Corea del Norte usa IA deepfake para ciberataques masivos

Alerta máxima: Corea del Norte y el grupo Kimsuky utilizan deepfakes con IA para ejecutar ciberataques masivos. Descubre cómo operan, sus objetivos y cómo protegerte

¿Qué pasaría si una imagen militar oficial resultara ser completamente falsa? Esta es la nueva realidad que enfrentan las instituciones surcoreanas tras el reciente descubrimiento de un sofisticado ciberataque perpetrado por el grupo Kimsuky, respaldado por el gobierno de Corea del Norte. Los hackers norcoreanos han dado un salto cualitativo en sus tácticas, incorporando inteligencia artificial y tecnología deepfake para crear identificaciones militares falsas con un nivel de realismo alarmante.

Este incidente no es un hecho aislado, sino parte de una evolución preocupante en las tácticas de ciberespionaje de Corea del Norte. El régimen norcoreano, conocido por su programa de armas nucleares y sus constantes provocaciones militares, ha estado desarrollando silenciosamente sus capacidades cibernéticas durante años, convirtiéndose en una de las amenazas más persistentes y sofisticadas en el panorama de la ciberseguridad global.

En este artículo, exploraremos quién es el grupo Kimsuky, cómo llevaron a cabo este ataque innovador utilizando tecnología deepfake, qué técnicas emplearon para eludir las restricciones de las plataformas de IA, y, lo más importante, qué medidas pueden tomar las organizaciones para protegerse contra esta creciente amenaza. ¿Estamos preparados para enfrentar esta nueva era de ciberataques impulsados por IA?

history El Grupo Kimsuky: Un Breve Recorrido Histórico

Kimsuky, también conocido como Velvet Chollima, Black Banshee, THALLIUM, Emerald Sleet o APT43, no es un grupo nuevo en el panorama de las ciberamenazas. Según la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU., este grupo respaldado por el estado norcoreano probablemente ha estado activo desde 2012, casi una década antes de que muchos comenzáramos a preocuparnos seriamente por las amenazas cibernéticas patrocinadas por naciones.

La línea de tiempo de ataques notables atribuidos a Kimsuky es impresionante y preocupante. En marzo de 2015, se informó que el grupo había robado datos de Korea Hydro & Nuclear Power, una de las empresas de energía más importantes de Corea del Sur. Cuatro años después, en agosto de 2019, Kimsuky fue noticia por atacar a diplomáticos surcoreanos retirados, funcionarios gubernamentales y militares en lo que se describió como "el primer ataque de su tipo".

Las ambiciones del grupo no se limitan a Corea del Sur. En septiembre de 2020, se descubrió que Kimsuky había intentado hackear a 11 funcionarios del Consejo de Seguridad de la ONU, un objetivo de alto valor que demuestra la audacia y el alcance global del grupo. En mayo de 2021, un legislador del Partido del Poder Popular informó que Kimsuky había sido detectado dentro de las redes internas del Korea Atomic Energy Research Institute, otro objetivo estratégico de alto valor.

Lo que distingue al ataque reciente de Kimsuky no es solo el objetivo, sino la metodología. Por primera vez, el grupo ha incorporado abiertamente tecnología deepfake e inteligencia artificial generativa en su arsenal de ciberataques. ¿Podría esto marcar el comienzo de una nueva era en el ciberespionaje patrocinado por estados, donde la línea entre lo real y lo falso se vuelve cada vez más borrosa?

security El Ataque: Deepfakes para Engañar

El 17 de julio de 2025, los analistas del Genians Security Center detectaron una actividad inusual que pronto identificarían como parte de una campaña de phishing altamente sofisticada. Los atacantes, que se hacían pasar por una institución de defensa surcoreana, enviaron un correo electrónico que supuestamente trataba sobre la emisión de identificaciones para funcionarios militares afiliados.

El correo electrónico contenía un archivo adicional, 'LhUdPC3G.bat', que se ejecutaba e iniciaba actividades maliciosas una vez que la víctima lo descargaba. Este malware estaba diseñado para permitir el robo de datos internos y el control remoto de los dispositivos infectados, otorgando a los atacantes acceso potencial a información sensible y redes internas.

Este ataque no fue un evento aislado, sino que siguió a una serie de campañas de phishing basadas en ClickFix atribuidas a Kimsuky en junio de 2025. Ambas campañas implementaron el mismo malware, lo que sugiere una evolución táctica por parte del grupo en lugar de un cambio completo de estrategia. Los objetivos principales de estas campañas eran investigadores en estudios norcoreanos, activistas de derechos humanos norcoreanos y periodistas, perfiles que representan alto valor para el régimen norcoreano en términos de inteligencia y influencia.

Lo que hace que este ataque sea particularmente preocupante es cómo demuestra la adaptabilidad del grupo Kimsuky. Al incorporar tecnología deepfake en su arsenal, han elevado significativamente el nivel de sofisticación de sus operaciones. ¿Podría esto ser solo el comienzo de una tendencia más amplia donde los actores patrocinados por estados adopten tecnologías de IA generativa para llevar a cabo ciberataques cada vez más convincentes y difíciles de detectar?

psychology Cómo Eludieron las Restricciones de ChatGPT

Una de las preguntas más intrigantes que surgen de este ataque es cómo los hackers norcoreanos lograron eludir las restricciones de ChatGPT para generar imágenes de identificaciones militares. Después de todo, es ilegal producir copias de identificaciones gubernamentales militares, y las plataformas de IA como ChatGPT están programadas para rechazar explícitamente tales solicitudes.

Esta técnica explota una de las debilidades inherentes en los modelos de lenguaje grandes: su tendencia a seguir instrucciones literalmente, incluso cuando esas instrucciones podrían llevar a resultados que violan las políticas establecidas. Al enmarcar la solicitud como algo aparentemente inocuo, los atacantes pudieron engañar al sistema para que generara contenido que, aunque técnicamente no era una copia exacta de un documento real, era lo suficientemente convincente para sus propósitos maliciosos.

Como señalaron los investigadores de Genians en su informe: "La imagen deepfake utilizada en este ataque cayó en esta categoría. Porque crear identificaciones falsas con servicios de IA es técnicamente sencillo, se requiere precaución adicional". Esta observación resalta una preocupación fundamental: a medida que la tecnología de IA generativa se vuelve más accesible y potente, también se vuelve más fácil de explotar para fines maliciosos.

Este caso no es el primero en que se documenta el uso indebido de IA por parte de actores norcoreanos. Un informe anterior publicado por Anthropic, desarrollador de la IA Claude, detalló cómo trabajadores de TI de Corea del Norte habían utilizado identidades virtuales manipuladas para pasar evaluaciones técnicas durante solicitudes de empleo, parte de un esquema más amplio para eludir las sanciones internacionales y obtener divisas para el régimen.

¿Qué significa esto para el futuro de la seguridad de las plataformas de IA? Si los grupos de hackers patrocinados por estados pueden eludir tan fácilmente las salvaguardas existentes, ¿necesitamos enfoques completamente nuevos para garantizar que estas tecnologías no se utilicen para fines maliciosos? La respuesta, como veremos a continuación, puede requerir una combinación de tecnología avanzada, conciencia humana y políticas robustas.

warning El Espectro de Amenazas Deepfake

El ataque de Kimsuky es solo un ejemplo de cómo la tecnología deepfake puede ser utilizada con fines maliciosos. A medida que esta tecnología se vuelve más accesible y sofisticada, el espectro de amenazas potenciales se expande rápidamente, afectando a individuos, organizaciones y gobiernos por igual.

Las compañías de seguros también son vulnerables. Con más empresas moviéndose hacia procesos de reclamos automatizados, eliminando al ajustador de reclamos humano, las imágenes generadas por deepfake presentadas con reclamos pueden no recibir el mismo nivel de escrutinio. Esto podría abrir la puerta a un aumento significativo en el fraude de seguros.

Otro área de preocupación es el aumento de los ataques de ingeniería social mejorados por deepfake. Al utilizar deepfakes, los actores maliciosos pueden penetrar organizaciones impersonando a figuras de autoridad, como un Director de Tecnología (CTO), para persuadir al personal a conceder acceso a sistemas críticos. Esto podría lograrse a través de correos electrónicos de "spear phishing" dirigidos con un video deepfake adjunto, haciéndolos mucho más convincentes que los intentos tradicionales de phishing.

Incluso las prácticas de contratación remota pueden ser explotadas. Tanto los delincuentes como los candidatos poco cualificados podrían utilizar deepfakes para dar a las identidades sintéticas un rostro y una voz convincentes, llegando incluso a realizar entrevistas completas. Esto representa un desafío significativo para los procesos de verificación de identidad y podría llevar a la infiltración de organizaciones por parte de actores maliciosos.

¿Estamos realmente preparados para enfrentar este amplio espectro de amenazas? A medida que la línea entre lo real y lo sintético se vuelve cada vez más borrosa, nuestras defensas tradicionales pueden resultar insuficientes. Afortunadamente, hay pasos que las organizaciones pueden tomar para protegerse.

shield Protección: Cinco Pasos Clave

Frente a la creciente amenaza de los deepfakes, las organizaciones no pueden permitirse ser pasivas. Según los expertos de KPMG, existen cinco pasos prácticos que las empresas pueden tomar para protegerse contra esta nueva generación de amenazas digitales.

Como señala Bryan McGowan, Global Trusted AI Lead de KPMG International: "El auge de los deepfakes explota nuestra tendencia natural a confiar en el contenido visual y auditivo, lo que plantea riesgos significativos. Es fundamental que las organizaciones hagan cumplir programas sólidos de IA Confiable para ayudar a garantizar un uso seguro y ético de la IA y una implementación segura".

play_circle Deepfakes: La Nueva Frontera de las Amenazas Cibernéticas

Para comprender mejor las implicaciones de los deepfakes en la ciberseguridad, te invitamos a ver este video que explora cómo estas tecnologías están siendo utilizadas por actores maliciosos y qué podemos hacer para defendernos:

summarize Conclusión: El Futuro de la Ciberseguridad

El ataque del grupo Kimsuky utilizando deepfakes generados por IA no es solo un incidente aislado, sino un presagio de lo que nos espera en el futuro de la ciberseguridad. A medida que la tecnología de IA generativa se vuelve más accesible y sofisticada, podemos esperar ver más actores, tanto patrocinados por estados como criminales, aprovechando estas herramientas para llevar a cabo ataques cada vez más convincentes y difíciles de detectar.

El incidente con Kimsuky también subraya la importancia de la colaboración internacional en la ciberseguridad. Los ciberataques no conocen fronteras, y los grupos como Kimsuky operan globalmente. Para defenderse eficazmente contra estas amenazas, las organizaciones, los gobiernos y los expertos en seguridad deben trabajar juntos, compartiendo información, desarrollando estándares comunes y coordinando sus esfuerzos de defensa.

¿Estamos preparados para este nuevo panorama de amenazas? La respuesta, en muchos casos, es probablemente no. Pero el primer paso para abordar cualquier desafío es reconocer su existencia y gravedad. Al tomar medidas proactivas ahora, podemos estar mejor preparados para enfrentar los desafíos que nos esperan en el futuro.

"La tecnología deepfake está aquí para quedarse. La pregunta no es si seremos objetivo de ataques deepfake, sino cuándo y cómo estaremos preparados para responder. La preparación no es opcional; es una necesidad en el panorama digital actual." - Experto en ciberseguridad

En última instancia, la batalla contra los deepfakes maliciosos es una batalla por la confianza. En un mundo donde cada vez más depende de nuestra capacidad para distinguir entre lo real y lo sintético, preservar esa confianza se vuelve fundamental. La tecnología puede ayudarnos en esta tarea, pero al final, será nuestra combinación de escepticismo saludable, pensamiento crítico y colaboración lo que marcará la diferencia.