La expansión del trabajo remoto alteró fundamentalmente los modelos de seguridad empresarial. Las organizaciones que antes dependían de entornos de oficina estrictamente controlados comenzaron repentinamente a enviar laptops corporativas preconfiguradas a trabajadores que nunca conocerían físicamente. El enrolamiento de VPN, las plataformas SaaS de identidad, los sistemas de onboarding remoto y las herramientas de colaboración en la nube rápidamente se convirtieron en el nuevo perímetro de confianza.

Las organizaciones criminales y los operadores patrocinados por estados rápidamente reconocieron que la misma infraestructura que permitía fuerzas laborales distribuidas legítimas también podía ser utilizada como arma.

Entre los ejemplos más sofisticados descubiertos públicamente están las operaciones de trabajadores remotos de TI de Corea del Norte que, según las autoridades estadounidenses, infiltraron compañías estadounidenses mediante redes de las llamadas “laptop farms” — ubicaciones residenciales donde laptops emitidas por empresas eran alojadas físicamente en Estados Unidos mientras eran operadas remotamente desde el extranjero.

Investigaciones recientes del Departamento de Justicia y del FBI han expuesto cómo estas operaciones combinaron:

• contratación remota fraudulenta
• documentos de identidad falsificados
• lavado residencial de geolocalización
• infraestructura de escritorio remoto
• empresas fachada de staffing
• redes de lavado financiero
• y acceso empresarial encubierto.

El resultado fue un ecosistema híbrido que mezclaba operaciones de amenaza interna, evasión de sanciones y generación de ingresos habilitada por cibercrimen en un modelo operativo escalable capaz de incrustar operadores extranjeros dentro de entornos corporativos confiables durante años.

Qué Es Realmente una Laptop Farm

Una laptop farm es una ubicación física donde múltiples laptops emitidas por empresas son almacenadas, mantenidas encendidas, conectadas a internet residencial y accedidas remotamente por operadores ubicados en otro lugar.

Operacionalmente, las laptop farms funcionan de manera similar a infraestructura de proxies residenciales, excepto que los sistemas involucrados no son dispositivos de consumidores comprometidos infectados con malware. En cambio, son endpoints corporativos legítimos enviados voluntariamente por organizaciones víctimas a lo que creen que son empleados o contratistas confiables.

En la mayoría de los casos documentados, las laptops son entregadas a:

• casas suburbanas
• departamentos rentados
• unidades de almacenamiento
• espacios de coworking
• o residencias operadas por facilitadores.

Una vez que el dispositivo llega, el facilitador:

• enciende el sistema
• lo conecta al Wi-Fi local
• completa procedimientos de onboarding
• enrola tokens de autenticación
• instala software de acceso remoto
• y habilita a operadores extranjeros para controlar la máquina remotamente.

Para el empleador, la laptop parece pertenecer a un trabajador remoto normal basado en Estados Unidos.

En realidad, la actividad de teclado y mouse puede originarse desde otro país completamente distinto.

Lavado de Geolocalización Mediante Infraestructura Residencial

El propósito principal de una laptop farm es el lavado de geolocalización.

Las empresas modernas monitorean cada vez más:

• intentos de autenticación extranjeros
• eventos de viaje imposible
• infraestructura VPN alojada en la nube
• números de sistema autónomo (ASN) sospechosos
• y patrones anómalos de login.

Si una cuenta de empleado autentica repentinamente desde:

• Corea del Norte
• China
• Rusia
• u otras jurisdicciones de alto riesgo,

los sistemas de seguridad pueden activar:

• bloqueos de cuenta
• autenticación basada en riesgo
• investigaciones de amenaza interna
• o revisiones de cumplimiento relacionadas con sanciones.

Las laptop farms evaden estos controles asegurando que la actividad corporativa parezca originarse desde conexiones de internet residenciales domésticas legítimas.

En lugar de una ruta de conexión directa como:

China → VPN Corporativa

el flujo operativo se convierte en:

Operador extranjero → túnel de escritorio remoto → laptop residencial en EE.UU. → sistemas corporativos

El empleador solo ve la segunda mitad de la cadena.

Como resultado:

• la dirección IP parece doméstica
• el hardware es legítimo
• los certificados del endpoint son válidos
• las huellas digitales del navegador permanecen estables
• y la actividad se origina desde ISPs residenciales confiables.

La laptop efectivamente se convierte en un nodo proxy operado por humanos.

La Infraestructura de Escritorio Remoto Detrás de las Laptop Farms

La tecnología habilitadora central detrás de las laptop farms es la infraestructura de acceso remoto.

En una de las acusaciones del DOJ más detalladas liberadas públicamente, los fiscales alegaron que operadores norcoreanos y facilitadores basados en Estados Unidos utilizaron:

• AnyDesk
• TeamViewer

para acceder remotamente a laptops emitidas por empresas alojadas dentro de Estados Unidos.

Según la acusación, los facilitadores recibían físicamente laptops de compañías víctimas en direcciones residenciales, iniciaban sesión en los sistemas e instalaban software de escritorio remoto que permitía a trabajadores de TI norcoreanos operando desde China realizar trabajo de desarrollo de software mientras aparentaban estar basados en Estados Unidos.

El documento describe específicamente incidentes donde:

• AnyDesk fue instalado en laptops asociadas con una identidad fraudulenta “Glaus Li”
• y TeamViewer fue posteriormente instalado en sistemas asociados con otra identidad llamada “K. Bane.”

El ecosistema más amplio de trabajadores remotos también ha sido asociado por investigadores de seguridad con otras plataformas de monitoreo y administración remota (RMM) comúnmente abusadas en operaciones de acceso encubierto, incluyendo:

• RustDesk
• Chrome Remote Desktop
• Splashtop
• Remote Utilities
• MeshCentral
• Microsoft Remote Desktop Protocol (RDP)
• túneles reverse proxy
• e infraestructura de relay autohospedada.

Sin embargo, solamente AnyDesk y TeamViewer son identificados explícitamente en la acusación de Florida misma.

Muchas de estas herramientas son atractivas porque soportan:

• sesiones salientes cifradas
• acceso desatendido
• ejecución portable
• instalación a nivel usuario
• y operación sin requerir exposición de firewall entrante.

Las plataformas open source como RustDesk y MeshCentral son especialmente atractivas en operaciones encubiertas porque los operadores pueden hospedar su propia infraestructura de relay, reduciendo la visibilidad de patrones de tráfico asociados con proveedores comerciales de escritorio remoto.

En entornos más sofisticados, los operadores pueden encadenar múltiples tecnologías juntas:

Operador extranjero
        ↓
Infraestructura VPN o VPS
        ↓
Sesión cifrada de escritorio remoto
        ↓
Nodo de laptop basado en EE.UU.
        ↓
VPN corporativa
        ↓
Sistemas empresariales internos

Esta arquitectura en capas complica la atribución y reduce significativamente las oportunidades de detección basadas en geolocalización.

Cómo Generan Ingresos las Laptop Farms

Las laptop farms generan ingresos principalmente mediante empleo remoto fraudulento.

Los operadores obtienen trabajos remotos usando:

• documentos falsificados
• identidades robadas
• identidades sintéticas
• o intermediarios cooperativos.

Una vez contratados, reciben:

• salarios
• pagos de contratistas
• honorarios de consultoría de software
• compensación en acciones
• y acceso a sistemas empresariales.

Según avisos del FBI y del Tesoro referenciados en documentos del DOJ, trabajadores de TI norcoreanos individualmente generaban cientos de miles de dólares anualmente, con equipos produciendo colectivamente millones en ingresos para el régimen de la RPDC.

El modelo operativo va más allá del fraude de nómina.

Una vez incrustados dentro de entornos corporativos, los operadores pueden obtener acceso a:

• código fuente propietario
• infraestructura CI/CD
• sistemas de administración en la nube
• credenciales API
• plataformas internas de colaboración
• workflows de firma de software
• bases de datos de clientes
• e infraestructura blockchain.

En varios avisos públicos posteriores del FBI e investigaciones del DOJ relacionadas con el ecosistema más amplio de trabajadores remotos de la RPDC, las autoridades alegaron que algunos operadores también participaron en:

• robo de datos
• extorsión
• exfiltración de código fuente
• y robo de información propietaria sensible.

El FBI advirtió separadamente en 2024 y 2025 que trabajadores remotos norcoreanos utilizaban cada vez más el acceso interno para robar datos corporativos y extorsionar organizaciones víctimas después de ser descubiertos.

La Acusación de la Laptop Farm en Florida

Uno de los ejemplos públicos más claros de una operación de laptop farm surgió mediante una acusación del Distrito Sur de Florida revelada en 2025.

El caso involucró:

• a los ciudadanos norcoreanos JIN SUNG-IL y PAK JIN-SONG
• al ciudadano mexicano PEDRO ERNESTO ALONSO DE LOS REYES
• y a los facilitadores basados en Estados Unidos ERICK NTEKEREZE PRINCE y EMANUEL ASHTOR.

Según los fiscales, los conspiradores utilizaron empresas fachada de staffing incluyendo:

• Taggcar Inc.
• y Vali Tech Inc.

para obtener contratos corporation-to-corporation con compañías estadounidenses.

La estructura operativa era importante porque los ecosistemas de contratistas frecuentemente reciben menos escrutinio que los pipelines de empleo directo.

La acusación alega que los conspiradores apuntaron a compañías que contrataban:

• desarrolladores móviles remotos
• ingenieros de software
• desarrolladores Android
• y contratistas de TI.

Para asegurar empleo, los operadores presuntamente utilizaron:

• pasaportes estadounidenses falsificados
• visas TN falsas
• tarjetas fraudulentas de Seguro Social
• documentos de identidad alterados
• e información personal identificable robada.

Es importante señalar que PEDRO ERNESTO ALONSO DE LOS REYES no fue descrito como una identidad sintética falsa. Era un coacusado real identificado por nombre cuya identidad, según los fiscales, fue utilizada con su consentimiento por JIN SUNG-IL durante solicitudes fraudulentas de empleo.

La acusación además alega que las compañías víctimas enviaron laptops corporativas directamente a residencias controladas por los facilitadores en Nueva York y Carolina del Norte.

Una vez recibidas, los facilitadores presuntamente:

• encendieron los dispositivos
• los conectaron a Wi-Fi residencial
• instalaron AnyDesk y TeamViewer
• iniciaron sesión en sistemas corporativos
• y habilitaron acceso remoto desde China.

En una secuencia documentada, los fiscales alegan que:

• una identidad fraudulenta “Glaus Li” aseguró un rol de desarrollador
• una laptop fue enviada a una residencia en Nueva York
• AnyDesk fue instalado en el sistema
• y el dispositivo posteriormente fue accedido remotamente desde China.

La acusación afirma que la conspiración apuntó a al menos 64 compañías estadounidenses y generó aproximadamente $866,255 dólares en pagos directamente vinculados con el esquema.

El documento también alega que varias organizaciones víctimas incurrieron en gastos de remediación y legales superiores a $1 millón de dólares.

El Ecosistema Más Amplio de Trabajadores Remotos de la RPDC

La acusación de Florida representa solamente un componente de una investigación federal mucho más amplia sobre operaciones de trabajadores remotos de la RPDC.

Casos separados del DOJ posteriormente expusieron infraestructura adicional de laptop farms operando en:

• Tennessee
• Nueva Jersey
• y múltiples otros estados de EE.UU.

En un caso relacionado, Matthew Knoot operaba una laptop farm desde Nashville, Tennessee, donde los fiscales dijeron que laptops corporativas fueron enviadas para apoyar empleo fraudulento bajo la identidad “Andrew M.” Las autoridades alegaron que Knoot instaló aplicaciones de escritorio remoto permitiendo a operadores norcoreanos en China trabajar remotamente mientras aparentaban estar físicamente ubicados en Nashville.

Otro importante caso federal acusó a Zhenxing “Danny” Wang, Kejia “Tony” Wang y múltiples ciudadanos chinos y taiwaneses en un esquema que presuntamente generó más de $5 millones de dólares en ingresos mientras comprometía las identidades de más de 80 personas estadounidenses.

La iniciativa más amplia del DOJ — referida públicamente como la “DPRK RevGen: Domestic Enabler Initiative” — involucró:

• cateos en 16 estados
• investigaciones sobre 29 laptop farms sospechosas
• aseguramiento de cuentas financieras
• e interrupción de infraestructura fraudulenta.

Las autoridades además revelaron que algunos trabajadores remotos obtuvieron acceso a información técnica controlada para exportación, incluyendo datos relacionados con defensa restringidos por ITAR asociados con un contratista de defensa en California.

Ese detalle eleva significativamente las implicaciones de seguridad nacional de las operaciones de laptop farms más allá del fraude laboral o la evasión de sanciones.

La Contratación Remota Como Vector de Intrusión

Históricamente, las intrusiones empresariales típicamente comenzaban con:

• phishing
• entrega de malware
• explotación de software
• o robo de credenciales.

Las laptop farms invierten completamente ese modelo.

La propia organización víctima proporciona:

• el hardware
• el acceso VPN
• el endpoint confiable
• el enrolamiento de identidad en la nube
• y la conectividad interna de red.

El vector de ataque se convierte en el propio proceso de contratación.

Esto cambia fundamentalmente el panorama de amenazas internas porque el operador entra al entorno como:

• un empleado autenticado
• usando credenciales legítimas
• desde un dispositivo confiable
• operando desde infraestructura residencial aparentemente normal.

Las operaciones norcoreanas descubiertas por las autoridades estadounidenses demuestran cómo los ecosistemas de trabajo remoto pueden transformarse en infraestructura de acceso encubierto de largo plazo capaz de incrustar operadores extranjeros directamente dentro de entornos empresariales mientras permanecen operacionalmente indistinguibles de actividades normales de trabajo distribuido.