{"id":5551,"date":"2026-04-24T12:30:00","date_gmt":"2026-04-24T15:30:00","guid":{"rendered":"http:\/\/laf5.publisher.highstack.com.ar\/?p=5551"},"modified":"2026-04-24T12:30:00","modified_gmt":"2026-04-24T15:30:00","slug":"un-desarrollador-espanol-recibio-una-oferta-irresistible-por-linkedin-para-trabajar-en-remoto-con-videojuegos-blockchain-en-realidad-era-una-operacion-norcoreana-disenada-para-vaciar-su-ordenador-sin","status":"publish","type":"post","link":"https:\/\/laf5.publisher.highstack.com.ar\/?p=5551","title":{"rendered":"Un desarrollador espa\u00f1ol recibi\u00f3 una oferta irresistible por LinkedIn para trabajar en remoto con videojuegos blockchain. En realidad era una operaci\u00f3n norcoreana dise\u00f1ada para vaciar su ordenador sin que lo notara"},"content":{"rendered":"
\n

La vieja imagen del ciberataque est\u00e1 quedando obsoleta. Ya no siempre empieza con un correo mal escrito, un archivo adjunto sospechoso o una ventana emergente llena de errores. En 2026, algunas de las campa\u00f1as m\u00e1s peligrosas arrancan con algo mucho m\u00e1s cotidiano: una oferta laboral en LinkedIn. Eso fue lo que recibi\u00f3 un desarrollador espa\u00f1ol especializado en blockchain.<\/p>\n

La propuesta sonaba tentadora: trabajo 100% remoto, flexibilidad horaria y participaci\u00f3n estrat\u00e9gica en un proyecto de videojuegos descentralizados. Lo que parec\u00eda una oportunidad profesional era, seg\u00fan varios expertos, una trampa cuidadosamente dise\u00f1ada por Lazarus, el c\u00e9lebre grupo de hackers vinculado a Corea del Norte.<\/p>\n

El nuevo phishing no parece phishing<\/h2>\n

Durante a\u00f1os, las campa\u00f1as de enga\u00f1o digital se apoyaron en mensajes torpes que era relativamente f\u00e1cil detectar. Hoy la situaci\u00f3n es distinta. Los atacantes estudian sectores concretos, hablan el lenguaje profesional de sus v\u00edctimas y reproducen procesos empresariales reales. Ya no se limitan a lanzar anzuelos al azar: seleccionan perfiles con precisi\u00f3n.<\/p>\n

Eso explica por qu\u00e9 los desarrolladores se han convertido en un objetivo prioritario. Tienen acceso a repositorios privados, infraestructuras cloud, claves API, monederos de criptomonedas y sistemas internos de empresas tecnol\u00f3gicas. Comprometer a uno de ellos puede abrir la puerta a mucho m\u00e1s que un simple ordenador personal.<\/p>\n

En este caso, el contacto comenz\u00f3 como empiezan cientos de conversaciones leg\u00edtimas en LinkedIn: mensaje cordial, propuesta interesante y una invitaci\u00f3n para hablar por videollamada.<\/p>\n

La entrevista parec\u00eda normal. Ese era el verdadero peligro<\/h2>\n
\"Un
\u00a9 Unsplash \/ Curated Lifestyle.<\/figcaption><\/figure>\n

Tras una breve conversaci\u00f3n inicial, el supuesto reclutador invit\u00f3 al candidato a una reuni\u00f3n m\u00e1s formal. Todo encajaba con un proceso de selecci\u00f3n moderno: agenda compartida, tono profesional y una oportunidad con buena proyecci\u00f3n.<\/p>\n

Despu\u00e9s lleg\u00f3 la siguiente fase: revisar un repositorio t\u00e9cnico para valorar el proyecto y comentar posibles mejoras. Para cualquier programador, abrir c\u00f3digo ajeno en Visual Studio Code es algo rutinario. Se hace constantemente con clientes, pruebas t\u00e9cnicas, colaboraciones y entrevistas. Precisamente por eso funciona.<\/p>\n

Seg\u00fan el an\u00e1lisis realizado por Claudio Chifa, fundador de DLTCode, el repositorio escond\u00eda varios mecanismos de infecci\u00f3n preparados para activarse en cuanto la v\u00edctima trabajara con \u00e9l. No hac\u00eda falta descargar un ejecutable extra\u00f1o ni aceptar permisos alarmantes. Bastaba con actuar como un desarrollador normal.<\/p>\n

Tres ataques simult\u00e1neos dentro de una tarea cotidiana<\/h2>\n

La investigaci\u00f3n apunta a una estructura especialmente sofisticada. El repositorio conten\u00eda tres capas distintas de ataque, pensadas para aumentar las probabilidades de \u00e9xito.<\/p>\n

La primera utilizaba funciones autom\u00e1ticas de Visual Studio Code que permiten ejecutar tareas al abrir un proyecto. Si el entorno estaba configurado de cierta forma, el c\u00f3digo malicioso pod\u00eda lanzarse sin llamar la atenci\u00f3n del usuario.<\/p>\n

La segunda se apoyaba en npm, el gestor de paquetes habitual en proyectos JavaScript. Durante la instalaci\u00f3n de dependencias, el malware pod\u00eda recopilar informaci\u00f3n sensible almacenada en el sistema: tokens, claves API, accesos a servicios en la nube o configuraciones internas.<\/p>\n

La tercera capa actuaba como respaldo y persistencia. Si una v\u00eda fallaba, otra segu\u00eda operativa.<\/p>\n

El dise\u00f1o revela algo importante: no se trataba de una estafa improvisada, sino de una operaci\u00f3n profesional con tiempo, recursos y conocimiento profundo del flujo de trabajo de los desarrolladores.<\/p>\n

Qu\u00e9 buscaban realmente<\/h2>\n

El objetivo no era solo robar un ordenador. Era capturar valor digital. Entre los activos m\u00e1s codiciados en este tipo de campa\u00f1as figuran monederos de criptomonedas, contrase\u00f1as guardadas en navegadores, claves SSH para entrar en servidores remotos, accesos a plataformas como AWS o Stripe y credenciales de herramientas de IA o desarrollo.<\/p>\n

Con una sola intrusi\u00f3n, un atacante puede obtener dinero directo, acceso corporativo o material para futuros movimientos laterales dentro de una empresa. Por eso estos perfiles resultan tan atractivos.\u00a0El FBI ya ha se\u00f1alado en varias ocasiones al grupo Lazarus por operaciones multimillonarias relacionadas con el robo de criptoactivos y campa\u00f1as de espionaje tecnol\u00f3gico.<\/p>\n

Lo que salv\u00f3 al desarrollador espa\u00f1ol<\/h2>\n
\"Un
\u00a9 Unsplash \/ Chirayu Trivedi.<\/figcaption><\/figure>\n

En este caso, no fue un antivirus milagroso ni una herramienta m\u00e1gica. Fue la sospecha humana. Peque\u00f1os detalles hicieron saltar las alarmas: incoherencias en el discurso, insistencia excesiva para ejecutar c\u00f3digo demasiado pronto y se\u00f1ales de baja calidad en algunos materiales enviados. En otro caso similar documentado por investigadores, incluso se sospecha del uso de deepfakes en videollamadas para reforzar la identidad falsa del reclutador.<\/p>\n

Cuando algo no encaj\u00f3, el desarrollador fren\u00f3. Y ese gesto marc\u00f3 la diferencia.<\/p>\n

La nueva regla de oro para el trabajo tech<\/h2>\n

Durante a\u00f1os nos ense\u00f1aron a no abrir archivos raros enviados por correo. Hoy esa recomendaci\u00f3n se queda corta. Tambi\u00e9n conviene desconfiar de procesos de selecci\u00f3n que presionan para ejecutar c\u00f3digo local en fases tempranas, especialmente si la oferta parece demasiado perfecta.<\/p>\n

Las entrevistas falsas ya no buscan tu curr\u00edculum. Buscan tus accesos. Y en un mercado donde el teletrabajo internacional es normal y las pruebas t\u00e9cnicas abundan, distinguir una oportunidad real de una trampa sofisticada ser\u00e1 cada vez m\u00e1s dif\u00edcil. Ese quiz\u00e1 sea el dato m\u00e1s inquietante de toda la historia.<\/p>\n<\/p><\/div>\n","protected":false},"excerpt":{"rendered":"

La vieja imagen del ciberataque est\u00e1 quedando obsoleta. Ya no siempre empieza con un correo mal escrito, un archivo adjunto sospechoso o una ventana emergente llena de errores. En 2026, algunas de las campa\u00f1as m\u00e1s peligrosas arrancan con algo mucho m\u00e1s cotidiano: una oferta laboral en LinkedIn. Eso fue lo que recibi\u00f3 un desarrollador espa\u00f1ol […]<\/p>\n","protected":false},"author":1,"featured_media":5552,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-5551","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=\/wp\/v2\/posts\/5551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5551"}],"version-history":[{"count":0,"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=\/wp\/v2\/posts\/5551\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=\/wp\/v2\/media\/5552"}],"wp:attachment":[{"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/laf5.publisher.highstack.com.ar\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}