Una reciente investigación de la empresa surcoreana Genians reveló una táctica alarmante: hackers norcoreanos del grupo KONNI han logrado secuestrar la función “Find My Device” de Google (también conocida como Find Hub) para borrar de forma remota teléfonos Android pertenecientes a sus víctimas.

Lo que nació como una herramienta para proteger dispositivos perdidos, terminó siendo usada como un instrumento de espionaje estatal.

¿Quiénes son KONNI?

KONNI es un grupo de ciberespionaje vinculado desde hace más de una década a la inteligencia de Corea del Norte. Conocido por su persistencia y discreción, ha atacado principalmente a instituciones gubernamentales, militares y think tanks surcoreanos, además de embajadas y ONGs relacionadas con la península coreana.

A diferencia de otros grupos norcoreanos más visibles —como Lazarus o Kimsuky—, KONNI se ha especializado en operaciones de largo plazo: infiltra redes, roba documentos sensibles y luego elimina rastros de su actividad. Su nueva técnica lleva esta obsesión por el sigilo a otro nivel.

De herramienta de seguridad a arma de encubrimiento

La función Find My Device permite a cualquier usuario de Android localizar, bloquear o restablecer de fábrica un teléfono perdido. Pero en manos equivocadas, puede convertirse en un arma devastadora.

Según el reporte, los agentes de KONNI obtuvieron credenciales de cuentas Google mediante campañas de phishing muy elaboradas: correos falsos, páginas de inicio de sesión clonadas e incluso mensajes enviados a través de KakaoTalk, la app de mensajería más popular en Corea del Sur.

Una vez dentro de las cuentas, los atacantes accedían al panel de Find My Device y activaban el borrado remoto, eliminando mensajes, fotos y evidencias digitales antes de que las víctimas pudieran reaccionar. En algunos casos, los teléfonos fueron reiniciados hasta tres veces seguidas para asegurar la destrucción total de datos.

Una cadena de ataque bien orquestada

1. Contacto inicial: las víctimas recibían archivos aparentemente inofensivos a través de KakaoTalk.
2. Infección: los archivos MSI o ZIP contenían scripts AutoIT que instalaban malware como RemcosRAT, QuasarRAT o RftRAT.
3. Robo de credenciales: estos programas capturaban nombres de usuario y contraseñas de Google y Naver, dos de los servicios más usados en Corea.
4. Control y sabotaje: con acceso a la cuenta Google, los atacantes usaban Find My Device para borrar los teléfonos y ocultar toda evidencia.
5. Propagación: desde la app de escritorio de KakaoTalk aún activa, enviaban nuevos archivos infectados a los contactos de la víctima, ampliando el ataque.

¿Cuántos fueron comprometidos?

Aunque Genians no ofreció una cifra exacta, estimaciones basadas en la magnitud de las campañas previas de KONNI sugieren que entre 500 y 1.000 dispositivos podrían haber sido afectados o vulnerables. La mayoría pertenecería a funcionarios, analistas y periodistas surcoreanos con vínculos sensibles con temas militares o políticos.

Más allá de Corea: un riesgo global

El incidente no solo afecta a Corea del Sur. Muestra un riesgo sistémico en los servicios de administración remota que dependen de la nube. Cualquier atacante con credenciales válidas puede usar funciones legítimas de Google, Apple o Microsoft para causar daños irreversibles: desde borrar datos hasta rastrear ubicaciones GPS en tiempo real.

En este caso, los atacantes incluso esperaban a que la víctima estuviera fuera de casa —según la ubicación GPS— para activar el borrado, maximizando el tiempo de reacción.

Cómo protegerse

Los expertos de Genians recomiendan tres medidas esenciales:

• Activar la autenticación multifactor (MFA) en todas las cuentas vinculadas a servicios en la nube.
• Revisar periódicamente los dispositivos asociados a tu cuenta de Google.
• Evitar abrir archivos o enlaces no verificados, incluso si provienen de contactos conocidos.

Y lo más importante: no confiar ciegamente en las funciones de “dispositivo perdido”. Son útiles, pero también pueden ser explotadas si tus credenciales son robadas.