Atraso na digitação expõe infiltrado norte-coreano em vaga de TI da Amazon

Um detalhe quase imperceptível foi suficiente para a Amazon identificar um infiltrado norte-coreano em seu quadro de funcionários de tecnologia. Um atraso incomum na digitação — conhecido como lag — levantou suspeitas e acabou revelando um esquema sofisticado usado para burlar sanções internacionais e conseguir empregos remotos em grandes empresas dos Estados Unidos.

O caso foi detalhado em uma reportagem da Bloomberg e confirmado por executivos da própria Amazon. Segundo a empresa, a investigação começou após os sistemas de segurança detectarem uma latência fora do padrão na entrada de dados de um funcionário que afirmava trabalhar remotamente a partir dos EUA.

Um “lag” que não fazia sentido

De acordo com Stephen Schmidt, diretor de segurança da Amazon, a digitação de um funcionário localizado em território americano costuma apresentar atrasos de apenas algumas dezenas de milissegundos até chegar aos servidores da empresa. No caso analisado, no entanto, esse tempo ultrapassava 110 milissegundos de forma constante.

Essa diferença, embora pequena para um usuário comum, é significativa para sistemas de monitoramento corporativo. O padrão indicava que o computador não estava sendo operado diretamente do local informado, mas sim controlado remotamente a partir de outro país — possivelmente do outro lado do mundo.

Como funcionava o esquema

A apuração interna mostrou que o notebook corporativo estava fisicamente no estado do Arizona, nos Estados Unidos, mas estava sendo acessado remotamente. O tráfego de dados foi rastreado até a China, um ponto frequentemente utilizado como rota intermediária por agentes norte-coreanos.

Para que o golpe funcionasse, o esquema contava com apoio local. Uma mulher residente no Arizona atuava como facilitadora, recebendo os equipamentos enviados pelas empresas contratantes, mantendo-os ligados e conectados à internet. A partir daí, os operadores na Ásia acessavam os computadores por meio de ferramentas de controle remoto, simulando a presença de um funcionário nos EUA.

Essa estratégia cria a falsa impressão de que o trabalhador está fisicamente no país, driblando exigências legais e verificações básicas de contratação.

Consequências e investigação

A facilitadora foi identificada pelas autoridades e condenada a vários anos de prisão em julho deste ano, segundo informações da Amazon. O infiltrado foi rapidamente removido dos sistemas da empresa poucos dias após a detecção e, de acordo com a companhia, não chegou a acessar dados sensíveis.

O funcionário em questão havia sido contratado por meio de uma empresa terceirizada para atuar como administrador de sistemas, o que reforça a complexidade e o alcance do esquema.

Um problema muito maior

Segundo dados divulgados pela Amazon, esse não foi um caso isolado. Desde abril de 2024, a empresa afirma ter identificado e bloqueado mais de 1.800 tentativas de infiltração ou contratação de trabalhadores ligados à Coreia do Norte.

O objetivo desses esquemas é obter salários em dólar ou outras moedas fortes para financiar programas de armamentos da República Popular Democrática da Coreia (RPDC), contornando sanções econômicas impostas pelos Estados Unidos e pela ONU.

Diante desse cenário, a Amazon reforça a necessidade de que empresas de tecnologia adotem verificações de antecedentes mais rigorosas, indo além de perfis em redes sociais, e invistam em sistemas capazes de detectar comportamentos técnicos fora do padrão.