El trabajo en remoto ha abierto puertas que hace una década eran impensables: contratar talento sin importar la ciudad, reducir costes, ampliar horarios y acelerar proyectos. Pero esa misma flexibilidad también ha creado un nuevo tipo de amenaza que no entra por una vulnerabilidad técnica, sino por un proceso aparentemente rutinario: la contratación.
Amazon lo comprobó con un caso que ha llamado la atención en todo el sector. La compañía detectó a un supuesto profesional de IT que decía trabajar desde Estados Unidos, pero que en realidad operaba desde el extranjero. Lo sorprendente no fue el método final de confirmación —la investigación de red y la verificación del acceso remoto—, sino la señal inicial: un pequeño retraso, de alrededor de 110 milisegundos, entre las pulsaciones del teclado y la ejecución de comandos.
Un detalle mínimo que encendió la alarma
Según lo publicado en medios especializados, el portátil corporativo estaba físicamente en Arizona, pero las interacciones con la infraestructura de Amazon mostraban una latencia “extraña” para alguien que realmente estuviera trabajando dentro del país. En términos sencillos: cada comando llegaba con un “eco” leve pero constante, como si el teclado estuviera a más distancia de la que declaraba el trabajador.
Ese tipo de indicio, por sí solo, no es una prueba concluyente. Una conexión doméstica saturada o una VPN corporativa mal configurada también pueden añadir retrasos. La diferencia, en este caso, fue la consistencia del patrón y su encaje con otras señales. La investigación posterior concluyó que el equipo estaba siendo controlado a distancia y que parte del tráfico pasaba por infraestructura asociada a China, un salto habitual en esquemas de ocultación.
Stephen Schmidt, Chief Security Officer de Amazon, lo resumió con una frase que explica por qué este tipo de fraude es tan difícil de frenar si no se busca de forma activa: si no estuvieran pendientes de estos perfiles, probablemente no lo habrían encontrado.
No es un caso aislado: más de 1.800 intentos desde 2024
El episodio no se interpreta como una anécdota, sino como parte de una tendencia. Amazon afirma haber bloqueado más de 1.800 intentos de infiltración similares desde abril de 2024, y describe un incremento de alrededor del 27 % trimestre a trimestre.
Estas cifras importan por una razón: muestran que el problema no se limita a grandes tecnológicas. Donde hay contratación remota, subcontratación, urgencia por cubrir posiciones y procesos de verificación imperfectos, hay oportunidad para el engaño.
Cómo funciona la estafa, explicado para cualquiera
El concepto clave es sencillo: alguien intenta ser contratado usando una identidad que no le corresponde. Una vez dentro, el objetivo puede ser ganar un salario, acceder a sistemas, robar información, o crear una puerta de entrada para operaciones posteriores. En el caso atribuido a Corea del Norte, las autoridades estadounidenses describen estas tramas como una vía para generar ingresos y sortear sanciones, apoyándose en identidades falsas y facilitadores en distintos países.
El patrón suele incluir tres piezas, sin necesidad de tecnicismos:
- Una identidad “limpia” de cara a la empresa
Currículum convincente, perfiles online cuidados, entrevistas por videollamada… a veces incluso con herramientas que facilitan la impostura. - Un intermediario dentro del país donde está la empresa
Es quien recibe el portátil corporativo en una dirección local y lo mantiene listo para su uso. - El trabajo real se hace desde fuera
El “empleado” opera a distancia, como si estuviera en casa del país contratado. Ahí es donde pequeñas señales (latencia, rutas de red, hábitos de uso) pueden delatar lo que los papeles esconden.
Este modelo se conoce popularmente como “laptop farms” o “granjas de portátiles”: habitaciones con decenas de equipos corporativos de distintas empresas, encendidos y conectados, listos para que alguien a miles de kilómetros los use como puente. No es teoría: el Departamento de Justicia ha detallado casos reales, con condenas y decomisos, asociados a redes de facilitadores.
Cuando el fraude acaba en tribunales
En julio de 2025, el Departamento de Justicia anunció la condena de una mujer en Arizona a 102 meses de prisión (8 años y 6 meses) por operar una “laptop farm” que ayudó a generar 17 millones de dólares para este tipo de esquemas, engañando a empresas para que creyeran que los trabajadores estaban en Estados Unidos.
Además, en junio de 2025 las autoridades estadounidenses anunciaron acciones coordinadas contra estas redes: detenciones, acusaciones y registros vinculados a la obtención fraudulenta de empleos remotos en más de 100 empresas, con uso de identidades robadas y facilitadores en varios países.
Para el lector general, el mensaje es claro: no es una exageración de cine. Existe, se ha judicializado y se está persiguiendo.
Por qué esto preocupa tanto a empresas pequeñas y medianas
Una gran compañía puede tener equipos de seguridad dedicados, herramientas avanzadas y especialistas monitorizando señales sutiles. Una pyme, normalmente, no. Y sin embargo, muchas pymes manejan activos valiosos: acceso a cuentas de nube, repositorios, paneles de clientes, datos personales o facturación.
El peligro de estas infiltraciones no es solo “pagar a alguien que no es quien dice ser”. El riesgo real es más amplio:
- Acceso legítimo a sistemas internos (aunque sea limitado al principio).
- Robo de credenciales y escalada de privilegios con el tiempo.
- Filtración de datos o abuso de información comercial.
- Puertas traseras para ataques posteriores, cuando nadie sospecha.
En resumen: es un tipo de amenaza que se parece más a una estafa de identidad con consecuencias informáticas que a un “hackeo” tradicional.
Qué puede hacer una empresa sin convertirse en una agencia de inteligencia
La buena noticia es que no hace falta vivir en la paranoia. Pero sí conviene aceptar una realidad: contratar en remoto exige controles distintos a los de un empleado al que se conoce en persona.
Medidas entendibles y aplicables:
- Verificación de identidad seria y repetida: no solo al inicio; también revisiones puntuales.
- Entrevistas con señales de vida: coherencia entre voz, imagen, respuestas, historial y comportamiento.
- Entregas de hardware con controles: direcciones verificadas y procesos claros cuando hay intermediarios o terceros.
- Acceso mínimo desde el día uno: nadie necesita “llaves maestras” la primera semana.
- Vigilancia de comportamiento: no hace falta espiar; basta con detectar anomalías evidentes (horarios imposibles, accesos desde lugares inesperados, patrones incoherentes).
- Separar entornos: producción, sistemas críticos y datos sensibles deben estar segmentados y protegidos por capas.
Microsoft, por ejemplo, ha descrito este fenómeno como una operación sostenida donde se combinan VPN, herramientas de administración remota y facilitadores para ocultar ubicación e identidad. Es una señal de que el problema no es puntual: es un modelo que se adapta.
Una lección para el futuro del empleo
La contratación remota ha llegado para quedarse. Pero el caso de Amazon muestra una conclusión incómoda: la confianza ya no se puede basar solo en documentos y entrevistas. En un mundo donde alguien puede “parecer” tu empleado sin serlo, las organizaciones necesitan unir Recursos Humanos, IT y seguridad con un objetivo compartido: comprobar que la identidad, el dispositivo y el comportamiento cuentan la misma historia.
Y, como recordó este incidente, a veces esa historia se rompe por un detalle tan pequeño como 110 milisegundos.
Preguntas frecuentes
¿Por qué estos fraudes afectan especialmente a puestos técnicos (IT)?
Porque suelen tener acceso a sistemas, contraseñas, nube, servidores o herramientas internas. Incluso con permisos limitados, un perfil técnico puede abrir puertas si la empresa no segmenta bien.
¿Qué señales “no técnicas” pueden levantar sospechas en una contratación remota?
Incoherencias en el currículum, cambios de versión en detalles básicos, dificultad para responder preguntas prácticas del puesto o irregularidades persistentes en disponibilidad y horarios.
¿Qué es una “granja de portátiles” y por qué es peligrosa?
Es un lugar donde se acumulan portátiles corporativos de distintas empresas para que terceros los controlen a distancia desde otros países, aparentando estar “locales”. Reduce la eficacia de controles basados solo en geolocalización.
¿Qué es lo mínimo que debería hacer una pyme para reducir el riesgo?
Verificar identidad de forma robusta, entregar hardware con control, aplicar mínimo privilegio, segmentar accesos y vigilar anomalías básicas de comportamiento y ubicaciones.
fuente: noticias ciberseguridad
