.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
El fraude de trabajadores norcoreanos se ha convertido en una amenaza global. Aunque en un principio se centraba en las empresas del sector tecnológico estadounidense, el plan se ha extendido a otras regiones y sectores, como el financiero, el sanitario y el gubernamental. Cualquier empresa que contrate a trabajadores remotos está en peligro; como empresa del sector tecnológico que da prioridad al trabajo remoto, incluso Sophos ha sido blanco de agentes patrocinados por el estado norcoreano que se hacen pasar por trabajadores de TI.
Evaluación del riesgo
Los autores de las amenazas se centran en puestos de trabajo bien remunerados y totalmente remotos, con el objetivo principal de obtener un salario que pueda financiar los intereses del gobierno norcoreano. Por lo general, solicitan puestos de ingeniería de software, desarrollo web, inteligencia artificial/aprendizaje automático, ciencia de datos y ciberseguridad, aunque también se han expandido a otras funciones.
Las organizaciones que contratan a estos “trabajadores” se enfrentan a muchos riesgos. Contratar a trabajadores norcoreanos puede suponer una violación de las sanciones. Además, los actores maliciosos podrían llevar a cabo actividades tradicionales de amenaza interna, como el acceso no autorizado y el robo de datos confidenciales. Los trabajadores fraudulentos pueden complementar la generación de ingresos utilizando amenazas de exposición de datos para extorsionar a la organización, especialmente después de haber sido despedidos.
El tamaño de la organización no parece ser un factor en este esquema. Sophos ha observado que se dirigen tanto a operaciones individuales que buscan contratistas o ayuda temporal como a empresas de la lista Fortune 500. Los trabajadores de las empresas más grandes suelen ser contratados a través de una agencia externa, donde los controles de empleo pueden no ser rigurosos.
Cómo podemos ayudar
Hemos perfeccionado una iniciativa interna que adopta un enfoque multifuncional para hacer frente a esta amenaza. A lo largo de este proceso, hemos encontrado una gran cantidad de medidas defensivas disponibles para las organizaciones. Sin embargo, recopilarla en un conjunto de controles coherente y aplicable requirió un esfuerzo significativo. Para los defensores, saber qué hacer suele ser sencillo. El verdadero reto radica en cómo hacerlo.
Cualquiera que haya implementado controles sabe que lo que parece sencillo sobre el papel puede convertirse rápidamente en un complejo reto de diseño, especialmente cuando se buscan soluciones escalables, prácticas y sostenibles. Decidimos publicar un manual para ayudar a otras organizaciones a hacer frente a esta amenaza. Al desarrollar estos materiales, dimos prioridad a la especificidad sobre la aplicabilidad general. Los controles se basan en las prácticas recomendadas, nuestros propios procesos y la información sobre amenazas de nuestros investigadores de seguridad, que han estado monitoreando las tácticas, técnicas y procedimientos (TTP) utilizados por los actores de amenazas norcoreanos.
El manual incluye un conjunto de herramientas que contiene dos versiones de una matriz de control (estática y lista para el gestor de proyectos), una guía de implementación y diapositivas de formación. Dividimos la matriz de control en ocho categorías que abarcan desde la adquisición de empleados hasta después de la contratación:
Controles de RR. HH. y procesos
Entrevistas y selección
Identidad y verificación
Banca, nóminas y finanzas
Seguridad y supervisión
Terceros y personal
Formación
Búsqueda de amenazas
La matriz enumera controles técnicos y de procesos, ya que evitar y expulsar a los trabajadores norcoreanos fraudulentos no es simplemente, ni siquiera principalmente, una cuestión de sector tecnológico. La solución requiere la colaboración entre equipos internos, como RR. HH., TI, jurídico, finanzas y ciberseguridad, así como contratistas externos. La versión «lista para el gestor de proyectos» incluye hojas de cálculo adicionales para generar tablas dinámicas que reflejen el estado de los controles y la propiedad. Las hojas de cálculo están prellenadas con datos para ilustrar la funcionalidad.
Es posible que algunos de estos controles no sean adecuados para todas las organizaciones, pero ofrecemos este kit de herramientas como recurso. Animamos a las organizaciones a que adapten las recomendaciones a sus entornos y modelos de amenazas.
