«Tenemos políticas estrictas que prohíben el uso de Slack por parte de personas o entidades sancionadas, y tomamos medidas rápidas cuando identificamos actividades que violan estas reglas. Cooperamos con las fuerzas del orden y las autoridades pertinentes como exige la ley y no hacemos comentarios sobre cuentas específicas o investigaciones en curso», argumentó Allen Tsai, director sénior de comunicaciones corporativas de Salesforce, la empresa matriz de Slack.
Otra hoja de cálculo también enumera a los miembros como parte de una «unidad» llamada «KUT», una posible abreviatura de la Universidad de Tecnología Kim Chaek de Corea del Norte, que ha sido citada en las advertencias del gobierno de los Estados Unidos sobre los trabajadores de TI vinculados a Corea. En una columna de la hoja de cálculo también figura como «propietario» «Ryonbong», probablemente en referencia a la empresa de defensa Korea Ryonbong General Corporation, sancionada por Estados Unidos desde 2005 y por la ONU desde 2009. «La gran mayoría de los trabajadores informáticos están subordinados y trabajan en nombre de entidades directamente implicadas en los programas de armas de destrucción masiva y misiles balísticos de la RPDC, prohibidos por la ONU, así como en sus sectores de desarrollo y comercio de armas convencionales avanzadas», afirmó el Departamento del Tesoro (USDT, por sus siglas en inglés) en un informe de mayo de 2022.
En la serie de cuentas de GitHub y LinkedIn, CVs y sitios web de portafolio vinculados a trabajadores de TI que los investigadores han identificado en los últimos años, a menudo hay patrones distintos. Las direcciones de correo electrónico y las cuentas utilizan los mismos nombres; los CV pueden parecer idénticos. «La reutilización del contenido de los currículums también es algo que hemos visto con frecuencia en sus perfiles», afirma Benjamin Racenberg, investigador sénior que ha rastreado a trabajadores informáticos norcoreanos en la empresa de ciberseguridad Nisos. Racenberg explica que los estafadores están adoptando cada vez más la IA para la manipulación de imágenes, videollamadas y como parte de los scripts que utilizan: «Para los sitios web de portafolios, les hemos visto utilizar plantillas y utilizar la misma plantilla una y otra vez», dice Racenberg.
Todo ello apunta a que los informáticos encargados de ejecutar los planes delictivos del régimen de Kim tienen que hacer un trabajo muy pesado. «Es mucho copiar y pegar», afirma Gordenker, de la Unidad 42. Gordenker ha seguido la pista de un presunto informático que utilizaba 119 identidades: «Busca en Google generadores de nombres japoneses, por supuesto, mal escritos, y luego, en el transcurso de unas cuatro horas, rellena hojas de cálculo llenas de nombres y lugares potenciales».
Pero la documentación detallada también sirve para otra cosa: hacer un seguimiento de los informáticos y sus acciones. «Una vez que el dinero llega a las manos de los dirigentes, hay muchos elementos en movimiento, así que van a necesitar cifras exactas», afirma Barnhart, de DTEX. En algunos casos se ha visto software de control de empleados en las máquinas de los estafadores, y los investigadores afirman que los norcoreanos en las entrevistas de trabajo no responden a preguntas sobre Kim.
SttyK afirma que vieron docenas de grabaciones de pantalla en canales de Slack que mostraban la actividad diaria de los trabajadores. En las capturas de pantalla de una instancia de Slack, la cuenta del «Jefe» envía un mensaje: «@canal: Todo el mundo debería intentar trabajar más de 14 horas al día como mínimo». El siguiente mensaje que envían dice: «Como saben, este registro de tiempo incluye el tiempo de inactividad».
«Curiosamente, su comunicación ha sido toda en inglés, no en coreano», señala SttyK. El investigador, junto con otros, especula que esto puede ser por un par de razones: en primer lugar, para mezclarse con la actividad legítima; y en segundo lugar, para ayudar a mejorar sus conocimientos de inglés para aplicaciones y entrevistas. Los datos de las cuentas de Google, según SttyK, muestran que utilizaban con frecuencia la traducción en línea para procesar mensajes.
Más allá de las formas en que los informáticos controlan su rendimiento, los datos obtenidos por SttyK ofrecen algunas pistas sobre el día a día de cada uno de los estafadores. Una hoja de cálculo enumera un torneo de voleibol que los informáticos tenían aparentemente planeado; en los canales de Slack, celebraban cumpleaños y compartían memes inspiradores de una popular cuenta de Instagram. En algunas grabaciones de pantalla, de les puede ver jugando a Counter-Strike. «Sentí que había una gran unidad entre los miembros», concluye SttyK.
Artículo publicado originalmente en WIRED. Adaptado por Alondra Flores.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y fue recopilada del sitio https://es.wired.com/articulos/un-dia-en-la-rutina-de-un-estafador-informatico-norcoreano
