos desde abril de 2024, con un aumento intertrimestral del 27%.
Tácticas utilizadas en el fraude de trabajadores de TI remotos
Los trabajadores de TI suelen operar mediante engaños estratificados.
Solicitan puestos remotos utilizando identidades falsas, a menudo alegando
vínculos con consultoras extranjeras poco conocidas y difíciles de verificar.
Una vez contratados, frecuentemente a través de contratistas externos,
recurren a servidores proxy para portátiles con sede en EE.UU. que reciben el
hardware de la empresa y les proporcionan acceso remoto.
En este caso, las herramientas de seguridad de endpoints de Amazon detectaron
el comportamiento de control remoto, mientras que los analistas compararon el
currículum del trabajador con patrones conocidos de la RPDC.
También surgieron señales de alerta lingüísticas, como una redacción extraña
en inglés y el uso incorrecto de artículos como «a» y «the», reconocidos como
indicadores en casos similares.
Los actores estatales y las redes de fraude organizadas explotan cada vez más
los modelos de contratación remota para obtener acceso legítimo a entornos
corporativos. Los controles tradicionales de detección y seguridad ya no son
suficientes para detectar esquemas sofisticados de suplantación de identidad y
trabajadores proxy.
Prevención
La defensa contra estas amenazas requiere un enfoque coordinado que combine la
verificación de identidad, la detección técnica y el conocimiento
interdisciplinario.
-
Refuerce la verificación de identidad y las comprobaciones de antecedentes
para las contrataciones remotas mediante la comprobación de identidad en
vivo, la validación de geolocalización y la reverificación periódica. -
Implemente una monitorización avanzada de endpoints y comportamiento para
detectar anomalías como la latencia de las pulsaciones de teclas, las
herramientas de control remoto y los cambios repentinos en el comportamiento
del usuario. -
Aplique controles estrictos de dispositivos y acceso vinculando los
portátiles corporativos a identidades verificadas, restringiendo el acceso
por geografía o ASN y bloqueando el uso persistente del escritorio remoto. -
Aplique el acceso con privilegios mínimos y la segmentación para empleados y
contratistas, incluyendo privilegios justo a tiempo y controles más
estrictos sobre los proveedores de personal externos. -
Correlacione la telemetría de RR.HH., identidad, endpoints y red para
detectar proactivamente amenazas internas y patrones organizados de
suplantación de identidad. -
Capacite a los equipos de RR.HH., TI y seguridad para que reconozcan
indicadores técnicos y no técnicos de fraude, como la reutilización de
currículums, inconsistencias lingüísticas y patrones de trabajo anormales.
En conjunto, estos pasos fortalecen la ciberresiliencia al validar
continuamente la confianza, minimizar la exposición y mejorar la detección y
la respuesta a los riesgos de información privilegiada y suplantación de
identidad.
El descubrimiento de Amazon refleja un patrón más amplio de abuso vinculado a
los modelos de trabajo remoto. Las autoridades estadounidenses han
desmantelado múltiples operaciones de «cultivo de portátiles» («laptop farming») asociadas con Corea del Norte.
Laptop Farming
Normalmente, las granjas de computadoras portátiles engañan a las empresas
para que empleen involuntariamente a trabajadores extranjeros mediante
elaboradas estafas de robo de identidad, fraude bancario y blanqueo de
capitales, a menudo para financiar actividades autorizadas como el programa de
desarrollo de misiles balísticos de Corea del Norte. Estos esquemas operan
según una estructura bastante simple. Primero, ciberoperadores entrenados, a
menudo ubicados fuera de su país de origen, adquieren identidades falsas, ya
sea de víctimas involuntarias o de participantes voluntarios que ofrecen su
identidad en una práctica llamada muling.
Los agentes luego enriquecen sus personajes con currículums, perfiles de
LinkedIn, portafolios de trabajo, cartas de presentación, tarjetas de
identificación y otros documentos de corroboración, proporcionando un registro
digital para posibles empleadores. Los atacantes luego solicitan y obtienen
trabajo remoto en empresas occidentales, a veces incluso utilizando
herramientas avanzadas de inteligencia artificial para realizar entrevistas en
línea con posibles empleadores. Una vez que obtienen un puesto, los agentes
estadounidenses instalan la «granja de portátiles» física, donde computadoras
equipadas con software de acceso remoto permiten a los trabajadores de TI con
sede en el extranjero conectarse a las redes de la empresa víctima y ejecutar
tareas a miles de kilómetros de distancia.
También se han observado técnicas similares en actividades vinculadas a Rusia,
Irán y China, donde se utiliza el acceso remoto y la infraestructura proxy
para ocultar la ubicación y eludir los controles de seguridad estándar.
A medida que evoluciona la suplantación remota, las organizaciones también
enfrentan desafíos crecientes a la hora de detectar identidades sintéticas y
deepfakes que desdibujan la línea entre el fraude y los usuarios
legítimos.
Fuente:
Esecurity