Durante años, las agencias de inteligencia occidentales habían advertido de la infiltración de teletrabajadores norcoreanos en empresas tecnológicas de Estados Unidos y Europa. Su objetivo, según el FBI, el Departamento de Justicia y Google, es claro: generar ingresos para financiar el programa nuclear de Corea del Norte.
Hasta ahora, los detalles sobre cómo se organizaban estos operativos eran fragmentarios, pero una reciente filtración de datos obtenida por el investigador de ciberseguridad conocido como SttyK ha revelado una estructura meticulosa. Los archivos, que suman docenas de gigabytes y miles de correos electrónicos, muestran un entramado jerarquizado en doce grupos de trabajo, cada uno con alrededor de doce miembros, todos bajo las órdenes de un “jefe maestro”.
Todo se llevaba a cabo de Slack
El material filtrado muestra que esta red opera con herramientas corrientes para cualquier empresa moderna: Slack para comunicaciones, Google Workspace para coordinación y GitHub para el desarrollo técnico. En hojas de cálculo detalladas registran desde las ofertas de empleo objetivo hasta las competencias técnicas requeridas —por ejemplo, lenguajes de programación específicos—, pasando por el estado de cada candidatura y los contactos establecidos con las empresas. El seguimiento es exhaustivo: cada paso del proceso de solicitud, cada entrevista y cada avance en proyectos es documentado con la precisión de una operación corporativa, lo que demuestra que no se trata de improvisaciones, sino de una maquinaria bien engrasada.
El testimonio de Jin-su, un desertor que trabajó como teleoperador encubierto, arroja luz sobre la fase más delicada del plan: la adquisición de identidades falsas. Aunque él solía presentarse como ciudadano chino, rápidamente comprendió que las identidades occidentales aumentaban sus posibilidades en el mercado laboral tecnológico, por lo que consiguió documentación fraudulenta de personas en Hungría, Turquía o Reino Unido. Con un inglés fluido y entrevistas remotas a través de plataformas como Slack, Zoom o incluso chats integrados en sistemas corporativos, el riesgo de ser descubierto se reducía. Los investigadores han hallado incluso currículums idénticos presentados por distintos sospechosos, evidencia de que el material se recicla dentro de la red.
Las áreas en las que estos falsos teletrabajadores buscan empleo coinciden con sectores estratégicos para el espionaje industrial y el cibercrimen: inteligencia artificial, blockchain, desarrollo de bots, aplicaciones móviles y de escritorio, plataformas web y sistemas de gestión de contenidos. Según Naciones Unidas, esta actividad genera entre 250 y 600 millones de euros anuales para el régimen norcoreano. Jin-su relata que, con varios contratos simultáneos en EE. UU. y Europa, podía ingresar unos 5.000 dólares al mes, de los cuales debía entregar un 85 % al Estado. Incluso con ese margen reducido, consideraba que su situación era “mucho mejor que cuando estaba en Corea del Norte”.
Paralelamente, Corea del Norte mantiene otra línea de financiación ilícita a través de sus unidades de ciberataque especializadas en el robo de criptomonedas. Solo en marzo de 2025, un único golpe generó 1.500 millones de dólares; a finales de 2024, acumulaban otros 1.300 millones en 47 operaciones distintas. Estas dos vías —infiltración laboral y ciberrobos— convergen en una estrategia más amplia que combina ingresos sostenidos con grandes sumas obtenidas en ataques puntuales, garantizando un flujo constante de divisas para el régimen.
A pesar de las ganancias, las condiciones de trabajo en esta red son duras. La filtración incluye conversaciones en Slack donde un jefe ordena que “todos deberían trabajar al menos 14 horas al día”. La instrucción, aunque extrema, no dista demasiado de ciertos modelos de hiperproductividad promovidos en entornos como Silicon Valley, donde algunos ejecutivos, como Elon Musk, han llegado a defender jornadas de hasta 120 horas semanales.
