Resumen
Kraken identificó y frustró un intento de hackeo por parte de un operativo respaldado por Corea del Norte que se hacía pasar por candidato a empleo durante una entrevista de ingeniería.
Inconsistencias como fluctuaciones de voz, credenciales desajustadas y un correo electrónico marcado alertaron al equipo de seguridad de Kraken sobre las tácticas engañosas del impostor.
Una operación encubierta confirmó la identidad fraudulenta, subrayando la creciente amenaza de ataques patrocinados por el estado que apuntan a empresas de criptomonedas.
Kraken, el intercambio de criptomonedas con sede en EE. UU., recientemente detuvo un intento de hackeo complejo por parte de un hacker norcoreano que pretendía ser un buscador de empleo. El incidente comenzó durante un proceso de contratación rutinario para un rol de ingeniería cuando el candidato se unió a una videollamada inicial bajo un nombre que difería de su currículum y lo corrigió abruptamente a mitad de la entrevista.
Los reclutadores también notaron que la voz del solicitante fluctuaba inesperadamente, sugiriendo coaching en tiempo real por parte de un tercero. Estas inconsistencias despertaron sospechas inmediatas dentro del equipo de seguridad de Kraken. Una investigación adicional reveló que la dirección de correo electrónico del solicitante coincidía con una marcada por socios de la industria como parte de una campaña de hackeo norcoreana dirigida a empresas de criptomonedas.
Una investigación más profunda descubrió una red de identidades falsas y alias vinculados al candidato, incluyendo uno asociado con un agente extranjero sancionado. Auditorías técnicas expusieron banderas rojas adicionales, como el uso de escritorios Mac remotos enrutados a través de VPNs para ocultar su ubicación y documentos de identificación alterados relacionados con un caso de robo de identidad anterior.
Operación de Contrainteligencia de Kraken
En lugar de descartar al candidato, los equipos de seguridad y reclutamiento de Kraken orquestaron una operación encubierta para recopilar inteligencia sobre los métodos del hacker. El solicitante avanzó a través de múltiples rondas de entrevistas, incluidas evaluaciones técnicas y tareas de verificación de identidad diseñadas para probar su legitimidad.
La etapa final presentó una “entrevista de química” con el Director de Seguridad Nick Percoco y otros ejecutivos, donde se establecieron trampas sutiles. Durante la llamada, se pidió al candidato que verificara su ubicación, presentara una identificación emitida por el gobierno y recomendara restaurantes locales en su supuesta ciudad de residencia.
El solicitante titubeó bajo presión, fallando en proporcionar respuestas coherentes o en producir documentación válida. “Al final de la entrevista, la verdad era clara: este no era un solicitante legítimo, sino un impostor que intentaba infiltrarse en nuestros sistemas”, declaró Kraken.
Una Advertencia en Medio de Amenazas Patrocinadas por el Estado en Aumento
Kraken divulgó el incidente para resaltar las amenazas cibernéticas en evolución, enfatizando que los hackers norcoreanos están explotando cada vez más las vías de contratación para infiltrarse en organizaciones.
El intercambio de criptomonedas señaló que grupos respaldados por el estado robaron más de $650 millones de empresas de criptomonedas solo en 2024, siendo los esquemas de solicitudes de empleo una táctica preferida. Nick Percoco reiteró la importancia de la vigilancia, afirmando: “No confíes, verifica. Los ataques patrocinados por el estado no son solo un problema de criptomonedas o corporativo estadounidense, son una amenaza global.”