Amazon ha bloqueado a más de 1.800 agentes norcoreanos sospechosos de trabajos remotos en tecnología de la información desde abril de 2024. Stephen Schmidt, segundo vicepresidente senior y director de seguridad de la compañía, detalló el esfuerzo en un publicación en LinkedIn a finales de diciembre de 2025. Los ciudadanos norcoreanos buscan estos puestos en empresas estadounidenses para canalizar los salarios hacia los programas de armas del régimen. Amazon emplea análisis impulsados por IA combinados con verificación humana para la detección. Schmidt declaró en su publicación: “Hemos impedido que más de 1.800 agentes sospechosos de la RPDC se unan desde abril de 2024, y hemos detectado un 27% más de solicitudes afiliadas a la RPDC trimestre tras trimestre este año”. Este aumento refleja los esfuerzos continuos de agentes afiliados a la República Popular Democrática de Corea (RPDC) para infiltrarse en funciones remotas de TI en Amazon y otras empresas. Los sistemas de la empresa procesan aplicaciones en un gran volumen, dado su estatus como uno de los empleadores más grandes del mundo. El proceso de detección integra modelos de inteligencia artificial con revisiones manuales. Schmidt explicó: «Nuestras detecciones combinan la detección impulsada por IA con la verificación humana. Nuestro modelo de IA analiza conexiones con casi 200 instituciones de alto riesgo, anomalías en las aplicaciones e inconsistencias geográficas. Verificamos las identidades mediante verificaciones de antecedentes, verificación de credenciales y entrevistas estructuradas». Estos pasos examinan las redes de solicitantes, los patrones inusuales en los datos enviados y las discrepancias de ubicación que surgen durante los procesos de contratación remota. Schmidt enfatizó la magnitud de la exposición de Amazon a estas amenazas. Escribió: «Como CSO de uno de los empleadores más grandes del mundo, mi equipo ve estas amenazas a una escala que pocas organizaciones ven. Eso nos da una visibilidad única de cómo evolucionan estas operaciones y la responsabilidad de compartir lo que estamos aprendiendo». Esta perspectiva surge del manejo de una gran cantidad de solicitudes de empleo, lo que permite la identificación de patrones que no son visibles para entidades más pequeñas. Los agentes han perfeccionado sus enfoques con el tiempo. Se involucran en el robo de identidad al apuntar a ingenieros de software reales, cuyos perfiles profesionales establecidos dan credibilidad, en lugar de personas con una huella en línea limitada. Este cambio proporciona currículums e historias más convincentes que resisten el escrutinio inicial. Las tácticas de LinkedIn se han vuelto complejas. Los agentes secuestran cuentas inactivas utilizando credenciales comprometidas, preservando las credenciales de verificación de actividades anteriores. Existen redes donde los propietarios de cuentas intercambian acceso a cambio de pago, lo que permite aún más la suplantación. Estos métodos aprovechan las características de la plataforma diseñadas para la creación de redes profesionales. Las aplicaciones se centran cada vez más en puestos de inteligencia artificial y aprendizaje automático. Estos roles conllevan una gran demanda en medio de la adopción corporativa de tecnologías de inteligencia artificial, lo que potencialmente ofrece salarios más altos y una supervisión menos inmediata en configuraciones remotas. Los facilitadores operan «granjas de portátiles» en ubicaciones de EE. UU. Estos sitios reciben envíos de equipos y simulan presencia doméstica, mientras los operarios controlan los dispositivos de forma remota desde fuera del país. Este acuerdo mantiene la apariencia de trabajo en los EE. UU. durante la contratación y la incorporación. Los reclamos educativos evolucionan estratégicamente. Los patrones muestran cambios de universidades del este de Asia a instituciones en estados sin impuesto sobre la renta y, recientemente, a escuelas en California y Nueva York. Las revisiones de Amazon analizan títulos de programas que no ofrecen las instituciones incluidas en la lista o cronogramas no alineados con los calendarios académicos estándar. Los indicadores sutiles ayudan a la detección. Los solicitantes formatean los números de teléfono de EE. UU. con «+1» en lugar de simplemente «1». Este detalle por sí solo tiene poco peso, pero se combina con otras señales para formar un perfil de actividad sospechosa. Estos esquemas se extienden más allá de Amazon. En junio de 2025, el Departamento de Justicia de Estados Unidos emitió una advertencia. Un Departamento de Justicia presione soltar declaró: «El Departamento de Justicia anunció hoy acciones coordinadas contra los planes del gobierno de la República Popular Democrática de Corea del Norte (RPDC) para financiar su régimen a través de trabajos remotos de tecnología de la información (TI) para empresas estadounidenses». Las acciones abarcaron dos acusaciones, un acuerdo de información y declaración de culpabilidad relacionado, un arresto, búsquedas de 29 granjas de computadoras portátiles conocidas o sospechosas en 16 estados, incautación de 29 cuentas financieras utilizadas para lavar fondos ilícitos y 21 sitios web fraudulentos.
