La vieja imagen del ciberataque está quedando obsoleta. Ya no siempre empieza con un correo mal escrito, un archivo adjunto sospechoso o una ventana emergente llena de errores. En 2026, algunas de las campañas más peligrosas arrancan con algo mucho más cotidiano: una oferta laboral en LinkedIn. Eso fue lo que recibió un desarrollador español especializado en blockchain.
La propuesta sonaba tentadora: trabajo 100% remoto, flexibilidad horaria y participación estratégica en un proyecto de videojuegos descentralizados. Lo que parecía una oportunidad profesional era, según varios expertos, una trampa cuidadosamente diseñada por Lazarus, el célebre grupo de hackers vinculado a Corea del Norte.
El nuevo phishing no parece phishing
Durante años, las campañas de engaño digital se apoyaron en mensajes torpes que era relativamente fácil detectar. Hoy la situación es distinta. Los atacantes estudian sectores concretos, hablan el lenguaje profesional de sus víctimas y reproducen procesos empresariales reales. Ya no se limitan a lanzar anzuelos al azar: seleccionan perfiles con precisión.
Eso explica por qué los desarrolladores se han convertido en un objetivo prioritario. Tienen acceso a repositorios privados, infraestructuras cloud, claves API, monederos de criptomonedas y sistemas internos de empresas tecnológicas. Comprometer a uno de ellos puede abrir la puerta a mucho más que un simple ordenador personal.
En este caso, el contacto comenzó como empiezan cientos de conversaciones legítimas en LinkedIn: mensaje cordial, propuesta interesante y una invitación para hablar por videollamada.
La entrevista parecía normal. Ese era el verdadero peligro
Tras una breve conversación inicial, el supuesto reclutador invitó al candidato a una reunión más formal. Todo encajaba con un proceso de selección moderno: agenda compartida, tono profesional y una oportunidad con buena proyección.
Después llegó la siguiente fase: revisar un repositorio técnico para valorar el proyecto y comentar posibles mejoras. Para cualquier programador, abrir código ajeno en Visual Studio Code es algo rutinario. Se hace constantemente con clientes, pruebas técnicas, colaboraciones y entrevistas. Precisamente por eso funciona.
Según el análisis realizado por Claudio Chifa, fundador de DLTCode, el repositorio escondía varios mecanismos de infección preparados para activarse en cuanto la víctima trabajara con él. No hacía falta descargar un ejecutable extraño ni aceptar permisos alarmantes. Bastaba con actuar como un desarrollador normal.
Tres ataques simultáneos dentro de una tarea cotidiana
La investigación apunta a una estructura especialmente sofisticada. El repositorio contenía tres capas distintas de ataque, pensadas para aumentar las probabilidades de éxito.
La primera utilizaba funciones automáticas de Visual Studio Code que permiten ejecutar tareas al abrir un proyecto. Si el entorno estaba configurado de cierta forma, el código malicioso podía lanzarse sin llamar la atención del usuario.
La segunda se apoyaba en npm, el gestor de paquetes habitual en proyectos JavaScript. Durante la instalación de dependencias, el malware podía recopilar información sensible almacenada en el sistema: tokens, claves API, accesos a servicios en la nube o configuraciones internas.
La tercera capa actuaba como respaldo y persistencia. Si una vía fallaba, otra seguía operativa.
El diseño revela algo importante: no se trataba de una estafa improvisada, sino de una operación profesional con tiempo, recursos y conocimiento profundo del flujo de trabajo de los desarrolladores.
Qué buscaban realmente
El objetivo no era solo robar un ordenador. Era capturar valor digital. Entre los activos más codiciados en este tipo de campañas figuran monederos de criptomonedas, contraseñas guardadas en navegadores, claves SSH para entrar en servidores remotos, accesos a plataformas como AWS o Stripe y credenciales de herramientas de IA o desarrollo.
Con una sola intrusión, un atacante puede obtener dinero directo, acceso corporativo o material para futuros movimientos laterales dentro de una empresa. Por eso estos perfiles resultan tan atractivos. El FBI ya ha señalado en varias ocasiones al grupo Lazarus por operaciones multimillonarias relacionadas con el robo de criptoactivos y campañas de espionaje tecnológico.
Lo que salvó al desarrollador español
En este caso, no fue un antivirus milagroso ni una herramienta mágica. Fue la sospecha humana. Pequeños detalles hicieron saltar las alarmas: incoherencias en el discurso, insistencia excesiva para ejecutar código demasiado pronto y señales de baja calidad en algunos materiales enviados. En otro caso similar documentado por investigadores, incluso se sospecha del uso de deepfakes en videollamadas para reforzar la identidad falsa del reclutador.
Cuando algo no encajó, el desarrollador frenó. Y ese gesto marcó la diferencia.
La nueva regla de oro para el trabajo tech
Durante años nos enseñaron a no abrir archivos raros enviados por correo. Hoy esa recomendación se queda corta. También conviene desconfiar de procesos de selección que presionan para ejecutar código local en fases tempranas, especialmente si la oferta parece demasiado perfecta.
Las entrevistas falsas ya no buscan tu currículum. Buscan tus accesos. Y en un mercado donde el teletrabajo internacional es normal y las pruebas técnicas abundan, distinguir una oportunidad real de una trampa sofisticada será cada vez más difícil. Ese quizá sea el dato más inquietante de toda la historia.
