Infiltrado de Corea del Norte que trabaja en Amazon fue detectado por un retardo de solo 110 milisegundos
Amazon frena 1.800 intentos de infiltración de Corea del Norte. Los ataques crecen un 27% cada trimestre, según Stephen Schmidt. El sector tecnológico en alerta máxima por el fraude.
La ofensiva de Corea del Norte contra las grandes tecnológicas de EEUU ha evolucionado desde el robo de criptomonedas y ha derivado en una estrategia más invasiva y difícil de detectar, basada en infiltrar agentes en sus plantillas.
Amazon ha confirmado recientemente un caso que expone las vulnerabilidades del modelo de trabajo remoto. Y es que la compañía detectó y neutralizó a un "trabajador" norcoreano que había logrado ser contratado como administrador de sistemas, superando todos los filtros de recursos humanos.
El descubrimiento no se produjo mediante métodos convencionales de contrainteligencia digital, como el rastreo de malware o la detección de accesos no autorizados a bases de datos sensibles.
Stephen Schmidt, director de seguridad de Amazon, explicó que la pista clave fue una anomalía en la red: el supuesto empleado añadía un retraso constante de milisegundos al teclear, que era incompatible con su ubicación real.
Este incidente desvela que los protocolos de contratación remota están siendo explotados sistemáticamente por ciberdelincuentes con identidades falsas para infiltrarse en el corazón de las grandes empresas de EEUU.
El agente norcoreano fue descubierto por 110 milisegundos
Cabe señalar que en condiciones normales, un profesional de TI que reside en Estados Unidos y conectado a una red doméstica de fibra óptica transmite datos al servidor corporativo con una latencia extremadamente baja, generalmente en el rango de las decenas de milisegundos. Es una comunicación casi instantánea con latencia extremadamente baja.
Sin embargo, los sistemas de monitorización de seguridad de Amazon registraron un patrón discordante en la actividad de este administrador. Cada vez que pulsaba una tecla o movía el ratón, la señal tardaba más de 110 milisegundos en procesarse.
Esta latencia delataba que la señal no viajaba desde una casa en Estados Unidos, sino que estaba atravesando múltiples capas de enrutamiento y servidores proxy diseñados para ocultar el origen. Esto confirmó que el operador real del equipo no estaba en Estados Unidos, sino en Corea del Norte.
Es importante mencionar que, de acuerdo con los expertos, el infiltrado no actuaba solo, sino que se apoyaba en una infraestructura física en suelo estadounidense para burlar los controles de geolocalización por IP.
El portátil corporativo de Amazon se encontraba realmente en una vivienda de Arizona, conectado a una red local legítima. Un cómplice gestionaba una "granja de portátiles".
Su función consistía en recibir el hardware de la empresa, mantenerlo encendido y conectado a Internet. Sin embargo, este no realizaba trabajo alguno. Mediante software de escritorio remoto, cedía el control total de la máquina al hacker norcoreano situado en Asia.
Esta triangulación es la que generaba el retardo, puesto que la orden de teclear viajaba desde Corea del Norte y desde allí al servidor de Amazon. Ese viaje de ida y vuelta de la señal era imposible de ocultar, convirtiéndose en el talón de Aquiles de una operación por lo demás técnicamente impecable.
Una industria delictiva en expansión: 1.800 casos detectados
Schmidt ha aportado cifras que dimensionan la amenaza, donde Amazon ha frustrado más de 1.800 intentos de infiltración con características similares hasta abril de 2024. Lejos de disminuir, la actividad registra un crecimiento sostenido del 27 % trimestre tras trimestre, lo que indica una industrialización del fraude.
El régimen de Pyongyang persigue dos objetivos estratégicos con estas maniobras, en el cual, el primero es puramente económico, que es obtener divisas fuertes es puramente económico.
Un ingeniero de software infiltrado en una Big Tech puede percibir salarios de cientos de miles de dólares anuales, dinero que es desviado sistemáticamente para financiar los programas nucleares y armamentísticos del país, eludiendo las sanciones internacionales.
El segundo objetivo es de inteligencia, que es posicionar activos latentes dentro de infraestructuras críticas (nubes públicas, servidores de logística, bases de datos) con capacidad para ejecutar espionaje industrial o sabotaje en caso de guerra.
Aunque la latencia fue la prueba definitiva, Amazon también ha refinado sus protocolos de detección. Y es que aunque la ingeniería de los agentes norcoreanos es sofisticada, presenta fallas. Durante las entrevistas de trabajo o las reuniones virtuales, los equipos de seguridad buscan activamente inconsistencias lingüísticas.
El uso forzado de modismos estadounidenses, errores en la comprensión de referencias culturales locales o una reticencia sospechosa a encender la cámara son señales que ahora se cruzan con los datos técnicos.
La empresa ha admitido que la postura de "caza proactiva" es indispensable; esperar a que el sistema de alertas salte por un error de acceso ya no es suficiente cuando el atacante tiene las llaves de la casa.
En la guerra cibernética, medir milisegundos en pantalla es una herramienta de contrainteligencia tan valiosa como cualquier antivirus. La seguridad depende ahora de la precisión del reloj del sistema.