KnowBe4, una firma de seguridad estadounidense, contrató, sin saberlo, a un ciberdelincuente norcoreano en lugar de un ingeniero de software. Este criminal fue descubierto cuando intentó comprometer la red de la empresa.
Un impostor en una empresa de seguridad
KnowBe4, que ofrece pruebas de seguridad de phishing para clientes corporativos, explicó en su blog que, aunque el ciberdelincuente no robó datos, compartieron lo sucedido como una lección para otras organizaciones. «Si nos puede pasar a nosotros, le puede pasar a cualquiera. No dejes que te pase a ti», advirtió Stu Sjouwerman, CEO de la compañía.
El incidente comenzó con un proceso de contratación convencional: se publicó una oferta de empleo, se recibieron varios currículums y se realizaron entrevistas. El atacante, conocido anónimamente como «XXXX», participó en cuatro videoconferencias, cumpliendo con todos los requisitos de contratación. No hubo problemas con la verificación de antecedentes ni con la coincidencia entre la fotografía del currículum y el rostro en las entrevistas. Después de superar todas las etapas, XXXX fue contratado y se le envió un ordenador Mac para comenzar a trabajar. Poco después, se detectó actividad sospechosa.
El equipo de KnowBe4 contactó al usuario del ordenador para investigar la causa de la actividad anómala. El impostor respondió que estaba ajustando su router para resolver un problema de seguridad, lo cual supuestamente había activado las alarmas.
En realidad, este individuo intentaba manipular el sistema para cargar malware usando una Raspberry Pi. XXXX rechazó un intento de contacto del equipo y luego dejó de responder. El FBI y los especialistas en ciberseguridad de Mandiant están investigando el caso, descubriendo que el atacante utilizó una identidad robada durante el proceso de contratación.
Se sospecha que el atacante manipuló digitalmente una fotografía y que el ordenador fue enviado a una «granja de portátiles». XXXX no estaba en Estados Unidos, sino que se conectaba remotamente desde Corea del Norte. Sjouwerman explicó que evitaron un compromiso mayor en la seguridad de la empresa gracias a que los nuevos empleados tienen acceso restringido a los sistemas de la compañía.