Amazon identificó a un infiltrado norcoreano a través de la latencia en las pulsaciones de teclas, lo que resalta los peligros de la contratación remota y la necesidad de implementar controles de identidad más rigurosos.
Un ligero retraso en las pulsaciones fue suficiente para que Amazon detectara a un agente encubierto de un estado-nación. «Si no hubiéramos estado buscando trabajadores de la RPDC, no los habríamos encontrado», comentó Stephen Schmidt, director de seguridad de Amazon.
Lo que aparentaba ser un administrador remoto de sistemas en EE.UU. resultó ser un profesional de TI norcoreano que accedía a la red de Amazon desde el otro lado del mundo, lo cual fue evidenciado por una latencia de apenas 110 milisegundos.
Este incidente pone de manifiesto un riesgo creciente para las organizaciones que adoptan el teletrabajo: actores estatales que aprovechan los canales de contratación globales para obtener acceso legítimo a entornos corporativos.
Corea del Norte, muy sancionada y aislada, ha convertido el fraude informático remoto en una fuente de ingresos que financia sus programas de armas, a la vez que representa una amenaza interna para empresas grandes y pequeñas.
La latencia de las pulsaciones de teclas revela la suplantación de identidad remota
El caso se presentó a principios de este año cuando el sistema de monitoreo de seguridad de Amazon detectó comportamientos inusuales en una laptop corporativa nueva, asignada a un administrador de sistemas.
Aunque el dispositivo se encontraba físicamente en Arizona, los investigadores notaron que las entradas de comandos llegaban a la infraestructura de Amazon en Seattle con mayor lentitud de lo habitual.
Para los trabajadores con sede en EE.UU., las pulsaciones de teclas deberían registrarse en menos de 100 milisegundos. Sin embargo, constantemente superaron los 110 milisegundos, un indicativo sutil pero significativo de acceso desde el extranjero.
De acuerdo con Bloomberg, Amazon determinó que la laptop estaba siendo controlada de forma remota, y el tráfico de red se rastreó hasta China, un punto de retransmisión común utilizado por operadores norcoreanos. Amazon rápidamente confirmó que el individuo formaba parte de un plan más amplio de trabajadores de TI de la RPDC y canceló el acceso en cuestión de días.
Amazon afirma que ha bloqueado más de 1.800 intentos de contratación norcoreanos desde abril de 2024, con un aumento intertrimestral del 27%.
Estrategias de fraude en el trabajo remoto de TI
Los trabajadores de TI suelen operar mediante engaños complejos. Solicitan puestos remotos utilizando identidades falsas, frecuentemente alegando vínculos con consultorías extranjeras poco conocidas y difíciles de verificar.
Una vez que son contratados, a menudo a través de contratistas externos, utilizan servidores proxy para laptops con sede en EE.UU. que reciben el hardware de la empresa y les permiten acceso remoto.
En este caso, las herramientas de seguridad de endpoints de Amazon detectaron el comportamiento de control remoto, mientras que los analistas compararon el currículum del trabajador con patrones conocidos asociados a la RPDC.
También se notaron alertas lingüísticas, como una redacción peculiar en inglés y el uso erróneo de artículos como «a» y «the», que han sido reconocidos como indicadores en casos similares.
Los actores estatales y las redes de fraude organizadas cada vez más explotan modelos de contratación remota para obtener acceso legítimo a entornos corporativos. Los controles tradicionales de detección y seguridad ya no son suficientes para identificar esquemas sofisticados de suplantación de identidad y trabajos proxy.
Prevención
La defensa contra estas amenazas requiere una estrategia coordinada que combine verificación de identidad, detección técnica y conocimiento interdisciplinario.
- Fortalezca la verificación de identidad y los antecedentes para las contrataciones remotas mediante validación en vivo, geolocalización y reverificación periódica.
- Implemente monitorización avanzada de endpoints y comportamiento para identificar anomalías como la latencia en pulsaciones, uso de herramientas de control remoto y cambios bruscos en el comportamiento del usuario.
- Aplique controles estrictos de dispositivos y acceso, vinculando laptops corporativos a identidades verificadas, limitando el acceso por geografía o ASN, y bloqueando el uso prolongado de acceso remoto.
- Aplique el principio de privilegios mínimos y segmentación para empleados y contratistas, incluyendo controles más rigurosos sobre proveedores de personal externos.
- Correlacione la telemetría de RR.HH., identidad, endpoints y red para detectar proactivamente amenazas internas y patrones organizados de suplantación de identidad.
- Capacite a los equipos de RR.HH., TI y seguridad para reconocer indicadores técnicos y no técnicos de fraude, como la reutilización de currículums y patrones de trabajo anormales.
En conjunto, estas acciones refuerzan la ciberresiliencia al validar continuamente la confianza, reducir la exposición y mejorar la detección y respuesta ante riesgos de información privilegiada y suplantación de identidad.
El hallazgo de Amazon es representativo de un patrón más amplio de abusos relacionados con el trabajo remoto. Las autoridades estadounidenses han desmantelado múltiples operaciones de «cultivo de laptops» («laptop farming») asociadas con Corea del Norte.
Laptop Farming
Por lo general, las granjas de laptops engañan a las empresas para que contraten involuntariamente a trabajadores extranjeros mediante estafas de robo de identidad, fraude bancario y blanqueo de capitales, frecuentemente para financiar actividades, como el programa de desarrollo de misiles balísticos de Corea del Norte. Estos esquemas operan a partir de una estructura relativamente simple. Primero, ciberoperadores entrenados, a menudo ubicados fuera de su país de origen, obtienen identidades falsas, ya sea de víctimas involuntarias o de participantes voluntarios que ofrecen su identidad en una práctica conocida como muling.
Los agentes luego enriquecen sus perfiles con currículums, perfiles de LinkedIn, portafolios, cartas de presentación, tarjetas de identificación y otros documentos que validan su identidad, creando así un registro digital para posibles empleadores. Posteriormente, solicitan y obtienen trabajos remotos en empresas occidentales, a veces utilizando herramientas avanzadas de inteligencia artificial para llevar a cabo entrevistas virtuales con los empleadores. Una vez que consiguen un puesto, establecen la «granja de laptops» física, donde computadoras equipadas con software de acceso remoto permiten a los trabajadores de TI extranjeros conectarse a las redes de la empresa víctima y ejecutar tareas a miles de kilómetros de distancia.
Técnicas similares también se han observado en actividades vinculadas a Rusia, Irán y China, donde se utiliza el acceso remoto y la infraestructura proxy para ocultar ubicaciones y eludir controles de seguridad estándar.
A medida que evoluciona la suplantación remota, las organizaciones enfrentan crecientes desafíos para identificar identidades sintéticas y deepfakes que confunden la línea entre el fraude y los usuarios legítimos.
Fuente:
Esecurity
Con Información de blog.segu-info.com.ar