Un espía norcoreano intentó infiltrarse en una criptoempresa. No esperaba que le preguntaran por Halloween
Publicado el 18/05/2025 por Diario Tecnología Artículo original
El cine, los videojuegos y las historias de agentes dobles llevan décadas mostrando la imagen de los espías como algo arriesgado, solitario y, en ocasiones, lujurioso. La realidad es que ese trabajo de campo ha pasado a un segundo plano en una era en la que impera el ciberespionaje y la infiltración laboral. China y Corea del Norte son protagonistas cada cierto tiempo cuando hablamos de este asunto y, en ocasiones, la tapadera es tan burda que basta con una única pregunta para destapar el pastel:
Qué se hace en Halloween.
Steven Scott Jr. Smith. Ese nombre es lo más estadounidense que hay, el equivalente al José Pérez en España. Steven pidió trabajo en Kraken, un banco y exchange de criptomonedas estadounidense y, desde el primer minuto de la prueba, algo fallaba.
Como leemos en Fortune, Steven, que afirmaba tener 11 años de experiencia como ingeniero de software en empresas como Cisco y dos años viviendo en Houston, Texas, se conectó a la videollamada con un nombre diferente al que mostraba en su currículo y lo cambió rápidamente. También respondía preguntas sencillas con titubeos y, para otras más complejas, tardaba algo más en responder, como si estuviera hablando con alguien más que le chivaba las respuestas.
Acorralando al espía. Eso alertó a los reclutadores, y ahí es donde empezaron a hacerle preguntas que nada tenían que ver con el trabajo, ya que escondían otra intención: pillar a lo que creían que era un espía intentando colarse en su sistema. La entrevista se realizó el 31 de octubre, fiesta de Halloween en Estados Unidos, y los reclutadores realizaron tres preguntas clave.
- Ante el comentario de que esa noche habría que cerrar antes porque habría niños llamando a las puertas de las casas, Steven comentó que no haría “nada especial” si llamaban a la suya.
- Entre los intereses que reflejó en el currículo figuraba la comida. Uno de los reclutadores le comentó que iría a Houston en unos días y que si podía recomendarle un restaurante de la ciudad. Steven miró a su alrededor, sonrió y dijo “no hay nada especial aquí”. Raro, teniendo en cuenta que, en una ciudad de 2,3 millones de habitantes, al menos un restaurante bueno debe haber.
- La tercera petición fue que le mostrara una identificación. Steven comentó que no la tenía a mano, pero tras unos minutos, les compartió una foto de su carné de conducir con una dirección que está a más de 480 kilómetros de Houston.
En el siguiente vídeo de CBS se puede ver tanto la licencia como la pregunta d e los restaurantes:
Cultura de la paranoia productiva. La propia Kraken cuenta la historia en su blog, detallando que se dieron cuenta enseguida de que algo iba mal y siguieron con la entrevista con un objetivo: estudiar su enfoque para intentar extraer detalles sobre su identidad. Las empresas que se dedican a las cripto han tenido problemas de robos recientemente y Nick Percoco, uno de los responsables de seguridad de Kraken, afirma que estos ataques no son un problema exclusivo de empresas como las suyas, sino una amenaza global.
También apunta tres claves de esta reciente estrategia de espionaje/robo:
- No todos los atacantes fuerzan la entrada, sino que intentan entrar por la puerta principal de las empresas, postulándose como empleados.
- La IA generativa facilita el engaño, ya que se usa para pasar las pruebas iniciales como el currículo o la foto, por lo que las entrevistas se antojan clave con preguntas de verificación que eviten patrones predecibles. El ejemplo de Halloween o la recomendación de restaurantes, por ejemplo.
- Por último, es clave tener una cultura de paranoia productiva. Afirman que la seguridad no es sólo responsabilidad de los equipos de reclutamiento y seguridad de las empresas, sino que debería ser una mentalidad más global.
No es algo aislado. Cuando el equipo de Kraken investigó sobre el historial operativo de Steve, descubrió cosas interesantes. Por ejemplo, usaba un escritorio Mac ubicado en un centro de datos compartido. Se conectaba mediante una VPN para ocultar tanto la ubicación como la actividad en red y su currículo estaba vinculado a un perfil de GitHub en el que figuraba una dirección de correo comprometida en una filtración de datos.
Esto concuerda con investigaciones y descubrimientos anteriores, con espías que usan ese mismo proceder al conectarse utilizando VPN para simular que están en una dirección de Estados Unidos, pero realmente encontrándose en Corea del Norte y China. Y no sólo están intentando colarse en empresas estadounidenses: Europa no se libra.
Industria de misiles. ¿La sospecha de los investigadores? Doble. Por un lado, hay espías que, directamente, roban en sus empresas. Un ejemplo son casos de empresas cripto. Pero otro caso tiene que ver con el envío de su sueldo íntegro al Gobierno norcoreano para financiar la industria armamentística.
Célebre es el caso de Christina Marie Champman en Arizona. Operaba una granja de ordenadores remotos desde los que los atacantes simulan que están en suelo estadounidense. Como apunta CNN, usando esa red se consiguieron 6,8 millones de dólares para, según Bloomberg, financiar el programa de armas nucleares de Corea del Norte.
China no se libra, pero tiene otro enfoque. Y no sólo Corea del Norte está interesada en colarse en empresas occidentales: también se ha pillado a China en alguna ocasión. El objetivo, sin embargo, es diferente: mientras unos buscan fondos para su industria armamentística, otros quieren conocimiento para el desarrollo de la industria de los chips.
A finales de 2003, ASML (la empresa europea que crea las máquinas más avanzadas para crear semiconductores de vanguardia) denunció el robo de información confidencial, sospechando que uno de sus exempleados entregó secretos empresariales a Huawei. También se acusó a otra espía de robar información de SK Hynix, de nuevo, para Huawei.
Es un problema mayúsculo para occidente, pero también… para China. A mediados de 2024, Estados Unidos mandó un mensaje de alerta a ASML y al resto de universidades de Países Bajos: “cuidado con los estudiantes chinos”. Y esto es algo que, evidentemente, pone una diana sobre todos los estudiantes, también sobre los legítimos.
Imágenes | Xataka con ChatGPT
utm_campaign=18_May_2025"> Alejandro Alcolea .