Según todos los informes, China es el principal promotor del cibercrimen global. Pero hay un pequeño país asiático que sigue ganando importancia en esta industria. Así es Corea del Norte, un Estado asfixiado por embargos comerciales que encontró su principal fuente de divisas en actividades criminales en línea. Los analistas coinciden en que la estructura del grupo piratas informáticos supuestamente financiado por Pyongyang, se está volviendo más complejo: se están creando grupos especializados en diferentes tipos de ciberataques que se coordinan entre sí. También destacan que sus métodos son cada vez más sofisticados. Según un informe reciente de CrowdStrike, el número de incidentes relacionados con este país aumentó un 130% en 2025 en comparación con el año anterior. Entre ellos hay Robo de 1.460 millones de dólares en criptomonedas del portal Bybitconsiderado el mayor cibergolpe de la historia.
Países como los citados China, Rusia, Irán, Israel o Estados Unidos patrocinan extraoficialmente equipos piratas informáticos para que puedan realizar sabotajes u obtener información valiosa. Son útiles para operaciones encubiertas porque es extremadamente difícil atribuir responsabilidad por incidentes en el ámbito cibernético. El caso de Pyongyang es diferente: utiliza su equipo de expertos en informática, conocido como Lazarus, no tanto para trabajos de inteligencia como para ganar dinero.
Un líder querido y respetado es una de las formas formales de abordar Kim Jong Un— Hace muchos años, eligió el cibercrimen como fuente de ingresos que le permitiría sobrevivir a las duras sanciones internacionales a las que está sujeto su país. «A pesar de mejorar las relaciones comerciales con Rusia, la República Popular Democrática de Corea (nombre oficial de Corea del Norte) necesita ingresos adicionales para financiar sus ambiciosos planes militares, que incluyen la construcción de nuevos destructores, la producción de submarinos nucleares y el lanzamiento de nuevos satélites de reconocimiento», señaló el informe CrowdStrike.
El grupo Lazarus llevó a cabo los mayores robos de criptomonedas hasta la fecha: segundo mayor éxito de la historia, robando 625 millones de dólaresera su trabajo. También son especialistas en introducir trabajadores en empresas estadounidenses consideradas estratégicastanto para ganar dinero como para robar secretos industriales. Recientemente agregaron una poderosa herramienta para hacer más efectivos sus ataques: la inteligencia artificial generativa.
“Deepfakes” para hacerse pasar por trabajadores
Hay evidencia de que Penetración masiva de trabajadores remotos norcoreanos en empresas occidentales ganar dinero y robar secretos industriales desde al menos 2019, cuando la pandemia impulsó la contratación de personal remoto. Reciente información sobre el grupo de inteligencia sobre amenazas de GoogleLa división de ciberseguridad del gigante tecnológico considera que las incursiones de estos agentes como empleados de empresas de armas y aeroespaciales son una de las mayores amenazas que enfrenta la industria de defensa.
La novedad es que están utilizando IA generativa para pulir estas penetraciones. “Los agentes utilizan identidades ficticias y deepfakes (videos hiperrealistas) generados por inteligencia artificial (IA) para evitar las entrevistas en video, lo que en última instancia permite que cientos de millones de dólares en ingresos se canalicen al régimen”, dijo Cloudflare en su Informe de amenazas globales 2026.
El trabajo remoto es común en muchos trabajos de TI. Los norcoreanos, a quienes se les ha prohibido trabajar en Estados Unidos, se han hecho pasar por ciudadanos estadounidenses durante al menos dos años para conseguir empleo allí, principalmente en empresas tecnológicas o bancos. Para ello recurren a llamadas granjas de portátiles (granjas de portátiles)o grupos de computadoras compradas en Estados Unidos e instaladas en hogares u oficinas de ese país, que luego son administradas remotamente desde el extranjero. Utilizando este sistema, los piratas informáticos norcoreanos obtienen direcciones IP estadounidenses (identificador de dispositivo), lo que les permite superar las barreras basadas en la ubicación.
Una vez obtenida la máquina, hay que inventar un futuro trabajador. Para aumentar su legitimidad, «miles de operadores crean identidades digitales para sus usuarios en LinkedIn o GitHub». alquilar a menudo las credenciales de los ciudadanos estadounidenses involucrados», dijo Cloudflare en el informe. La última incorporación al arsenal de herramientas para engañar a las empresas objetivo es el «uso deepfakes pasar la entrevista.»
El análisis de Crowdstrike concluye que la inteligencia artificial generativa está permitiendo a los hackers norcoreanos industrializar lo que solía ser trabajo manual: les ayuda a crear huellas digitales confiables y a mantener interacciones consistentes a lo largo del tiempo. Además de hacer deepfakes en las entrevistas, crean currículums utilizando IA y crean identidades falsas. Los expertos de Cloudflare también documentaron “el uso de video y audio falsificados para hacerse pasar por ejecutivos de empresas específicas durante las llamadas de Zoom con los empleados” y engañarlos para que “descarguen cargas útiles maliciosas”.
Estructura creciente
CrowdStrike Labs ha descubierto dos nuevos grupos creados dentro de Lazarus: Pressure Chollima y Golden Chollima. «Estas unidades se centran en las criptomonedas, mientras que otros grupos preexistentes, como Labyrinth Chollima, siguen dependiendo del apoyo de la recopilación de inteligencia. La infraestructura y las herramientas compartidas fomentan la coordinación en lugar de la fragmentación», explica Adam Meyers, jefe de operaciones de cibercrimen en CrowdStrike.
El equipo de Meyers identifica siete facciones diferentes en Lazarus con objetivos y especializaciones claramente definidos, pero que incluso comparten un depósito común de código que utilizan para preparar sus ataques. «Las actividades de los grupos vinculados a Corea del Norte reflejan una aceleración y un refinamiento de sus tácticas, más que un cambio fundamental en ellas. El uso de la IA es parte de esta evolución. Es un multiplicador de fuerza que aumenta la escala, el realismo y la eficiencia operativa», añade el texano.
«El régimen norcoreano permite activamente que los piratas informáticos de élite sean incluidos en la Oficina 121 (la unidad de expertos en informática del ejército)», escribe la australiana Anna Fifield en su libro. Gran sucesor (Capitán Swing, 2021), que cuenta la poco conocida vida del nieto de Kim Il Sung. «Los estudiantes que muestran habilidades potenciales en este sentido, algunos de tan solo 11 años, son enviados a escuelas especiales y luego a la Universidad de Automatización de Pyongyang», donde «se les enseña durante más de cinco años cómo piratear sistemas y crear virus informáticos». El esfuerzo vale la pena.
0 Comments