Condenados por facilitar “granjas de portátiles” de Corea del Norte: cómo funcionaba la estafa y qué pueden hacer las empresas

mayo 9, 2026

Condenados por facilitar “granjas de portátiles” de Corea del Norte: cómo funcionaba la estafa y qué pueden hacer las empresas

Resumen del caso

El Departamento de Justicia de Estados Unidos ha condenado a 18 meses de prisión a Matthew Isaac Knoot (Nashville, Tennessee) y a Erick Ntekereze Prince (Nueva York) por su participación en esquemas que facilitaron el empleo remoto fraudulento de trabajadores de tecnología vinculados a Corea del Norte. Según la nota oficial, los dos hombres ayudaron a que operativos norcoreanos accedieran a puestos de trabajo en empresas estadounidenses enviando y alojando portátiles corporativos en domicilios de EEUU y configurándolos para permitir conexiones remotas desde el extranjero.

En el conjunto de ambos esquemas se atribuyen más de 1,2 millones de dólares en ingresos ilícitos para Corea del Norte y casi 70 empresas estadounidenses afectadas. En concreto, el expediente atribuye a Prince el papel de facilitar que al menos tres trabajadores IT norcoreanos fueran contratados entre junio de 2020 y agosto de 2024 mediante su empresa Taggcar Inc., con unos pagos por salarios superiores a 943.069 dólares. Knoot, por su parte, habría operado una “granja de portátiles” desde sus residencias entre julio de 2022 y agosto de 2023, por la que se pagaron más de 250.000 dólares.

Cómo funcionaba la técnica: la casa como infraestructura

El método descrito por la fiscalía es deliberadamente simple y eficaz porque se apoya en procedimientos corporativos habituales: envío de equipos a una dirección física asociada a un empleado. El flujo general era el siguiente:

  • Una empresa contrata a un supuesto trabajador remoto y envía un portátil corporativo a una dirección en Estados Unidos.
  • Ese equipo es recibido y mantenido en domicilios físicos facilitados por colaboradores locales (las denominadas “laptop farms”).
  • Se instalan herramientas de acceso remoto (sin autorización de la empresa) que permiten a operadores desde el extranjero —en este caso, Corea del Norte— controlar el equipo como si estuvieran “localmente” en Estados Unidos.
  • Las conexiones y la actividad parecen proceder de un entorno legítimo dentro del país receptor, dificultando la detección inicial.

Además, la operación combinaba identidades robadas o fabricadas para presentar perfiles profesionales creíbles y así pasar los procesos de selección. Informes citados por la prensa y grupos de inteligencia señalan que las operaciones han evolucionado incorporando herramientas de IA para generar CV y mensajes localizados.

Contexto y antecedentes: por qué esto importa

Este caso forma parte de una cadena más amplia de casos contra facilitadores en Estados Unidos, que según el propio Departamento de Justicia han desembocado en al menos siete u ocho condenas en los últimos meses dirigidas a interrumpir las fuentes de ingreso ilícito de Corea del Norte. La táctica no es solo fraude laboral: permite evasión de sanciones, obtención de divisas y acceso a información sensible.

En 2025, Google Threat Intelligence Group y medios especializados alertaron del desplazamiento de estas operaciones hacia Europa, con búsquedas de empleo y facilitadores locales en Reino Unido, Alemania y Portugal. Organizaciones como BISI (Britain-Israel Security International) han destacado la combinación de identidades robadas, perfiles manipulados y herramientas de IA para hacer los perfiles más creíbles.

La amenaza no es únicamente técnica: es una operación híbrida que mezcla ingeniería social, abuso de procesos de contratación y explotación de infraestructuras domésticas aparentemente inocuas.

Análisis para profesionales: qué falló y qué controles son eficaces

Desde la perspectiva de seguridad corporativa y recursos humanos, el caso ilustra múltiples fallos en controles y procesos que pueden explotarse con relativa facilidad. Comentarios prácticos para equipos técnicos y de talento:

  • Gestión de dispositivos y provisión: permitir el envío directo de dispositivos a direcciones no verificadas aumenta el riesgo. Lo recomendado es usar gestión centralizada (MDM/EMM), aprovisionamiento en centros corporativos o socios logísticos verificados, y activar dispositivos con políticas de seguridad antes de entrega.
  • Verificación de identidad reforzada: no basta el CV y documentos escaneados. Emplear entrevistas en video en vivo, comprobación de número de teléfono y cuentas bancarias con verificación de origen, y solicitar pruebas de vida y documentación fiscal según la jurisdicción.
  • Acceso y teleadministración: deshabilitar o controlar estrictamente software de escritorio remoto no inventariado. Implementar soluciones de acceso remoto corporativo con registros de sesión, MFA obligatorio y registros EDR/IDS para detectar conexiones inusuales.
  • Seguridad de red y geolocalización: confiar solo en la IP pública para determinar la localización de un empleado es insuficiente; las VPN y proxys pueden enmascarar la ubicación. En su lugar, combinar señales: comportamiento horario, patrones de latencia, configuración regional del sistema y correlaciones con información de recursos humanos.
  • Monitorización y respuesta: EDR y SIEM deben alertar sobre cambios persistentes de software remoto, nuevos agentes de acceso o tráfico cifrado a destinos no habituales. Disponer de procedimientos claros para aislar y auditar dispositivos sospechosos.

Riesgos, implicaciones y recomendaciones operativas

Los riesgos derivados de este tipo de esquemas no se limitan a pérdidas económicas directas. Las implicaciones incluyen:

  • Acceso no autorizado a datos sensibles de clientes o código fuente.
  • Posibles exfiltraciones y compromisos de propiedad intelectual.
  • Riesgos regulatorios y reputacionales por contratar o pagar a individuos vinculados a regímenes sancionados.
  • Erosión de la confianza en procesos de contratación remota y plataformas de empleo.

Recomendaciones concretas y accionables:

  • Revisar y endurecer las políticas de envío de hardware: preferir recogida en oficinas o por proveedores acreditados; registrar la cadena de custodia del equipo.
  • Imponer aprovisionamiento seguro: dispositivos cifrados, políticas de endpoint, MFA hardware donde sea posible y limitación de privilegios.
  • Integrar verificaciones de identidad reforzadas en el proceso de onboarding y auditorías periódicas de empleados remotos.
  • Educar a equipos de contratación sobre señales de fraude (correos genéricos, reticencia a entrevistas en vivo, discrepancias en documentación).
  • Colaborar con fuerzas de seguridad y compartir IOC (indicadores de compromiso) y patrones de fraude con grupos sectoriales y plataformas de empleo.

Casos comparables y tendencias

Aunque no se deben extrapolar casos aislados sin analizar contexto, hay tendencias constatadas por investigadores y empresas de seguridad:

  • La técnica de usar “laptop farms” ha sido identificada en múltiples investigaciones y acciones policiales en EEUU y, según reportes, se busca replicarla en Europa mediante facilitadores locales.
  • El uso de identidades robadas y herramientas de IA para crear CV y mensajes de presentación ha aumentado la dificultad de detección en procesos de reclutamiento online.
  • Organizaciones internacionales y analistas llevan años alertando de que Corea del Norte diversifica sus fuentes de ingresos a través de operaciones cibernéticas y de fraude que buscan divisas y acceso a tecnología.

Conclusión

El caso de Knoot y Prince vuelve a poner en evidencia que la superficie de ataque actual incluye prácticas administrativas cotidianas: la forma en que se contrata, se envía y se administra hardware. No es suficiente centrar la defensa en servidores y repositorios; hay que integrar controles en recursos humanos, logística y en el ciclo de vida del endpoint. Para las empresas, las lecciones son claras: verificar identidades más allá de documentación estática, controlar estrictamente la provisión de dispositivos y monitorizar el acceso remoto con herramientas de detección y respuesta. La combinación de procesos, tecnología y cooperación con autoridades reduce significativamente la probabilidad de que una “granja de portátiles” convierta un proceso normal en una puerta trasera para actores estatales o criminales.

Source: www.xataka.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

Granja de portátiles en EE.UU.: el fraude norcoreano que operaba desde casa
Granja de portátiles en EE.UU.: el fraude norcoreano que operaba desde casa
Noticias IA
La Paradoja Climática de la Inteligencia Artificial: El Desafío de las Grandes Tecnológicas
Noticias IA
El auge de la dieta carnívora en Estados Unidos: del chuletón a un movimiento ideológico
Noticias IA
El sistema para investigar y publicar artículos académicos sobre la IA está roto completamente roto… por el uso de IA
Noticias IA