SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

27 dic 2025

Segu-Info » , » Laptop Farming: Amazon detecta a un infiltrado mediante latencia de las pulsaciones de teclas

Laptop Farming: Amazon detecta a un infiltrado mediante latencia de las pulsaciones de teclas

27 dic 2025, 10:00:00 a.m.   Comenta primero!
  ,  

Amazon descubrió a un infiltrado informático norcoreano mediante la latencia de las pulsaciones de teclas, lo que pone de relieve los riesgos de la contratación remota y la necesidad de contar con controles de identidad más estrictos.

Un retraso apenas perceptible en las pulsaciones de teclas fue suficiente para que Amazon descubriera a un infiltrado de un estado-nación oculto a plena vista. "Si no hubiéramos estado buscando a los trabajadores de la RPDC, no los habríamos encontrado", declaró Stephen Schmidt, director de seguridad de Amazon.

Lo que parecía ser un administrador remoto de sistemas con sede en EE.UU. era, en realidad, un trabajador de TI norcoreano que accedía a la red de Amazon desde el otro lado del mundo, revelado por una latencia de tan solo 110 milisegundos.

Este incidente pone de relieve un riesgo creciente para las organizaciones que adoptan el teletrabajo: actores estatales que explotan los canales de contratación globales para obtener acceso legítimo a entornos corporativos.

Corea del Norte, severamente sancionada y aislada, ha convertido el fraude informático remoto en una fuente de ingresos que financia directamente sus programas de armas, a la vez que genera amenazas internas para empresas grandes y pequeñas.

La latencia de las pulsaciones de teclas expone la suplantación de identidad remota

El caso surgió a principios de este año cuando el sistema de monitorización de seguridad de Amazon detectó un comportamiento inusual en una computadora portátil corporativa recién entregada, asignada a un administrador de sistemas.

Si bien el dispositivo se encontraba físicamente en Arizona, los investigadores observaron que las entradas de comandos llegaban a la infraestructura de Amazon en Seattle con mayor lentitud de lo esperado.

Para los trabajadores con sede en EE.UU., las pulsaciones de teclas deberían registrarse en menos de 100 milisegundos. Estas superaron constantemente los 110 milisegundos, un indicador sutil pero revelador de acceso desde el extranjero.

Según Bloomberg, Amazon determinó que la computadora portátil estaba siendo controlada remotamente, y el tráfico de red se rastreó hasta China, un punto de retransmisión común utilizado por los operadores norcoreanos. Amazon confirmó rápidamente que el individuo formaba parte de un plan más amplio de trabajadores de TI de la RPDC y canceló el acceso en cuestión de días.

Amazon afirma haber bloqueado más de 1.800 intentos de contratación norcoreanos desde abril de 2024, con un aumento intertrimestral del 27%.

Tácticas utilizadas en el fraude de trabajadores de TI remotos

Los trabajadores de TI suelen operar mediante engaños estratificados. Solicitan puestos remotos utilizando identidades falsas, a menudo alegando vínculos con consultoras extranjeras poco conocidas y difíciles de verificar.

Una vez contratados, frecuentemente a través de contratistas externos, recurren a servidores proxy para portátiles con sede en EE.UU. que reciben el hardware de la empresa y les proporcionan acceso remoto.

En este caso, las herramientas de seguridad de endpoints de Amazon detectaron el comportamiento de control remoto, mientras que los analistas compararon el currículum del trabajador con patrones conocidos de la RPDC.

También surgieron señales de alerta lingüísticas, como una redacción extraña en inglés y el uso incorrecto de artículos como "a" y "the", reconocidos como indicadores en casos similares.

Los actores estatales y las redes de fraude organizadas explotan cada vez más los modelos de contratación remota para obtener acceso legítimo a entornos corporativos. Los controles tradicionales de detección y seguridad ya no son suficientes para detectar esquemas sofisticados de suplantación de identidad y trabajadores proxy.

Prevención

La defensa contra estas amenazas requiere un enfoque coordinado que combine la verificación de identidad, la detección técnica y el conocimiento interdisciplinario.

  • Refuerce la verificación de identidad y las comprobaciones de antecedentes para las contrataciones remotas mediante la comprobación de identidad en vivo, la validación de geolocalización y la reverificación periódica.
  • Implemente una monitorización avanzada de endpoints y comportamiento para detectar anomalías como la latencia de las pulsaciones de teclas, las herramientas de control remoto y los cambios repentinos en el comportamiento del usuario.
  • Aplique controles estrictos de dispositivos y acceso vinculando los portátiles corporativos a identidades verificadas, restringiendo el acceso por geografía o ASN y bloqueando el uso persistente del escritorio remoto.
  • Aplique el acceso con privilegios mínimos y la segmentación para empleados y contratistas, incluyendo privilegios justo a tiempo y controles más estrictos sobre los proveedores de personal externos. 
  • Correlacione la telemetría de RR.HH., identidad, endpoints y red para detectar proactivamente amenazas internas y patrones organizados de suplantación de identidad.
  • Capacite a los equipos de RR.HH., TI y seguridad para que reconozcan indicadores técnicos y no técnicos de fraude, como la reutilización de currículums, inconsistencias lingüísticas y patrones de trabajo anormales.

En conjunto, estos pasos fortalecen la ciberresiliencia al validar continuamente la confianza, minimizar la exposición y mejorar la detección y la respuesta a los riesgos de información privilegiada y suplantación de identidad.

El descubrimiento de Amazon refleja un patrón más amplio de abuso vinculado a los modelos de trabajo remoto. Las autoridades estadounidenses han desmantelado múltiples operaciones de "cultivo de portátiles" ("laptop farming") asociadas con Corea del Norte.

Laptop Farming

Normalmente, las granjas de computadoras portátiles engañan a las empresas para que empleen involuntariamente a trabajadores extranjeros mediante elaboradas estafas de robo de identidad, fraude bancario y blanqueo de capitales, a menudo para financiar actividades autorizadas como el programa de desarrollo de misiles balísticos de Corea del Norte. Estos esquemas operan según una estructura bastante simple. Primero, ciberoperadores entrenados, a menudo ubicados fuera de su país de origen, adquieren identidades falsas, ya sea de víctimas involuntarias o de participantes voluntarios que ofrecen su identidad en una práctica llamada muling.

Los agentes luego enriquecen sus personajes con currículums, perfiles de LinkedIn, portafolios de trabajo, cartas de presentación, tarjetas de identificación y otros documentos de corroboración, proporcionando un registro digital para posibles empleadores. Los atacantes luego solicitan y obtienen trabajo remoto en empresas occidentales, a veces incluso utilizando herramientas avanzadas de inteligencia artificial para realizar entrevistas en línea con posibles empleadores. Una vez que obtienen un puesto, los agentes estadounidenses instalan la "granja de portátiles" física, donde computadoras equipadas con software de acceso remoto permiten a los trabajadores de TI con sede en el extranjero conectarse a las redes de la empresa víctima y ejecutar tareas a miles de kilómetros de distancia.

También se han observado técnicas similares en actividades vinculadas a Rusia, Irán y China, donde se utiliza el acceso remoto y la infraestructura proxy para ocultar la ubicación y eludir los controles de seguridad estándar.

A medida que evoluciona la suplantación remota, las organizaciones también enfrentan desafíos crecientes a la hora de detectar identidades sintéticas y deepfakes que desdibujan la línea entre el fraude y los usuarios legítimos.

Fuente: Esecurity



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!