Tomas Daniels
En un claro ejemplo de evasión de sanciones mediante medios cibernéticos, Christina Marie Chapman, una residente de 50 años de Litchfield Park, Arizona, ha sido condenada a 102 meses de prisión federal por su papel en una sofisticada operación de fraude internacional que permitió a agentes de TI de Corea del Norte infiltrarse en más de 300 empresas estadounidenses, incluidas plataformas de criptomonedas y grandes empresas tecnológicas.
Operando lo que la fiscalía describió como una "granja de computadoras portátiles" desde su casa en las afueras, Chapman ayudó a ciudadanos norcoreanos —disfrazados de trabajadores remotos legítimos de TI con sede en EE. UU.— a conseguir empleo utilizando identidades robadas y falsas. El esquema generó más de 17 millones de dólares en ganancias ilícitas, y se cree que una parte significativa se destinó a financiar los programas de desarrollo de armas de Corea del Norte.
Chapman se declaró culpable de conspiración para cometer fraude electrónico, robo de identidad agravado y conspiración para lavado de dinero. Además de su condena de prisión, fue condenada a tres años de libertad supervisada, a la confiscación de más de $284,000 y al pago de $176,850 en concepto de restitución.
La seguridad nacional se enfrenta a los delitos de cuello blanco
Los fiscales federales enmarcaron el caso como una de las operaciones de fraude más grandes y perjudiciales contra empleados de TI vinculadas a la República Popular Democrática de Corea (RPDC) jamás procesadas por el Departamento de Justicia. Los investigadores incautaron más de 90 computadoras portátiles en la residencia de Chapman, confirmando que docenas de dispositivos fueron enviados a ubicaciones en el extranjero afiliadas a la RPDC.
La operación afectó a una amplia gama de empresas estadounidenses, incluyendo compañías de la lista Fortune 500, importantes instituciones financieras, un fabricante aeroespacial y varias firmas de los sectores Web3 y criptográfico. La fiscalía señaló que los trabajadores suplantados accedieron a sistemas sensibles, lo que representa una grave amenaza para la ciberseguridad y la seguridad nacional.
“Esto no fue sólo un delito financiero: fue una violación geopolítica”, dijo un fiscal federal involucrado en el caso.
Riesgo legal para los empleadores estadounidenses
El caso Chapman ha conmocionado al sector empresarial estadounidense, planteando interrogantes sobre la responsabilidad de los empleadores en la era del teletrabajo globalizado. Expertos legales han advertido que las empresas que contraten sin saberlo a personas sancionadas, especialmente aquellas provenientes de regímenes controlados por el Estado como Corea del Norte, aún podrían enfrentar medidas coercitivas bajo el régimen de responsabilidad estricta del Departamento del Tesoro de Estados Unidos, administrado por la Oficina de Control de Activos Extranjeros (OFAC).
“Pagar a un desarrollador con sede en la RPDC, incluso sin saberlo, constituye una infracción de las regulaciones de la OFAC”, declaró Aaron Brogan, abogado especializado en sanciones y cumplimiento normativo de criptomonedas. “Las empresas deben mejorar sus prácticas de KYC y diligencia debida, o se arriesgan a consecuencias financieras y reputacionales”.
El plan de Chapman aprovechó vulnerabilidades en los procesos de contratación remota y de verificación de identidad. Las autoridades estadounidenses también han citado el creciente uso de identidades generadas por IA y tecnología deepfake como un factor que dificulta la detección de solicitantes fraudulentos.
Un patrón creciente de infiltración patrocinada por el Estado
Este incidente forma parte de un patrón más amplio. El Departamento del Tesoro de Estados Unidos sancionó recientemente a varias personas y entidades implicadas en esquemas similares, alegando que trabajadores de TI norcoreanos se han infiltrado discretamente en empresas globales de criptomonedas y tecnología, a veces durante años, mientras enviaban sus ganancias al régimen de Pyongyang.
Estimaciones recientes de expertos de las Naciones Unidas sugieren que las operaciones de TI de Corea del Norte pueden generar entre 250 y 600 millones de dólares al año, a menudo canalizados a través de intercambios de criptomonedas y herramientas de cadena de bloques centradas en la privacidad para evadir la detección.
