El esquema de trabajadores de TI norcoreanos es una operación de fraude patrocinada por el Estado que coloca empleados remotos falsos dentro de empresas occidentales usando identidades robadas, intermediarios estadounidenses que operan "granjas de portátiles" y entrevistas asistidas por IA. Solo la parte de los trabajadores falsos genera de forma fiable un estimado de **250 a 600 millones de dólares al año** en salarios fraudulentos para Corea del Norte, y ahora mismo se está enjuiciando en los tribunales federales de Estados Unidos. Para frenarlo, verificas la identidad en la entrada, haces entrevistas con cámara encendida y pruebas en vivo contra deepfakes, envías el equipo solo a la dirección verificada y no concedes ningún acceso a sistemas hasta que se supere la verificación de antecedentes. La defensa vive en tu embudo de contratación, no en tu firewall.

Esto resulta incómodo por una razón que casi ningún consejo de seguridad comparte: el atacante no irrumpe. Se presenta como candidato. Hace buenas entrevistas. Acepta tu oferta, firma tu papeleo y supera tu onboarding. El proceso de contratación es la superficie de ataque y, para los equipos remote-first sin un área de seguridad detrás del reclutamiento, está de par en par.

## Qué es realmente el esquema de trabajadores de TI norcoreanos

El esquema usa identidades estadounidenses reales para conseguir que operativos norcoreanos sean contratados en empleos legítimos de ingeniería remota, con un cómplice estadounidense pagado que hace que el empleado parezca local. El trabajador está físicamente en China, Rusia u otro lugar; el operador de una "granja de portátiles" en EE. UU. recibe el portátil de la empresa, instala software de acceso remoto y deja que el trabajador de fuera inicie sesión. El empleador cree que contrató a un ingeniero local. No fue así.

El Departamento de Justicia de EE. UU. afirma que Corea del Norte ha "desplegado a miles de trabajadores de TI altamente cualificados por todo el mundo", y la red de intermediarios abarca varios países (fuente: [acción nacional del DOJ, junio de 2025](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)). No es un puñado de oportunistas. Es un canal de ingresos industrializado, con división del trabajo, herramientas propias y un objetivo de evasión de sanciones detrás.

### Las cifras, descifradas: 2.800 millones en cripto frente a 250-600 millones en salarios

Dos cifras se confunden constantemente, y entenderlas bien es la forma más rápida de saber quién comprende de verdad este tema. El Equipo de Monitoreo de Sanciones Multilaterales (MSMT) valora *todos* los ingresos norcoreanos por ciberactividad y trabajadores de TI en unos **2.800 millones de dólares entre enero de 2024 y septiembre de 2025**, pero la mayor parte de eso es **robo de criptomonedas**, no salarios (fuente: [informe del MSMT del Departamento de Estado de EE. UU.](https://www.state.gov/releases/office-of-the-spokesperson/2026/01/multilateral-sanctions-monitoring-team-report-on-dprk-violations-and-evasions-of-un-sanctions-through-cyber-and-information-technology-worker-activities), resumido por [Chainalysis](https://www.chainalysis.com/blog/msmt-report-north-korea-dprk-cyber-threats/)).

El **esquema de los trabajadores de TI falsos en concreto** es un flujo aparte y más pequeño que la ONU estima en **250 a 600 millones de dólares al año** en salarios fraudulentos (fuente: [Fortune](https://fortune.com/2026/04/25/north-korean-it-worker-scheme-american-faciliators/), que cita informes de la ONU). Se calcula que cada trabajador gana entre 3.500 y 10.000 dólares al mes. Así que cuando leas "2.800 millones de dólares procedentes de los trabajadores de TI falsos", es un error. El esquema salarial es un pilar de una máquina mayor, y es el pilar que atraviesa de lleno tu sistema de seguimiento de candidatos.

### El circuito: identidad robada, intermediario en EE. UU., granja de portátiles y blanqueo

La mecánica se repite en todos los casos enjuiciados:

1. **Identidad robada o prestada.** El operativo usa el nombre, el número de Seguridad Social y la dirección de un estadounidense real, a menudo comprados u obtenidos en filtraciones previas.
2. **Un intermediario en EE. UU.** Un cómplice pagado (el operador de la "granja de portátiles") le da al esquema una presencia nacional, recibiendo el portátil de la empresa en una dirección estadounidense.
3. **Acceso remoto.** El intermediario instala software de control remoto para que el trabajador del extranjero opere como si estuviera sentado en ese escritorio en EE. UU.
4. **Blanqueo de salarios.** Los sueldos llegan al intermediario y luego se canalizan al extranjero hacia Corea del Norte, a veces vía cripto.

Los intermediarios van desde quienes saben perfectamente que lucran con esto hasta personas reclutadas con anuncios de "trabaja desde casa" que no entienden del todo en qué se metieron. En cualquier caso, la empresa del otro lado ve un registro de nómina impecable y un ingeniero que cumple.

## Esto no es ruido publicitario, es un delito federal con condenas

Si lo tenías archivado como "marketing de vendedores de seguridad", actualiza esa idea. El Departamento de Justicia ha conseguido condenas de varios años de cárcel contra los intermediarios estadounidenses que hacen funcionar el esquema, y los expedientes se leen como un manual de operaciones del fraude.

### La granja de portátiles de Arizona: 309 empresas, 17 millones, 102 meses

El caso de referencia es el de Christina Chapman, que operaba una granja de portátiles desde su casa en Arizona. El 24 de julio de 2025 fue condenada a **102 meses de prisión**. Su esquema generó **más de 17 millones de dólares**, defraudó a **309 empresas estadounidenses** (entre ellas una de las cinco principales cadenas de televisión, una tecnológica de Silicon Valley y empresas de la lista Fortune 500) y se apoyó en **68 identidades estadounidenses robadas** (fuente: [DOJ](https://www.justice.gov/opa/pr/arizona-woman-sentenced-17m-information-technology-worker-fraud-scheme-generated-revenue)).

Un registro de su casa en 2023 incautó **más de 90 portátiles** en un montaje organizado, y ella había enviado **49 dispositivos al extranjero**, incluidos varios envíos a una ciudad china en la frontera con Corea del Norte (fuentes: DOJ; [The Record](https://therecord.media/arizona-woman-sentenced-north-korean-laptop-farm)). Imagínalo: una casa de las afueras con 90 portátiles corporativos zumbando en estanterías, cada uno un ingeniero remoto en una empresa distinta.

La fiscal federal Jeanine Pirro resumió la lección en una sola frase:

> La llamada viene de dentro de la casa... Las empresas que no verifican a sus empleados virtuales suponen un riesgo de seguridad para todos. Tú eres la primera línea de defensa contra la amenaza norcoreana.

### La redada nacional de 2025: 16 estados, 29 granjas de portátiles

Chapman no fue una excepción. En junio de 2025, una acción coordinada del DOJ abarcó **16 estados** con registros en **29 granjas de portátiles conocidas o sospechosas** y la incautación de **unos 200 ordenadores, 29 cuentas financieras y 21 sitios web fraudulentos**. Los trabajadores habían conseguido empleo en **más de 100 empresas estadounidenses**. En un esquema robaron **tecnología militar estadounidense sujeta a controles de exportación**; en otro, trabajadores norcoreanos en una firma de blockchain de Atlanta robaron alrededor de **900.000 dólares en moneda virtual** (fuente: [DOJ](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)).

En abril de 2026, otros dos intermediarios, Kejia Wang y Zhenxing Wang, fueron condenados a 108 y 92 meses por colocar a trabajadores norcoreanos en **más de 100 empresas estadounidenses** usando **al menos 80 identidades robadas**, generando **más de 5 millones de dólares** para el régimen. El fiscal general adjunto lo dijo sin rodeos: la trampa "puso a trabajadores de TI norcoreanos en las nóminas de empresas estadounidenses incautas y dentro de sistemas informáticos de EE. UU., perjudicando así nuestra seguridad nacional" (fuente: [DOJ](https://www.justice.gov/opa/pr/two-us-nationals-sentenced-facilitating-fraudulent-remote-information-technology-worker)).

El patrón ya es jurisprudencia firme. Cientos de empresas, sumas de ocho y nueve cifras, y condenas medidas en años.

## Cómo la IA subió el listón, y cómo también los delata

La IA no creó este esquema. Es un acelerador acoplado al fraude central de identidad robada más intermediario. Pero es un acelerador real, y las mismas herramientas que permiten a un operativo falsear una entrevista también dejan huellas que puedes detectar.

### Un deepfake en tiempo real en 70 minutos

La Unit 42 de Palo Alto Networks hizo el experimento que debería preocupar a cualquier responsable de contratación: **un único investigador, sin experiencia en manipulación de imágenes, con conocimientos limitados de deepfakes y un ordenador de hace cinco años, construyó una identidad sintética para entrevistas de trabajo en 70 minutos**, usando una GPU de consumo de 2020 y herramientas gratuitas (fuente: [Unit 42](https://unit42.paloaltonetworks.com/north-korean-synthetic-identity-creation/)). Ese es el listón hoy. Ni laboratorio de un Estado-nación, ni hardware especializado. Setenta minutos en un PC gamer viejo.

Los operativos combinan el intercambio de rostros en vídeo en tiempo real con **herramientas de voz en tiempo real para enmascarar acentos**, de modo que el candidato en tu llamada puede verse y sonar como el estadounidense cuya identidad robaron (fuentes: Unit 42; [Dark Reading](https://www.darkreading.com/remote-workforce/north-korean-operatives-deepfakes-it-job-interviews)).

La buena noticia: los deepfakes en tiempo real son computacionalmente frágiles. Se rompen ante condiciones para las que el modelo no fue entrenado. Pide al candidato que:

- Pase una mano lentamente por delante de su cara
- Gire por completo de perfil y lo mantenga
- Haga un movimiento brusco de cabeza
- Introduzca un cambio repentino de iluminación

Cada una de estas tiende a producir deformaciones, retardo o artefactos que el intercambio de rostros no puede seguir. Nada de esto es descortés de pedir, y todo es barato de hacer.

### Enmascaramiento de voz, identidades sintéticas y perfiles "demasiado limpios"

Más allá de la llamada en vivo, el rastro documental cuenta una historia si sabes leerlo. Vigila las identidades sin historial digital orgánico: un GitHub recién creado frente a un currículum que dice tener diez años de experiencia, un LinkedIn sospechosamente escueto o sospechosamente pulido, referencias imposibles de localizar y números de VoIP o Google Voice en lugar de una línea de operador real (fuentes: [SpyCloud](https://spycloud.com/blog/how-we-identified-fake-north-korean-it-workers/); Unit 42). Un perfil "demasiado limpio" es tanta señal de alarma como uno lleno de agujeros. Para el problema más amplio de honestidad que la IA introduce en las entrevistas, lee nuestro artículo sobre [candidatos deepfake y fraude en contratación con IA](/blog/deepfake-candidates-ai-hiring-fraud); este artículo trata de un adversario concreto y sancionado que opera un circuito de fraude completo.

## La contratación es ahora una superficie de ataque

La razón por la que un equipo de seguridad debería preocuparse por tu embudo de reclutamiento es que el embudo es el vector de entrada. No hay perímetro que vulnerar cuando el adversario entra con una carta de oferta válida.

Una vez contratados, estos trabajadores no se limitan a cobrar la nómina. En casos enjuiciados han robado tecnología militar sujeta a controles de exportación y moneda virtual a sus empleadores (fuente: [DOJ](https://www.justice.gov/opa/pr/justice-department-announces-coordinated-nationwide-actions-combat-north-korean-remote)). Y el daño no termina con el despido: tras ser descubiertos o despedidos, algunos trabajadores de TI norcoreanos han **extorsionado a sus antiguos empleadores**, amenazando con filtrar código fuente y datos propietarios robados, lo que motivó advertencias específicas del FBI (fuente: [Bitdefender/FBI](https://www.bitdefender.com/en-us/blog/hotforsecurity/north-korea-it-workers-us-extortion-employer-fbi)).

Así que el modo de fallo aquí no es "hicimos una mala contratación que rindió poco". Es exposición a sanciones, robo de propiedad intelectual y una amenaza de extorsión con tus repositorios privados como palanca. Eso reconfigura la verificación de identidad: de una formalidad de RR. HH. a un control de seguridad, el mismo giro sobre el que escribimos en el contexto de los [puntos ciegos de contratación en SOC 2](/blog/soc2-hiring-compliance-risk).

## El conjunto de controles: entrada, entrevista, onboarding

La defensa es un conjunto de controles por capas en el que coinciden el FBI/IC3, la OFAC y la Unit 42. Ningún control aislado es decisivo; juntos hacen que tu embudo sea lo bastante caro como para que los operativos se vayan a un objetivo más blando. Aquí está el manual por etapa.

### Verifica la identidad en la entrada (forense documental + prueba de vida)

Empieza antes de la primera entrevista. Captura un documento de identidad oficial y analízalo en busca de manipulaciones, caducidad y elementos de seguridad específicos del país; rechaza de plano las imágenes de baja calidad. Combina el documento con **detección de prueba de vida (liveness)** para descartar una foto estática o un deepfake, y ejecuta una **comparación facial** de la captura en vivo contra la foto del documento (fuentes: [aviso PSA del FBI IC3](https://www.ic3.gov/PSA/2025/PSA250723-4); [ID Dataweb](https://www.iddataweb.com/shadow-workers/)). El objetivo de la entrada es simple: verificar a la persona, no solo el currículum.

Aquí es donde importa un canal de candidato verificado. El portal del candidato de Kit usa [acceso sin contraseña por enlace mágico](/blog/why-we-killed-passwords-for-candidates) en lugar de un formulario de postulación de texto libre, lo que te da un único canal de comunicación verificado como primer paso, y el lugar natural para añadir encima la verificación documental y de prueba de vida.

### Señales de integridad en la entrevista que cazan suplantadores y deepfakes

Haz obligatoria la cámara encendida y graba las entrevistas con consentimiento. Luego haz que la entrevista sea imposible de guionizar de antemano:

- Haz **preguntas espontáneas que no se puedan googlear**: lugares conocidos cerca de la dirección registrada, noticias del día, el tiempo que hace donde dicen estar.
- **Rota los bancos de preguntas** para que las respuestas no se puedan memorizar de Glassdoor.
- Fíjate en las **pausas largas ante preguntas de conocimiento común**: la señal típica de quien va repitiendo respuestas que le pasa un compañero fuera de cámara.
- Aplica las **comprobaciones físicas de prueba de vida** de arriba para romper cualquier intercambio de rostros en tiempo real.

(Fuentes: [Help Net Security](https://www.helpnetsecurity.com/2026/04/20/north-korean-job-interview-infiltration-video/); [WeLiveSecurity](https://www.welivesecurity.com/en/business-security/recruitment-spot-spy-job-seeker/).)

### Confirma que quien evaluaste es quien contratas

El arma más afilada del esquema es el suplantador: un buen ingeniero borda la entrevista y luego otra persona distinta hace el trabajo. Tu tarea es demostrar que la persona que evaluaste es la persona a la que pagas. Un **ejercicio de código estructurado más un seguimiento en vivo** es el examen más limpio que existe. Pide al candidato que haga trabajo real y, después, en una sesión grabada en vivo, pídele que recorra su propio código, lo amplíe y explique decisiones que debería recordar si de verdad lo escribió.

Así es exactamente como están diseñados para usarse los [ejercicios de código](/blog/how-to-structure-code-assignments) de Kit. El ejercicio entrega una tarea real desde un repositorio plantilla de GitHub, y una etapa de entrevista en vivo te permite verificar que quien envió el trabajo es quien está en la sala. La continuidad entre etapas (el mismo candidato verificado desde la postulación hasta el ejercicio y la ronda en vivo) es el rastro de auditoría que derrota al suplantador.

<div class="blog-inline-cta">
  <p><strong>¿Te preocupa que un suplantador se cuele?</strong> Kit vincula cada etapa a una sola identidad de candidato verificada, desde la postulación por enlace mágico hasta el ejercicio de código y la entrevista en vivo, para que puedas demostrar que la persona que evaluaste es la que contrataste.</p>
  <p><a href="/users/sign_up">Empieza tu prueba gratuita</a></p>
</div>

### Logística y disciplina de accesos

Este es el control operativo de mayor señal y el más barato de aplicar. Según las directrices del FBI y la OFAC: **envía el equipo solo a la dirección verificada con el documento** y exige verificación adicional ante cualquier cambio de dirección. Forma a RR. HH. y a los responsables de contratación para que **marquen los cambios de dirección o de plataforma de pago a mitad del onboarding**, el momento exacto en que una granja de portátiles redirige el hardware. Y no concedas **ningún acceso a sistemas hasta que se supere la verificación de antecedentes** (fuentes: [aviso PSA del FBI IC3](https://www.ic3.gov/PSA/2025/PSA250723-4); [aviso de la OFAC/Tesoro](https://ofac.treasury.gov/media/923126/download?inline=)). Un repentino "en realidad, envíalo a esta otra dirección" justo después de la oferta es una de las señales más ruidosas de todo el esquema.

Cuando una etapa lanza una alerta —artefactos de deepfake en la llamada, un número VoIP, un cambio de dirección a mitad del onboarding— no debería desaparecer en un hilo de Slack. Debería encaminarse a un flujo estructurado de gestión del fraude con un responsable, igual que un equipo de seguridad gestiona un informe de vulnerabilidad entrante. Ese tratamiento al estilo CSIRT de una señal de identidad es el puente entre contratación y seguridad que a la mayoría de las empresas les falta.

## Cómo llevar una contratación resistente al fraude en Kit

Kit es un [ATS nativo de IA](/blog/what-is-ai-native-ats) que abarca la intersección que la mayoría de las herramientas ignora: la contratación como flujo de trabajo y la seguridad como disciplina. Los controles anteriores solo funcionan si son los valores por defecto de tu embudo, no recordatorios que esperas que alguien siga bajo la presión de un plazo. Así se mapea cada uno a una capacidad concreta.

| Control (de la entrada al onboarding) | Cómo lo hace posible Kit |
|---|---|
| Verificar a la persona en la entrada | El portal del candidato por enlace mágico da un canal verificado por candidato, el lugar para añadir verificación documental y de prueba de vida |
| Confirmar que el evaluado = el contratado | Ejercicio de código estructurado desde un repositorio plantilla de GitHub + una etapa de entrevista en vivo para verificar que la misma persona hizo el trabajo |
| Rastro de auditoría de quién fue evaluado | Pipeline por etapas con asignación de revisores y revisiones registradas: quién entrevistó, cuándo y sobre qué |
| Encaminar las alertas de fraude, no encogerse de hombros | Gestión estructurada al estilo CSIRT para que una alerta de deepfake o de cambio de dirección tenga un responsable y un SLA, no un mensaje perdido |
| Disciplina logística | Campos y notas de onboarding para codificar las reglas de envío-a-la-identidad y de sin-acceso-antes-de-la-verificación |

Por ser precisos con el alcance: Kit no puede ejecutar por ti un análisis forense documental ni una prueba de vida, y ningún ATS habría "evitado" el caso Chapman por sí solo. Lo que Kit hace es convertir los controles de flujo de trabajo —los que de verdad cazan el esquema— en el camino por defecto en lugar de la excepción. Identidad verificada en la puerta, ejercicios estructurados y verificados en vivo, y un registro defendible de exactamente quién fue evaluado en cada etapa. El mismo módulo Csirt que hay detrás del [programa de divulgación de vulnerabilidades](/blog/how-to-set-up-vulnerability-disclosure-program) de Kit te da el patrón estructurado de gestión de fraude para encaminar una alerta de contratación como si fuera un evento de seguridad.

## Preguntas frecuentes

**¿La amenaza de los trabajadores de TI norcoreanos es real o ruido de vendedores?**
Real y enjuiciada a nivel federal. El DOJ ha conseguido condenas de prisión de 102, 108 y 92 meses contra intermediarios estadounidenses, registró 29 granjas de portátiles en 16 estados en una sola acción de 2025 y documentó cientos de empresas víctimas. Esto es realidad judicial, no marketing.

**¿Qué tamaño tiene el esquema?**
Solo la parte de los trabajadores de TI falsos genera un estimado de 250 a 600 millones de dólares al año en salarios fraudulentos para Corea del Norte. Eso se enmarca en una máquina más amplia de ingresos cibernéticos norcoreanos que la ONU valora en unos 2.800 millones de dólares en dos años, la mayoría de los cuales es robo de cripto, no salarios.

**¿Cuáles son las señales de alarma?**
Un perfil digital "demasiado limpio" o recién creado frente a un currículum extenso; números de VoIP o Google Voice; reticencia a encender la cámara; pausas largas ante preguntas básicas; artefactos de deepfake durante giros de cabeza o pruebas de pasar la mano por la cara; y, la más ruidosa, una petición de cambiar la dirección de envío o la plataforma de pago justo después de la oferta.

**¿Puede frenarlo una verificación de antecedentes por sí sola?**
No. El esquema está construido para superar una verificación de antecedentes, porque usa la identidad verificada de un estadounidense real. La verificación tiene que combinarse con identidad con prueba de vida en la entrada, señales de integridad en la entrevista, prueba de que el evaluado es el contratado y disciplina logística de envío-a-la-identidad. Defensa en profundidad, no una sola puerta.

## Que la puerta de entrada no sea la superficie de ataque

El esquema de trabajadores de TI norcoreanos es la prueba más clara hasta la fecha de que la contratación es un perímetro de seguridad. El adversario no explota un CVE; supera tu entrevista, firma tu oferta y se conecta en remoto desde una granja de portátiles en el cuarto libre de alguien. La solución no es un proveedor de verificación de antecedentes acoplado después de la oferta. Son controles resistentes al fraude integrados en el flujo de contratación desde la primera postulación: identidad verificada en la entrada, señales de integridad en la entrevista que cazan suplantadores y deepfakes, un rastro de auditoría de exactamente quién fue evaluado y gestión estructurada cuando algo huele mal.

Cada uno de esos controles es una decisión que tomas antes de que el portátil se envíe. Si estás construyendo un equipo de ingeniería remota, trata tu embudo como la superficie de ataque que es. Cuando estés listo para convertir estos controles en el valor por defecto, puedes [empezar una prueba gratuita](/users/sign_up) y tener funcionando ese mismo día un flujo de contratación verificado y listo para auditoría.