El espía digital que no existe (pero podría estar en tu empresa)
En algún momento de los últimos meses, mientras tu equipo de recursos humanos revisaba candidatos en LinkedIn, es posible que haya evaluado a alguien que nunca existió. No es paranoia: Microsoft acaba de revelar que operadores vinculados a Corea del Norte están usando inteligencia artificial generativa para fabricar trabajadores fantasma con el objetivo de infiltrarse en empresas occidentales. Es una amenaza que mezcla lo viejo —ingeniería social de toda la vida— con lo nuevo: máquinas que generan caras, historiales y personalidades creíbles en minutos.
La realidad es inquietante porque funciona. Según la firma de ciberseguridad, estos grupos han logrado crear perfiles profesionales tan convincentes que evitan los filtros iniciales de candidatos. Utilizan imágenes generadas por IA, historiales laborales fabricados y referencias que suenan legítimas. El objetivo, según análisis de seguridad, es obtener acceso a redes corporativas, información sensible o, en el mejor de los casos para ellos, mantener una presencia permanente dentro de la infraestructura tecnológica de empresas clave.
¿Por qué debería importarte esto?
Aquí viene lo incómodo: esto no es solo un problema de Silicon Valley. En Latinoamérica, donde el mercado tech crece sin pausa pero la capacidad de ciberseguridad en muchas empresas sigue siendo improvisada, esta amenaza tiene dientes. Piensa en startups que contratan talento remoto sin verificaciones exhaustivas. Piensa en empresas medianas que dependen de terceros cloud sin auditar realmente quién accede a qué. Piensa en gobiernos que digitalizan servicios sin presupuesto suficiente para seguridad.
La IA generativa democratizó algo peligroso: la capacidad de crear engaños sofisticados sin necesidad de recursos masivos. Antes, este tipo de operaciones requerían equipos de especialistas trabajando durante semanas. Ahora, un atacante con acceso a herramientas de código abierto puede fabricar un candidato convincente en horas.
¿Cómo funcionaría este ataque?
El flujo es más simple de lo que podrías imaginar. Primero, los atacantes usan generadores de imágenes (como DALL-E, Midjourney o sus equivalentes más accesibles) para crear fotografías de personas que no existen. Luego, alimentan grandes modelos de lenguaje con información pública sobre industrias, empresas e incluso empleados existentes para redactar perfiles coherentes en LinkedIn o plataformas similares. Incluyen referencias falsas que, cuando se verifican, conducen a números telefónicos o correos que parecen corporativos pero están bajo su control.
Una vez contratados—y sí, algunas empresas no hacen verificaciones profundas—el siguiente paso es el acceso. El trabajador fantasma solicita credenciales de VPN, se le asignan proyectos que requieren acceso a bases de datos, o simplemente permanece en el sistema lo suficiente para ser un vector de ataque persistente. Desde ahí, pueden instalar malware, robar propiedad intelectual, o servir como punto de entrada para ataques más grandes.
La pregunta incómoda sobre Microsoft
Aquí es donde toca ser escéptico. Microsoft revela esto ahora, pero ¿desde cuándo lo sabe? ¿Cuántas empresas afectadas no han sido notificadas? ¿Por qué la información viene de Microsoft y no de agencias de seguridad internacionales? La firma tiene todos los incentivos para posicionarse como guardianes de la seguridad (especialmente con sus servicios cloud en juego), así que toma esta información con el matiz adecuado. No es que sea falsa, pero tampoco es desinteresada.
¿Qué pueden hacer las empresas?
Primero, lo obvio: verificaciones de antecedentes más rigurosas. Videollamadas en vivo durante entrevistas. Validación independiente de referencias. Llamadas directas a números de teléfono verificados de empleadores anteriores, no números proporcionados por el candidato.
Segundo, algo que suena retro pero funciona: humanidad. Las entrevistas por video en tiempo real, donde tienes que conversar, siguen siendo difíciles de falsificar. Un algoritmo puede generar una foto perfecta, pero sostener una conversación natural sobre experiencias inexistentes es más complicado.
Tercero, infraestructura. Implementar controles de acceso de privilegios mínimos. No todos necesitan acceso a todo. Un contratista nuevo no debería tener permisos críticos en el primer día.
El panorama más amplio
Esta amenaza es síntoma de algo más grande: vivimos en una era donde la verificación de identidad en línea se está volviendo obsoleta. Cuando las máquinas pueden generar evidencia visual y escrita indistinguible de la real, nuestros mecanismos de confianza tradicionales fallan. No es solo Corea del Norte. Cualquier actor sofisticado—o incluso algunos no tan sofisticados—podría replicar estas tácticas.
Para Latinoamérica, el riesgo es particular porque muchas empresas aún confían en procesos de selección que pueden haber funcionado hace diez años. En un mundo donde la IA genera a personas que no existen, la debida diligencia deja de ser una buena práctica corporativa. Se convierte en supervivencia.
Información basada en reportes de: Xataka.com.mx