Amazon descubre a un espía norcoreano gracias a un detalle mínimo: el retraso al escribir

Un espía norcoreano logró infiltrarse en el departamento de TI de Amazon haciéndose pasar por administrador de sistemas remoto, pero un detalle tan absurdo como brillante lo terminó delatando: el lag de sus pulsaciones de teclado.

La compañía no solo lo descubrió, sino que aprovechó el caso para reforzar que ya cuenta con sistemas diseñados específicamente para cazar infiltrados vinculados a Corea del Norte dentro de su plantilla y sus procesos remotos.

Un infiltrado en el corazón de Amazon

Todo comenzó cuando Amazon contrató a un supuesto trabajador remoto de Estados Unidos para desempeñarse como administrador de sistemas en su área de TI, con portátil corporativo, acceso a herramientas internas y las credenciales necesarias para operar como cualquier otro empleado técnico.

Sobre el papel, el perfil encajaba perfectamente en el ecosistema de trabajo remoto que muchas grandes tecnológicas han abrazado desde hace años, donde es normal que la infraestructura crítica se gestione desde múltiples puntos geográficos.

Pero había un detalle clave: la persona que figuraba como empleada no era realmente quien estaba usando el equipo, ya que el portátil asignado en Arizona se había convertido en una especie de “marioneta” controlada a distancia por operadores norcoreanos.

Este tipo de esquema encaja con una estrategia más amplia de Corea del Norte, que lleva tiempo intentando colocar trabajadores encubiertos en empresas de Estados Unidos para obtener ingresos, acceso privilegiado e información sensible, muchas veces usando identidades falsas o prestadas.

Detrás de esta operación también apareció una colaboradora en EE. UU. que facilitaba el fraude, gestionando accesos y logística para estos supuestos trabajadores remotos norcoreanos, lo que terminó costándole varios años de prisión tras ser descubierta.
En la práctica, el portátil de Amazon funcionaba como un “puente legal” dentro del país, mientras el control real se ejercía desde el extranjero.

El lag de teclado que destapó toda la farsa

Lo más increíble de esta historia es que la mentira empezó a caerse por algo tan simple como el retraso en las pulsaciones de teclado, un parámetro que normalmente nadie asocia con espionaje.

Los sistemas internos de Amazon detectaron que cada tecla que se pulsaba desde ese usuario llegaba con un lag de más de 110 milisegundos, muy por encima de lo que se considera normal para una conexión de trabajo remoto dentro de Estados Unidos, donde el input suele viajar en apenas unas decenas de milisegundos.

Este retraso anómalo encendió las alarmas en las herramientas de monitorización que analizan en tiempo real la telemetría de red, el rendimiento y el comportamiento de los dispositivos corporativos, generando una alerta automática para el equipo de seguridad.

Al investigar más a fondo, los especialistas concluyeron que la laptop no estaba siendo utilizada directamente por el supuesto empleado, sino que estaba siendo manipulada mediante control remoto desde una ubicación lejana, lo que explicaba la latencia exagerada en cada pulsación.

A partir de ahí, el caso dejó de ser una simple rareza técnica para convertirse en la pista principal de una operación de infiltración vinculada a Corea del Norte, donde la coartada del “trabajador remoto estadounidense” se desmontó prácticamente gracias a un cronómetro de milisegundos. El lag, que para muchos es solo una molestia al jugar online o hacer videollamadas, se transformó en la prueba clave que expuso a un espía corporativo de alto riesgo.

Amazon y su cacería activa de espías norcoreanos

Lo interesante es que este no fue un golpe de suerte aislado: Amazon lleva tiempo buscando activamente infiltrados norcoreanos dentro de sus procesos de contratación y en su fuerza laboral remota, combinando señales técnicas y humanas para detectarlos. 

Stephen Schmidt, Chief Security Officer de la compañía, reveló que desde abril de 2024 han logrado frustrar más de 1.800 intentos de infiltración relacionados con Corea del Norte, una cifra que muestra lo masiva y persistente que es esta campaña.

Según Schmidt, estos intentos no solo no se detienen, sino que están creciendo alrededor de un 27% cada trimestre, lo que obliga a Amazon a reforzar constantemente sus defensas y a perfeccionar sus modelos de detección basados en patrones de uso, latencia, geolocalización y comportamiento de los usuarios.

La compañía utiliza un mix de software de seguridad avanzado, análisis de tráfico, telemetría de dispositivos y evaluación del lenguaje y la interacción humana para separar a los trabajadores legítimos de los impostores bien entrenados.

Incluso detalles que parecen menores, como modismos mal usados, errores sutiles en el inglés conversacional o incoherencias entre la ubicación declarada y el comportamiento técnico del equipo, se convierten en señales que alimentan el sistema de alerta.

Schmidt ha insistido en que, si empresas como Amazon no se dedicaran a buscar de forma proactiva este tipo de infiltraciones, muchas de ellas pasarían totalmente desapercibidas, lo que deja entrever que otras compañías con menos recursos podrían estar siendo infiltradas sin darse cuenta.

Este caso demuestra que el trabajo remoto abrió oportunidades enormes, pero también un nuevo frente para el espionaje corporativo, y que hoy hasta el lag de tu teclado puede ser la pista definitiva que cuente desde dónde estás trabajando realmente.

Sigue leyendo:
• Hackers de Corea del Norte lograron infiltrarse en una empresa rusa de misiles hipersónicos, revela informe
• Corea del Norte creó una división especial de hackers que utiliza IA para realizar ataques
• Hackers explican la enorme reserva de bitcoins de Corea del Norte