Infiltrado norte-coreano apanhado na Amazon devido a atraso de 110 ms no teclado

Na área da cibersegurança, nem sempre são os ataques mais sofisticados que revelam uma ameaça. Por vezes, um pequeno detalhe técnico é suficiente para expor uma infiltração séria.  Foi isso que aconteceu recentemente na Amazon, onde um alegado trabalhador remoto acabou por ser identificado como um infiltrado ligado à Coreia do Norte.

Equipas de segurança da Amazon detetam atraso invulgar que levantou suspeitas

O caso teve início quando as equipas de segurança da Amazon detetaram um atraso médio de cerca de 110 milissegundos na introdução de texto através do teclado. Embora este valor possa parecer irrelevante, é anormal para um trabalhador remoto a operar a partir dos Estados Unidos.

Em condições normais, a latência associada à digitação situa-se apenas em algumas dezenas de milissegundos. Um atraso superior pode indicar que o equipamento está a ser controlado remotamente a partir de uma localização distante, possivelmente fora do país.

Perante este comportamento fora do padrão, a Amazon avançou com uma investigação interna. A análise revelou que o computador fornecido pela empresa não estava a ser utilizado diretamente pelo funcionário, mas sim acedido remotamente a partir de outro país.

Este tipo de esquema tem sido associado a operações atribuídas à Coreia do Norte, onde indivíduos se fazem passar por trabalhadores norte-americanos para conseguir empregos remotos em empresas tecnológicas ocidentais.

Outros sinais de alerta identificados

O atraso no teclado foi apenas um dos indicadores. Durante a investigação foram ainda identificados:

• Uso pouco natural de expressões típicas do inglês americano;
• Construções frásicas estranhas em comunicações escritas;
• Padrões de acesso à rede incompatíveis com a localização declarada.

A combinação destes fatores confirmou que o suposto trabalhador nos EUA se encontrava, na realidade, noutro país, utilizando infraestruturas intermediárias para ocultar a sua verdadeira origem.

Segundo dados divulgados, a Amazon afirma ter bloqueado mais de 1.800 tentativas de infiltração semelhantes desde abril de 2024. Estes esquemas têm, frequentemente, como objetivo gerar receitas para o regime norte-coreano, mas representam também um risco elevado de acesso indevido a sistemas internos, dados sensíveis e infraestruturas críticas.

Com a generalização do teletrabalho, este tipo de ameaça tornou-se mais difícil de detetar e mais perigosa para as organizações.

A importância da deteção comportamental

Este caso demonstra que a cibersegurança moderna vai muito além de antivírus e mecanismos tradicionais de autenticação. A análise comportamental, a monitorização de latência e os padrões de utilização dos sistemas assumem hoje um papel fundamental na deteção de ameaças avançadas.

Num contexto em que as fronteiras digitais são cada vez mais difusas, até um pequeno atraso no teclado pode denunciar uma grande ameaça.