El engaño del siglo: cómo Corea del Norte usa deepfakes de IA para infiltrar tecnológicas de EE. UU. y robar $2.000 millones

Los datos más recientes, que abarcan de abril de 2025 a mayo de 2026, muestran que los actores de amenazas norcoreanos ejecutaron el 47% de todas las intrusiones patrocinadas por el Estado con "acceso directo por teclado" en empresas tecnológicas de EE. UU., y Famous Chollima fue responsable de toda esa cuota . Se trata de una escalada significativa respecto a 2024, cuando CrowdStrike rastreó 304 incidentes de Famous Chollima, el 40% de los cuales implicó al adversario actuando como un infiltrado de confianza .

La estafa de contratación impulsada por IA

La estrategia principal de Famous Chollima es tan sofisticada como inquietantemente simple: conseguir un empleo. Activo desde al menos 2018, el grupo se especializa en obtener fraudulentamente trabajos como autónomo o a tiempo completo, típicamente como desarrolladores de software a distancia .

Lo que ha cambiado recientemente es la industrialización del fraude de contratación. El Informe de Caza de Amenazas 2025 de CrowdStrike describe una "imagen clara de un adversario que integra profundamente herramientas de IA generativa que automatizan y optimizan los flujos de trabajo en cada etapa del proceso de contratación y empleo" .

Las tácticas específicas documentadas en los informes de CrowdStrike incluyen:

• Video y audio ultrafalsos (deepfake) generados por IA para entrevistas a distancia. Los operativos usan herramientas de IA generativa de consumo, como ChatGPT de OpenAI y Gemini de Google, para alterar su voz y video en tiempo real durante las videollamadas, y para generar respuestas convincentes a preguntas técnicas .
• Personajes profesionales completamente inventados. Los actores de amenazas crean perfiles pulidos de LinkedIn con imágenes de perfil generadas por IA, completos con historiales laborales creíbles y currículums falsos que pasan las verificaciones de antecedentes .
• Documentos de identidad reales robados. Los operativos aprovechan números de Seguro Social estadounidenses robados y otros documentos de identidad para profundizar la ilusión de legitimidad ante los sistemas de selección de personal .

El equipo de caza de amenazas OverWatch de CrowdStrike investigó más de 320 casos distintos de operativos de Famous Chollima que obtuvieron empleo fraudulento en un período de 12 meses, un asombroso aumento del 220% respecto al año anterior . La tasa de éxito de estas contrataciones encubiertas también se disparó un 220%, y el jefe de operaciones de contrainteligencia de CrowdStrike, Adam Meyers, señaló que su equipo está respondiendo ahora a aproximadamente un incidente de este tipo cada día .

Lo que buscan

La motivación es un doble flujo de ingresos para el régimen sancionado.

El primer flujo es el robo directo de salarios. Los operativos de Famous Chollima cobran las nóminas de las empresas que infiltran, canalizando los sueldos hacia Corea del Norte. El segundo, y más perjudicial para las víctimas, es el robo de propiedad intelectual. Una vez dentro de una red con credenciales legítimas, los operativos sustraen código fuente propietario, secretos comerciales y otra información confidencial .

Paralelamente al esquema de los trabajadores de TI, el ecosistema cibernético norcoreano en general ejecuta una operación masiva de robo de criptomonedas. El Informe del Panorama de Amenazas a Servicios Financieros 2026 de CrowdStrike encontró que los grupos vinculados a la RPDC robaron un total combinado de $2.020 millones en activos digitales durante 2025, un aumento del 51% en comparación con el año anterior . El mayor atraco individual, $1.460 millones en criptomonedas, fue atribuido al grupo relacionado PRESSURE CHOLLIMA, que distribuyó software troyanizado a través de un compromiso en la cadena de suministro .

El destino final de estos fondos es explícito. Los miles de millones robados "es casi seguro que se blanquean y se utilizarán para financiar los programas militares y de armas nucleares del régimen", afirma el informe .

Más allá de la contratación: la extorsión por robo de datos

Mientras que los informes públicos sobre Famous Chollima enfatizan la infiltración y el robo, la exfiltración de datos conlleva un segundo pago potencial. Las operaciones cibernéticas norcoreanas en general han adoptado tácticas de extorsión por robo de datos, amenazando con filtrar información robada a menos que se pague un rescate.

Un informe anterior de CrowdStrike registró un aumento del 76% en las víctimas nombradas en sitios de filtración dedicados, a medida que la extorsión por robo de datos se convertía en la ruta de monetización preferida por numerosos adversarios . La firma señala que se ha observado a actores vinculados a la RPDC realizando campañas de robo de datos y extorsión sin desplegar ransomware, ejerciendo presión mediante la amenaza de exponer datos sensibles .

CrowdStrike también confirmó que en los servicios de respuesta a incidentes relacionados con Famous Chollima, se verificó el robo de datos en el 50% de los casos . Esa información exfiltrada podría aprovecharse para la extorsión, aunque los resúmenes públicos se centran más en el flujo de infiltración y robo de salarios y criptomonedas. Los detalles exactos sobre sus tácticas de rescate posextorsión quizás solo estén disponibles en los informes completos no censurados.

La escala y sofisticación de la operación representan un nuevo paradigma en la intrusión cibernética de estados-nación, desplazando la amenaza de los ataques perimetrales a los insiders de confianza que son contratados, cobran y roban desde adentro.