En ciberseguridad, a veces lo más importante no es lo más espectacular. Amazon detectó a un infiltrado que intentaba operar como empleado remoto gracias a una señal tan discreta que, para la mayoría de personas, pasaría por “cosas de Internet”: un retraso de algo más de 110 milisegundos en la llegada de las pulsaciones del teclado.

La historia, revelada por Stephen Schmidt, responsable de seguridad de Amazon, se ha convertido en un caso de estudio por dos motivos. Primero, porque muestra hasta qué punto las redes de fraude laboral asociadas a Corea del Norte han perfeccionado el arte de “parecer legítimas” en un entorno de contratación global. Y segundo, porque confirma una tendencia que cada vez pesa más: la seguridad ya no vive solo en antivirus y firewalls, sino en la capacidad de correlacionar comportamiento, identidad, endpoint y red.

Un portátil en Arizona… y alguien lejos de Arizona

El caso empezó con algo parecido a una incorporación normal. Un perfil técnico contratado para trabajar en remoto recibió un portátil corporativo, que estaba físicamente en Arizona. El supuesto trabajador afirmaba operar desde Estados Unidos. Sin embargo, los sistemas de monitorización de Amazon detectaron un patrón extraño: las pulsaciones de teclado tardaban demasiado en “impactar” en la infraestructura interna, especialmente en comandos y acciones que deberían resultar ágiles en conexiones domésticas dentro del país.

El umbral no era una barbaridad. No se trataba de segundos, ni siquiera de cientos de milisegundos de margen variable. Era un retardo sostenido, superior a 110 milisegundos, lo bastante consistente como para parecer “una huella” y no una casualidad. En un entorno corporativo con telemetría avanzada, la diferencia entre “normal” y “esto no cuadra” puede ser justamente eso: pequeñas desviaciones repetidas miles de veces.

La investigación acabó apuntando a la explicación menos deseada y, al mismo tiempo, más lógica: el equipo estaba siendo controlado a distancia. Parte del tráfico se logró rastrear hasta China, un país que aparece con frecuencia como punto intermedio en esquemas de relay y ocultación de este tipo. El acceso se bloqueó y el intento quedó registrado como un caso más dentro de un fenómeno que Amazon dice estar viendo de forma recurrente.

“Si no los buscas, no los encuentras”

La frase de Schmidt explica por qué estos episodios son tan difíciles de detectar para empresas que no están mirando justo ahí: si no estás cazando activamente ese patrón, lo normal es que se confunda con ruido. En otras palabras: la mayoría de controles tradicionales están diseñados para frenar intrusiones técnicas, pero no para desenmascarar a alguien que entra “por la puerta” con credenciales válidas y un puesto de trabajo asignado.

Amazon asegura haber bloqueado más de 1.800 intentos de infiltración de este tipo desde abril de 2024 y cifra el crecimiento en torno al 27 % trimestre a trimestre en 2025. No es un número menor: describe un flujo constante de candidatos falsos o manipulados entrando por canales de empleo, subcontratación y terceros.

El fraude del “trabajador IT remoto” ya es un modelo industrial

Durante años, el riesgo del trabajo remoto se asociaba a Wi-Fi inseguras, portátiles perdidos o accesos mal configurados. Hoy, la lista incluye algo más incómodo: empleados que no son quienes dicen ser.

El patrón suele repetirse con variaciones, pero mantiene una estructura reconocible:

• Identidades falsas o robadas: perfiles con documentación suplantada, nombres reales usados sin permiso o “personas” creadas para pasar filtros.
• Intermediarios locales: alguien dentro de Estados Unidos recibe el hardware corporativo y lo mantiene encendido, conectado y listo para que el trabajador real lo controle.
• Control remoto y rutas de evasión: herramientas de acceso remoto, VPNs, relays, y saltos de red para “pintar” una ubicación creíble.

La parte clave del esquema es que, si la empresa solo valida “que el portátil está en Estados Unidos”, el atacante gana una coartada técnica. Por eso la latencia de tecleo, la cadencia de uso, las rutas de red y las señales de endpoint se vuelven decisivas: no validan una dirección postal; validan un comportamiento real.

De la telemetría a la atribución: cómo se construye el caso

En este tipo de incidentes, un único indicador no suele bastar. Una latencia alta podría tener mil explicaciones: mala conexión, rutas saturadas, VPN corporativa, incluso problemas de rendimiento local. Lo que marca la diferencia es que la señal se mantenga y se correlacione con el resto.

Cuando un equipo de seguridad revisa un caso así, suele buscar:

• Evidencias de control remoto (software, drivers, procesos, patrones de sesión).
• Coherencia entre ubicación declarada y rutas de red reales.
• Cambios de comportamiento: horarios, ritmo de trabajo, cadencias de login.
• Señales “blandas” que acompañan a las técnicas: inconsistencias en comunicación escrita, expresiones fuera de contexto o patrones repetidos en currículos.

En el episodio atribuido a Amazon, la clave estuvo en el detalle mínimo, pero el cierre del caso fue un trabajo de contexto: el retraso de tecleo abrió la puerta; la investigación confirmó el engaño.

Por qué esto preocupa también a pequeñas empresas

Lo más llamativo de este tipo de fraude es que no se limita a gigantes tecnológicos. De hecho, en muchas campañas la diana preferida es justo la que tiene menos recursos para investigar: pymes, consultoras, startups, proveedores y cadenas de subcontratación.

El argumento es simple: el acceso “legítimo” a un entorno corporativo puede servir para múltiples fines, desde ingresos por salario hasta robo de información, movimientos laterales o extorsión. Y, como han advertido autoridades estadounidenses en casos judiciales relacionados, estas redes han sido capaces de infiltrarse en cientos de organizaciones a través de contratación remota, intermediarios y hardware gestionado por terceros.

La lección incómoda: la seguridad no siempre se rompe, a veces se contrata

El caso de los 110 milisegundos deja una idea clara: el ataque no siempre entra por una vulnerabilidad; a veces entra por Recursos Humanos. Cuando el atacante consigue una cuenta, un portátil y un rol, el resto es cuestión de paciencia y disciplina operativa.

Por eso, las medidas más eficaces suelen combinar tres capas:

1. Identidad: verificación reforzada, revalidación periódica y controles específicos en procesos con terceros.
2. Dispositivo: endpoint gestionado, detección de control remoto, inventario, posture y alertas por comportamiento.
3. Acceso: mínimo privilegio, segmentación, permisos temporales y vigilancia de rutas/redes “incompatibles” con la ubicación declarada.

En un mundo donde el trabajo remoto ya no es excepción, la conclusión es casi paradójica: la empresa necesita aprender a desconfiar de lo que, en apariencia, funciona demasiado bien. Porque la señal de un infiltrado puede ser tan pequeña como un eco de 110 milisegundos, repetido una y otra vez, hasta que alguien decide mirar.

---

Preguntas frecuentes

¿Qué es el fraude de “trabajadores IT remotos” vinculado a Corea del Norte?
Es un esquema en el que operadores usan identidades falsas o robadas para conseguir empleos técnicos en remoto y acceder de forma legítima a entornos corporativos, a menudo con intermediarios locales que gestionan el hardware.

¿Cómo se detecta un portátil corporativo controlado por alguien desde otro país?
Suele detectarse combinando telemetría del endpoint (herramientas de control remoto), señales de red (rutas, ASN, relays), y comportamiento (latencias consistentes, horarios, patrones de sesión) frente a la ubicación declarada.

¿Por qué la latencia del teclado puede delatar un acceso remoto encubierto?
Porque, cuando el control real está lejos del equipo físico, las pulsaciones viajan por más saltos de red y suelen mostrar retardos consistentes. No es prueba única, pero sí una señal útil al correlacionarla con otras evidencias.

¿Qué controles mínimos deberían exigir las empresas en contratación IT remota y subcontratas?
Verificación reforzada de identidad, dispositivos corporativos gestionados, prohibición o control estricto de software de acceso remoto no autorizado, segmentación por roles y mínimo privilegio, además de auditoría de proveedores y contratistas.

fuente: noticias ciberseguridad