Cómo los hackers norcoreanos utilizan ofertas de trabajo falsas para robar criptomonedas

Los piratas informáticos norcoreanos están saturando la industria de las criptomonedas con ofertas de trabajo que parecen creíbles como parte de su campaña para robar dinero digital, según una nueva investigación, datos sin procesar y entrevistas.

El problema se está volviendo tan común que los solicitantes de empleo ahora examinan regularmente a los reclutadores para detectar indicios de que podrían estar actuando en nombre de Pyongyang. Veinticinco expertos, víctimas y representantes corporativos con los que habló Reuters coincidieron en que el problema era omnipresente.

“Me pasa todo el tiempo y estoy seguro de que le pasa a todo el mundo en este espacio”, dijo Carlos Yanez, ejecutivo de desarrollo comercial de la firma de análisis de blockchain Global Ledger, con sede en Suiza, quien estuvo entre los recientemente atacados por los ladrones, según datos proporcionados por las empresas de ciberseguridad SentinelOne y Validin, que están publicando un informe sobre la campaña cibernética., abre una nueva pestañael jueves.

Yáñez dijo que, si bien evitó ser atacado, la calidad de las mascaradas realizadas por los norcoreanos había mejorado significativamente en el último año. "Da miedo lo lejos que han llegado", dijo.

Aunque no existe una estimación pública de cuánto dinero se obtiene solo con esta táctica, se cree que hackers norcoreanos robaron al menos 1.340 millones de dólares en criptomonedas el año pasado, según la firma de inteligencia blockchain Chainalysis. Tanto los observadores de Estados Unidos como de las Naciones Unidas han alegado que Pyongyang utiliza los robos para financiar su programa de armas autorizado.

Las acusaciones de que Pyongyang ataca el mundo blockchain con estafas sofisticadas no son nuevas. A finales del año pasado, el FBI emitió una advertencia pública., abre una nueva pestañaAfirmando que Corea del Norte estaba atacando agresivamente la industria de las criptomonedas con complejas y elaboradas estrategias de ingeniería social. Sin embargo, el informe de Reuters, corroborado por siete víctimas con capturas de pantalla de sus conversaciones con los hackers, proporciona detalles no publicados previamente sobre cómo engañan a sus víctimas, junto con un análisis detallado de sus tácticas.

Primero, un reclutador se pondría en contacto contigo a través de LinkedIn o Telegram con una propuesta de trabajo relacionada con blockchain. «Estamos ampliando nuestro equipo», decía un mensaje de LinkedIn del 20 de enero enviado a Victoria Perepel por un reclutador que pretendía representar a Bitwise Asset Management. «Buscamos especialmente personas apasionadas por los mercados de criptomonedas».

Tras un breve intercambio sobre el supuesto puesto y la remuneración, el reclutador animaba a los posibles solicitantes a visitar un sitio web desconocido para realizar una prueba de habilidades y grabar un vídeo. En ese momento, varios candidatos sospecharon.

¿Por qué no simplemente hacer una entrevista en vivo a través de una plataforma de video más conocida, como Google Meet o Zoom? Esa fue la objeción que planteó el emprendedor de aprendizaje automático Olof Haglund el 21 de enero cuando Wieslaw Slizewski, quien se hacía pasar por reclutador técnico de la plataforma de trading en línea Robinhood, lo contactó.

Slizewski se negó a ceder e insistió en que Haglund descargara el código para filmar el vídeo.

“Seguimos un proceso de contratación estructurado, y la evaluación por video es una parte clave de nuestra evaluación para garantizar la coherencia y la imparcialidad para todos los candidatos”, dijo Slizewski en un mensaje de LinkedIn.

Haglund terminó cancelando la entrevista, pero otros no. Un gerente de producto de una empresa estadounidense de criptomonedas, que habló bajo condición de anonimato para no ser identificado como solicitante de empleo, dijo que grabó el video y se lo envió a una persona que decía estar reclutando para la empresa de criptomonedas Ripple Labs. No fue hasta esa noche, cuando se dio cuenta de que faltaban 1000 dólares en ether y Solana de la billetera digital que guardaba en su computadora, que se dio cuenta de que lo habían engañado. Cuando buscó el perfil de LinkedIn del supuesto reclutador de Ripple, ya había desaparecido.

En otro caso, el consultor Ben Humbert conversaba vía LinkedIn con Mirela Tafili, una reclutadora que afirmaba actuar en nombre de la plataforma de intercambio de criptomonedas Kraken, sobre un puesto de gestión de proyectos. Tafili le pidió a Humbert que completara una breve entrevista virtual y le proporcionó un enlace que, según Tafili, les ayudaría a agilizar el proceso y a avanzar a la siguiente etapa. Humbert afirmó que sospechó y dio por terminada la conversación.

Ripple y Bitwise no respondieron a los mensajes solicitando comentarios. En un comunicado, Robinhood afirmó estar al tanto de una campaña a principios de este año que intentó suplantar la identidad de varias empresas de criptomonedas, incluida Robinhood, y que había tomado medidas para desactivar los dominios web vinculados a la estafa. LinkedIn indicó en un comunicado que las cuentas falsas de reclutadores identificadas por Reuters ya habían sido intervenidas. Telegram indicó que las estafas fueron eliminadas dondequiera que se encontraran. Los intentos de Reuters por contactar a los hackers fueron infructuosos.

SentinelOne y Validin atribuyen los robos a una operación norcoreana previamente denominada “Entrevista Contagiosa”., abre una nueva pestañaPor la empresa de ciberseguridad Palo Alto Networks. Los investigadores que siguieron la campaña concluyeron que los norcoreanos estaban detrás de ella basándose en varios factores, como el uso de direcciones IP y correos electrónicos vinculados a actividades previas de piratería informática norcoreana.

Como parte de su investigación, los investigadores descubrieron archivos de registro expuestos accidentalmente por los piratas informáticos que mostraban las direcciones de correo electrónico e IP de más de 230 personas (programadores, personas influyentes, contadores, consultores, ejecutivos, comerciantes y más) atacadas entre enero y marzo.

Reuters contactó a todos los objetivos para alertarlos sobre la actividad maliciosa. Los diecinueve que hablaron con la agencia de noticias confirmaron haber sido atacados en ese momento. Una de las empresas suplantadas por los hackers afirmó que esto era habitual en el sector de las criptomonedas.

“Todos los días pasa algo”, dijo Nick Percoco, director de seguridad de Kraken.

La misión de Corea del Norte ante las Naciones Unidas no respondió a los mensajes solicitando comentarios sobre las conclusiones de Reuters. Pyongyang niega reiteradamente haber cometido robos de criptomonedas.

Los objetivos identificados por Reuters fueron solo "una pequeña fracción" de las posibles víctimas de Contagious Interview, lo que a su vez representa un subconjunto de los esfuerzos generales de robo de criptomonedas de Corea del Norte, dijo Aleksandar Milenkoski, investigador principal de SentinelOne, quien fue uno de los coautores del informe.

"Son como un típico grupo de estafadores", dijo. "Buscan la amplitud".

Percoco, el ejecutivo de Kraken, afirmó que la compañía comenzó a detectar estafas de reclutamiento a finales del año pasado, con denuncias que persistieron durante marzo, abril y mayo. La compañía utiliza herramientas para buscar cuentas falsas que se hacen pasar por reclutadores, pero también recibe denuncias de personas externas que se ponen en contacto para decir: "Oye, estaba en una entrevista de trabajo con ustedes y de repente se volvió una verdadera estafa", dijo Percoco.

Dijo que era difícil para las empresas controlar la suplantación de identidad.

“Cualquiera puede decir que es un reclutador”, dijo.