Una estafa masiva organizada por Pyongyang afecta a GitHub, Upwork y Freelancer

Los hackers norcoreanos ya han desviado millones en bitcoin y ether, situándose entre las peores pesadillas de la comunidad cripto. Temidos, perseguidos, maldecidos, sin embargo, logran evadir todas las redes. Porque, recientemente, ya no solo roban: reclutan, organizan, infiltran y estructuran. GitHub, Upwork, Freelancer… todas las plataformas se han convertido en sus terrenos de caza. Y lo que ahora buscan ya no es solo un gran botín, sino la propia estructura de la economía descentralizada.

Cuando los reclutadores de IA y los perfiles falsos infestan las plataformas tecnológicas

En 2024, Pyongyang, que cuenta con más de 60 desarrolladores en plataformas cripto, ha dado un nuevo paso en su guerra digital. Los hackers del régimen ya no solo postulan a ofertas: las crean. En Upwork, Freelancer o GitHub, publican anuncios diseñados para atraer desarrolladores especializados en cripto. Detrás de estas ofertas aparentemente ordinarias se esconde un plan bien elaborado: el candidato es invitado a descargar un proyecto alojado en GitHub, supuestamente como prueba técnica. El código contiene malware, a menudo del tipo BeaverTail.

Para hacer estas trampas indetectables, los agentes norcoreanos utilizan IA para generar rostros, falsificar voces y producir documentos oficiales ultra creíbles. Usan herramientas sofisticadas para mejorar archivos de identidad, alterar fotos y modificar voces para engañar los sistemas de verificación. 

Nada se deja al azar: la apariencia, el sonido, los detalles administrativos están optimizados para superar los controles sin levantar la menor sospecha.

Requiere una entrevista en video en vivo e interactiva durante el proceso de selección, para asegurar que la apariencia del candidato coincida con la foto de perfil y los documentos presentados (a menudo robados o generados por IA).

Heiner García Pérez, miembro de SEAL Intel

Estos perfiles falsos se convierten en verdaderos caballos de Troya. El sistema KYC de las plataformas ya no es una barrera, sino una herramienta de camuflaje. Es una guerra de apariencias donde el régimen norcoreano lleva la batuta.

Ingeniería social y explotación humana: reclutadores con una sonrisa digital

La astucia norcoreana no se detiene en las herramientas. Se apoya en las debilidades humanas. Los agentes de Pyongyang apuntan a personas vulnerables: freelancers aislados, ucranianos en crisis, mujeres que buscan independencia económica. En foros como InterPals o AbleHere, los acercamientos siempre empiezan suavemente: un intercambio amistoso, una promesa de ingresos, una prueba rápida.

Luego llega la espiral: documentos de identidad, software como AnyDesk, toma de control de la cuenta freelance. Los “reclutados” se convierten en frentes. Y el reparto es claro: 20% para ellos, 80% para el operador.

Un documento interno encontrado en los archivos de un hacker indica una organización casi militar: guiones de contacto, procedimientos de incorporación, PowerPoint explicativo. El fraude se convierte en un negocio de subcontratación digital.

La comunidad cripto, que se basa en la descentralización, es la presa perfecta. Las billeteras digitales son accesibles, los freelancers cripto son numerosos, las identidades circulan.

Detrás de este sistema, una verdad escalofriante: Pyongyang explota a individuos para engañar a otros. Y todo esto bajo una máscara amistosa, benévola, casi atractiva.

Redes opacas, cripto e IA: el plan de negocio de Pyongyang

Lo que Corea del Norte ha establecido equivale a un plan industrial. Los pagos pasan por plataformas de freelancers a cuentas bancarias o billeteras cripto en manos de “proxies”. Luego, los fondos se repatrian en forma de criptoactivos a Pyongyang o sus cómplices.

La IA sigue jugando un papel aquí: perfiles generados, historiales de actividad simulados, videollamadas falsas en Zoom para validar identidades. Los reclutadores a veces piden a sus colaboradores que inscriban a su círculo, formando una red piramidal difícil de rastrear.

La esfera cripto se convierte en el canal ideal para estos flujos invisibles: sin banco, sin regulador, sin aduana.

Resumen visual de los hechos clave:

• Más de 300 desarrolladores objetivo desde 2024;
• Pago redistribuido según una regla: 80% operador / 20% proxy;
• Plataformas infiltradas: Upwork, Freelancer, GitHub…;
• Uso masivo de IA para el robo de identidad; 
• Malware extendido: BeaverTail, InvisibleFerret.

Este modelo funciona porque mezcla tecnología y manipulación psicológica, con una eficacia formidable. Las plataformas, a menudo desbordadas, luchan por bloquear estas cuentas, que reaparecen bajo otros nombres, otros rostros.

Los hackers norcoreanos desangraron el universo cripto en 2024. Con 1.3 billions de dólares desviados, firmaron un año récord. Su estrategia evoluciona. Su poder también. ¿Hasta dónde llegarán?