{"id":22427,"date":"2026-04-23T04:01:51","date_gmt":"2026-04-23T08:01:51","guid":{"rendered":"https:\/\/ermdigital.com\/index.php\/2026\/04\/23\/una-oferta-de-trabajo-en-linkedin-prometia-teletrabajo-y-videojuegos-era-una-trampa-triple-disenada-por-hackers-norcoreanos\/"},"modified":"2026-04-23T04:01:51","modified_gmt":"2026-04-23T08:01:51","slug":"una-oferta-de-trabajo-en-linkedin-prometia-teletrabajo-y-videojuegos-era-una-trampa-triple-disenada-por-hackers-norcoreanos","status":"publish","type":"post","link":"https:\/\/ermdigital.com\/index.php\/2026\/04\/23\/una-oferta-de-trabajo-en-linkedin-prometia-teletrabajo-y-videojuegos-era-una-trampa-triple-disenada-por-hackers-norcoreanos\/","title":{"rendered":"Una oferta de trabajo en LinkedIn promet\u00eda teletrabajo y videojuegos: era una trampa triple dise\u00f1ada por hackers norcoreanos"},"content":{"rendered":"

\n \"Una\n <\/p>\n

Un desarrollador de blockchain espa\u00f1ol estuvo a punto de ser v\u00edctima de una de las operaciones de ciberespionaje<\/a> m\u00e1s sofisticadas que circulan ahora mismo. El cebo que utilizaron era algo tan inocente como una oferta de empleo<\/a> enviada a trav\u00e9s de LinkedIn. Lo que parec\u00eda una oportunidad profesional<\/strong> era, en realidad, una trampa dise\u00f1ada por uno de los grupos de hackers norcoreanos m\u00e1s peligrosos<\/a> y mejor financiados del mundo.<\/p>\n

<\/p>\n

El caso fue analizado por Claudio Chifa<\/a>, fundador de la empresa de ciberseguridad DLTCode<\/a>, y coincide con otro ataque documentado pocas semanas antes contra Chris Papathanasiou<\/a>, director ejecutivo de la firma de seguridad AllSecure. Dos ataques casi id\u00e9nticos, dos pa\u00edses diferentes, un mismo autor: el grupo Lazarus<\/strong>, la unidad de operaciones digitales del gobierno<\/a> de Corea del Norte.<\/p>\n

<\/p>\n

La oferta de trabajo ten\u00eda gato encerrado<\/h2>\n

En el caso espa\u00f1ol, el contacto lleg\u00f3 en forma de algo tan habitual en el entorno de LinkedIn como es una oferta de trabajo como asesor estrat\u00e9gico en un proyecto de videojuegos descentralizado con trabajo 100% remoto y flexibilidad horaria.<\/p>\n

\n
\n
\n
\n
\n \"Parec\u00eda
\n <\/a>\n <\/div>\n
\n
\n En Xataka<\/a>\n <\/div>\n

Parec\u00eda un buen candidato, en realidad era un esp\u00eda de Corea del Norte: c\u00f3mo una legi\u00f3n de hackers se col\u00f3 en empresas europeas<\/a>\n <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n

Tras una breve conversaci\u00f3n, el supuesto reclutador envi\u00f3 un enlace para avanzar en el proceso de contrataci\u00f3n convocando al candidato a una videollamada de 45 minutos. Tras esa conversaci\u00f3n inicial, entr\u00f3 en escena el cebo que habr\u00eda completado la trampa: descargar un repositorio y abrirlo en Visual Studio Code para revisarlo.<\/p>\n

<\/p>\n

En el caso de Papathanasiou, el modus operandi<\/em> fue pr\u00e1cticamente id\u00e9ntico: un perfil de LinkedIn le ofreci\u00f3 un empleo en una empresa que describ\u00eda como \"un equipo en r\u00e1pido crecimiento que est\u00e1 desarrollando el primer sistema operativo de IA descentralizado\", tambi\u00e9n con enlace de Calendly (una herramienta para convocar reuniones) para agendar la llamada.<\/p>\n

<\/p>\n

Durante la videollamada, el supuesto responsable de selecci\u00f3n us\u00f3 brevemente la c\u00e1mara<\/a>, mostrando un rostro que coincid\u00eda con el perfil de LinkedIn<\/strong> que estaba usando como tapadera, aunque la voz no encajaba con v\u00eddeos p\u00fablicos de esa persona que Papathanasiou encontr\u00f3 posteriormente.<\/p>\n

<\/p>\n

\"Empec\u00e9 a grabar a mitad de la conversaci\u00f3n una vez que empec\u00e9 a sospechar\", declar\u00f3 Papathanasiou, quien sospecha que los atacantes emplearon tecnolog\u00eda de deepfake<\/em> para suplantar la identidad de su interlocutor<\/a>.<\/p>\n

<\/p>\n

\n
\n

\"Linkedin<\/p><\/div>\n<\/div>\n

Claudio Chifa, en cambio, comenz\u00f3 a sospechar ante la suma de peque\u00f1os detalles que no terminaron de encajarle con el proyecto que le estaban ofreciendo: \"El acento del interlocutor no ten\u00eda que ver con Portugal, las instrucciones del repositorio de GitHub estaban claramente generadas con alguna IA, lo cual tambi\u00e9n me hizo dudar de la calidad del proyecto. Pero, sobre todo, fue la insistencia por lanzar el c\u00f3digo en mi m\u00e1quina para un puesto de asesor\", subrayaba el experto en ciberseguridad.<\/p>\n

<\/p>\n

Tres trampas en un solo disparo<\/h2>\n

Tanto el repositorio analizado por Chifa y DLTCode como el investigado por AllSecure escond\u00edan tres mecanismos de infecci\u00f3n independientes<\/strong>, dise\u00f1ados para activarse simult\u00e1neamente en el momento de abrir la carpeta, de modo que, si uno fallaba, los otros dos actuaban como salvaguarda completando el trabajo.<\/p>\n

El primero aprovechaba una funci\u00f3n de Visual Studio Code que permite configurar tareas autom\u00e1ticas al abrir un proyecto. El comando malicioso se ejecutaba en una ventana oculta, sin dejar ning\u00fan rastro visible para el usuario, y pod\u00eda adaptarse al sistema operativo de la v\u00edctima (Mac, Linux o Windows).<\/p>\n

<\/p>\n

El segundo mecanismo actuaba durante el proceso de instalaci\u00f3n habitual del proyecto mediante npm (el gestor de paquetes o herramienta de instalaci\u00f3n de componentes que usan los programadores de JavaScript). En ese momento, el servidor del atacante recib\u00eda autom\u00e1ticamente todas las credenciales almacenadas en el sistema, incluyendo claves de servicios como AWS, Stripe u OpenAI y se hac\u00eda con el control total del equipo.<\/p>\n

<\/p>\n

El tercer frente de ataque se encadenaba a los dos anteriores, de forma que bastaba con abrir la carpeta para que los tres se dispararan a la vez <\/strong>y tomaran sus respectivas posiciones.<\/p>\n

<\/p>\n

\"Lo m\u00e1s inteligente de este ataque es que no depende de que la v\u00edctima haga nada<\/a> extraordinario. No te piden ejecutar un .exe, no te piden desactivar el antivirus, no te piden hacer nada que active tus alarmas. Te piden que abras una carpeta en tu editor de c\u00f3digo. Algo que un desarrollador hace cincuenta veces al d\u00eda\", destaca Chifa.<\/p>\n

<\/p>\n

\n
\n
\n
\n
\n \"Parec\u00eda
\n <\/a>\n <\/div>\n
\n
\n En Xataka<\/a>\n <\/div>\n

Parec\u00eda un buen candidato, en realidad era un esp\u00eda de Corea del Norte: c\u00f3mo una legi\u00f3n de hackers se col\u00f3 en empresas europeas<\/a>\n <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n

Dise\u00f1ado para no dejar rastro<\/h2>\n

El historial del repositorio analizado por DLTCode revela que la operaci\u00f3n lleva activa desde septiembre de 2025, con once servidores de control desde los que los atacantes gestionan el malware a distancia <\/strong>rotados a lo largo de ese periodo.<\/p>\n

Cuando AllSecure intent\u00f3 analizar su ataque desde servidores de AWS, los operadores de Lazarus detectaron que la IP de origen pertenec\u00eda a un centro de datos y cortaron la conexi\u00f3n de inmediato. Eso no da una idea del nivel de vigilancia activa que este grupo tiene sobre su propia infraestructura.<\/p>\n

<\/p>\n

El objetivo final de ambos ataques era el mismo: robar monederos de criptomonedas<\/a>, contrase\u00f1as del navegador, claves SSH (c\u00f3digos de acceso remoto a servidores) y cualquier credencial almacenada<\/a> en el sistema que pueda serles \u00fatiles en el futuro. El FBI estima<\/a> que el grupo Lazarus ha acumulado m\u00e1s de 1.500 millones de d\u00f3lares robados en criptomonedas mediante campa\u00f1as de este tipo.<\/p>\n

<\/p>\n

\n
\n
\n
<\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n

C\u00f3mo defenderse de este tipo de ataques<\/h2>\n

Lo que salv\u00f3 a Chifa de caer en la trampa de Lazarus fue detenerse a analizar el c\u00f3digo <\/strong>antes de ejecutarlo. Algo en la reuni\u00f3n no le cuadr\u00f3 y decidi\u00f3 investigar primero. Papathanasiou hizo lo mismo y, ante las sospechas, cre\u00f3 un entorno virtual aislado y analiz\u00f3 el repositorio desde ah\u00ed en lugar de abrirlo directamente en su ordenador.<\/p>\n

Para los programadores e ingenieros de software, que se han convertido en el principal objetivo de estos ciberdelincuentes, los expertos recomiendan desactivar la ejecuci\u00f3n autom\u00e1tica de tareas en Visual Studio Code, inspeccionar siempre los archivos de configuraci\u00f3n y de instalaci\u00f3n de cualquier proyecto recibido externamente, y nunca ejecutar c\u00f3digo de origen desconocido fuera de un entorno aislado.<\/p>\n

<\/p>\n

\"La precauci\u00f3n m\u00e1s importante es desconfiar de cualquier proceso de selecci\u00f3n que te pida ejecutar c\u00f3digo durante las primeras tomas de contacto. Ninguna empresa leg\u00edtima necesita que abras un repositorio en local en la primera llamada. Si alguien te contacta por LinkedIn con un proyecto extraordinario y a los pocos d\u00edas ya te est\u00e1 pidiendo que descargues c\u00f3digo, ese es el momento de parar\", advierte el fundador de DLTCode.<\/p>\n

<\/p>\n

En caso de sospechar un intento de ataque en Espa\u00f1a<\/a>, tanto el Instituto Nacional de Ciberseguridad (INCIBE) como el Grupo de Delitos Telem\u00e1ticos de la Guardia Civil cuentan con canales<\/a> para recibir estos reportes.<\/p>\n

<\/p>\n

En Xataka | Ahora se entiende por qu\u00e9 se habla tanto de ciberataques: el ransomware se ha disparado en Espa\u00f1a y los datos lo confirman<\/a><\/p>\n

Imagen | Unsplash (Nguyen Dang Hoang Nhu<\/a>, LinkedIn Sales Solutions<\/a>)<\/p>\n


La noticia
\n
\n Una oferta de trabajo en LinkedIn promet\u00eda teletrabajo y videojuegos: era una trampa triple dise\u00f1ada por hackers norcoreanos <\/em>
\n <\/a>
\n fue publicada originalmente en
\n
\n Xataka <\/strong>
\n <\/a>
\n por
\n
\n Rub\u00e9n Andr\u00e9s
\n <\/a>
\n . <\/p>\n

\u00a0Un desarrollador de blockchain espa\u00f1ol estuvo a punto de ser v\u00edctima de una de las operaciones de ciberespionaje m\u00e1s sofisticadas que circulan ahora mismo. El cebo que utilizaron era algo tan inocente como una oferta de empleo enviada a trav\u00e9s de LinkedIn. Lo que parec\u00eda una oportunidad profesional era, en realidad, una trampa dise\u00f1ada por uno de los grupos de hackers norcoreanos m\u00e1s peligrosos y mejor financiados del mundo.<\/p>\n

El caso fue analizado por Claudio Chifa, fundador de la empresa de ciberseguridad DLTCode, y coincide con otro ataque documentado pocas semanas antes contra Chris Papathanasiou, director ejecutivo de la firma de seguridad AllSecure. Dos ataques casi id\u00e9nticos, dos pa\u00edses diferentes, un mismo autor: el grupo Lazarus, la unidad de operaciones digitales del gobierno de Corea del Norte.<\/p>\n

La oferta de trabajo ten\u00eda gato encerradoEn el caso espa\u00f1ol, el contacto lleg\u00f3 en forma de algo tan habitual en el entorno de LinkedIn como es una oferta de trabajo como asesor estrat\u00e9gico en un proyecto de videojuegos descentralizado con trabajo 100% remoto y flexibilidad horaria.<\/p>\n

En Xataka<\/p>\n

Parec\u00eda un buen candidato, en realidad era un esp\u00eda de Corea del Norte: c\u00f3mo una legi\u00f3n de hackers se col\u00f3 en empresas europeas<\/p>\n

Tras una breve conversaci\u00f3n, el supuesto reclutador envi\u00f3 un enlace para avanzar en el proceso de contrataci\u00f3n convocando al candidato a una videollamada de 45 minutos. Tras esa conversaci\u00f3n inicial, entr\u00f3 en escena el cebo que habr\u00eda completado la trampa: descargar un repositorio y abrirlo en Visual Studio Code para revisarlo.<\/p>\n

En el caso de Papathanasiou, el modus operandi fue pr\u00e1cticamente id\u00e9ntico: un perfil de LinkedIn le ofreci\u00f3 un empleo en una empresa que describ\u00eda como \"un equipo en r\u00e1pido crecimiento que est\u00e1 desarrollando el primer sistema operativo de IA descentralizado\", tambi\u00e9n con enlace de Calendly (una herramienta para convocar reuniones) para agendar la llamada.<\/p>\n

Durante la videollamada, el supuesto responsable de selecci\u00f3n us\u00f3 brevemente la c\u00e1mara, mostrando un rostro que coincid\u00eda con el perfil de LinkedIn que estaba usando como tapadera, aunque la voz no encajaba con v\u00eddeos p\u00fablicos de esa persona que Papathanasiou encontr\u00f3 posteriormente.<\/p>\n

\"Empec\u00e9 a grabar a mitad de la conversaci\u00f3n una vez que empec\u00e9 a sospechar\", declar\u00f3 Papathanasiou, quien sospecha que los atacantes emplearon tecnolog\u00eda de deepfake para suplantar la identidad de su interlocutor.<\/p>\n

Claudio Chifa, en cambio, comenz\u00f3 a sospechar ante la suma de peque\u00f1os detalles que no terminaron de encajarle con el proyecto que le estaban ofreciendo: \"El acento del interlocutor no ten\u00eda que ver con Portugal, las instrucciones del repositorio de GitHub estaban claramente generadas con alguna IA, lo cual tambi\u00e9n me hizo dudar de la calidad del proyecto. Pero, sobre todo, fue la insistencia por lanzar el c\u00f3digo en mi m\u00e1quina para un puesto de asesor\", subrayaba el experto en ciberseguridad.<\/p>\n

Tres trampas en un solo disparoTanto el repositorio analizado por Chifa y DLTCode como el investigado por AllSecure escond\u00edan tres mecanismos de infecci\u00f3n independientes, dise\u00f1ados para activarse simult\u00e1neamente en el momento de abrir la carpeta, de modo que, si uno fallaba, los otros dos actuaban como salvaguarda completando el trabajo.<\/p>\n

El primero aprovechaba una funci\u00f3n de Visual Studio Code que permite configurar tareas autom\u00e1ticas al abrir un proyecto. El comando malicioso se ejecutaba en una ventana oculta, sin dejar ning\u00fan rastro visible para el usuario, y pod\u00eda adaptarse al sistema operativo de la v\u00edctima (Mac, Linux o Windows).<\/p>\n

El segundo mecanismo actuaba durante el proceso de instalaci\u00f3n habitual del proyecto mediante npm (el gestor de paquetes o herramienta de instalaci\u00f3n de componentes que usan los programadores de JavaScript). En ese momento, el servidor del atacante recib\u00eda autom\u00e1ticamente todas las credenciales almacenadas en el sistema, incluyendo claves de servicios como AWS, Stripe u OpenAI y se hac\u00eda con el control total del equipo.<\/p>\n

El tercer frente de ataque se encadenaba a los dos anteriores, de forma que bastaba con abrir la carpeta para que los tres se dispararan a la vez y tomaran sus respectivas posiciones.<\/p>\n

\"Lo m\u00e1s inteligente de este ataque es que no depende de que la v\u00edctima haga nada extraordinario. No te piden ejecutar un .exe, no te piden desactivar el antivirus, no te piden hacer nada que active tus alarmas. Te piden que abras una carpeta en tu editor de c\u00f3digo. Algo que un desarrollador hace cincuenta veces al d\u00eda\", destaca Chifa.<\/p>\n

En Xataka<\/p>\n

Parec\u00eda un buen candidato, en realidad era un esp\u00eda de Corea del Norte: c\u00f3mo una legi\u00f3n de hackers se col\u00f3 en empresas europeas<\/p>\n

Dise\u00f1ado para no dejar rastroEl historial del repositorio analizado por DLTCode revela que la operaci\u00f3n lleva activa desde septiembre de 2025, con once servidores de control desde los que los atacantes gestionan el malware a distancia rotados a lo largo de ese periodo.<\/p>\n

Cuando AllSecure intent\u00f3 analizar su ataque desde servidores de AWS, los operadores de Lazarus detectaron que la IP de origen pertenec\u00eda a un centro de datos y cortaron la conexi\u00f3n de inmediato. Eso no da una idea del nivel de vigilancia activa que este grupo tiene sobre su propia infraestructura.<\/p>\n

El objetivo final de ambos ataques era el mismo: robar monederos de criptomonedas, contrase\u00f1as del navegador, claves SSH (c\u00f3digos de acceso remoto a servidores) y cualquier credencial almacenada en el sistema que pueda serles \u00fatiles en el futuro. El FBI estima que el grupo Lazarus ha acumulado m\u00e1s de 1.500 millones de d\u00f3lares robados en criptomonedas mediante campa\u00f1as de este tipo.<\/p>\n

C\u00f3mo defenderse de este tipo de ataquesLo que salv\u00f3 a Chifa de caer en la trampa de Lazarus fue detenerse a analizar el c\u00f3digo antes de ejecutarlo. Algo en la reuni\u00f3n no le cuadr\u00f3 y decidi\u00f3 investigar primero. Papathanasiou hizo lo mismo y, ante las sospechas, cre\u00f3 un entorno virtual aislado y analiz\u00f3 el repositorio desde ah\u00ed en lugar de abrirlo directamente en su ordenador.<\/p>\n

Para los programadores e ingenieros de software, que se han convertido en el principal objetivo de estos ciberdelincuentes, los expertos recomiendan desactivar la ejecuci\u00f3n autom\u00e1tica de tareas en Visual Studio Code, inspeccionar siempre los archivos de configuraci\u00f3n y de instalaci\u00f3n de cualquier proyecto recibido externamente, y nunca ejecutar c\u00f3digo de origen desconocido fuera de un entorno aislado.<\/p>\n

\"La precauci\u00f3n m\u00e1s importante es desconfiar de cualquier proceso de selecci\u00f3n que te pida ejecutar c\u00f3digo durante las primeras tomas de contacto. Ninguna empresa leg\u00edtima necesita que abras un repositorio en local en la primera llamada. Si alguien te contacta por LinkedIn con un proyecto extraordinario y a los pocos d\u00edas ya te est\u00e1 pidiendo que descargues c\u00f3digo, ese es el momento de parar\", advierte el fundador de DLTCode.<\/p>\n

En caso de sospechar un intento de ataque en Espa\u00f1a, tanto el Instituto Nacional de Ciberseguridad (INCIBE) como el Grupo de Delitos Telem\u00e1ticos de la Guardia Civil cuentan con canales para recibir estos reportes.<\/p>\n

En Xataka | Ahora se entiende por qu\u00e9 se habla tanto de ciberataques: el ransomware se ha disparado en Espa\u00f1a y los datos lo confirman<\/p>\n

Imagen | Unsplash (Nguyen Dang Hoang Nhu, LinkedIn Sales Solutions)<\/p>\n

– La noticia<\/p>\n

Una oferta de trabajo en LinkedIn promet\u00eda teletrabajo y videojuegos: era una trampa triple dise\u00f1ada por hackers norcoreanos <\/p>\n

fue publicada originalmente en<\/p>\n

Xataka <\/p>\n

por <\/p>\n

Rub\u00e9n Andr\u00e9s<\/p>\n

.\u00a0\u00a0\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Un desarrollador de blockchain espa\u00f1ol estuvo a punto de ser v\u00edctima de una de las operaciones de ciberespionaje m\u00e1s sofisticadas que circulan ahora mismo. El cebo que utilizaron era algo tan inocente como una oferta de empleo enviada a trav\u00e9s de LinkedIn. Lo que parec\u00eda una oportunidad profesional era, en realidad, una trampa dise\u00f1ada por […]<\/p>\n","protected":false},"author":1,"featured_media":22428,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"amp_status":"","footnotes":""},"categories":[6],"tags":[],"class_list":["post-22427","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia-y-tecnologia"],"_links":{"self":[{"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/posts\/22427","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/comments?post=22427"}],"version-history":[{"count":0,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/posts\/22427\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/media\/22428"}],"wp:attachment":[{"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/media?parent=22427"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/categories?post=22427"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/tags?post=22427"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}