Cuando hablamos de grupos de hackers patrocinados por estados, tendemos a pensar en Rusia, China, o Corea del Norte, que son los más conocidos y difundidos por nuestros lares, aunque también en Ucrania en su guerra larvada con Rusia antes de la invasión de 2022, pero nunca o muy pocas veces en países como Francia, Italia, Portugal, o el Reino Unido, y, cuanto menos, en España. Pero, según investigadores de Kaspersky, en una noticia ahora hecha pública por TechCrunch, el grupo de hackers Careto habría sido esponsorizado por el gobierno español.
En 2014, la empresa de seguridad rusa dio a conocer la existencia de Careto, nombre extraído del término coloquial español referido al rostro, y encontrado en el código de su malware. La investigación se había iniciado años atrás, cuando los analistas detectaron tráfico anómalo que, tras un examen detallado, resultó pertenecer a una operación inédita y altamente sofisticada.
El software malicioso, activo al menos desde 2007, estaba preparado para comprometer equipos con distintos sistemas operativos y, una vez instalado, capturaba conversaciones, pulsaciones de teclado, capturas de pantalla y credenciales de red. Su capacidad para interceptar claves de cifrado y configuraciones de VPN situó a la campaña entre las más complejas documentadas hasta ese momento.
Antes de que la infraestructura fuera desmantelada, Kaspersky localizó víctimas en 31 países; Cuba concentraba la mayor parte de la actividad, seguida por Brasil, Marruecos, España y el territorio británico de Gibraltar, todos ellos con objetivos gubernamentales, diplomáticos o corporativos. El grupo utilizaba campañas de spearphishing que simulaban noticias o vídeos de temática política para infectar a los usuarios.
Pistas técnicas y lingüísticas hacia España
Aunque la compañía mantuvo externamente una política de “no atribución”, varias personas vinculadas a la investigación aseguran que los indicios apuntaban con alta confianza al Estado español. Entre ellos destacaba la cadena de texto “Caguen1aMar”, una expresión malsonante de uso casi exclusivo en España, incrustada en el código.
Los correos de propagación suplantaban cabeceras de diarios españoles e incluían referencias a ETA, cuestión que entonces condicionaba la agenda de seguridad nacional del país. Además, un mapa divulgado por Kaspersky mostraba iconografía claramente asociada a la cultura española junto a los países afectados.
El interés estratégico en Gibraltar y en proyectos de infraestructuras brasileños reforzaba la hipótesis de la autoría española, aunque el Ministerio de Defensa no ha querido realizar declaraciones a TechCrunch.
El detonante del caso fue la infección del ordenador de un funcionario del gobierno cubano, considerado por los analistas como el “paciente cero”. Durante aquellos años, la isla acogía a miembros de ETA, circunstancia que podría explicar la vigilancia ejercida por Careto sobre instituciones cubanas.
La amplia presencia del antivirus ruso Kaspersky en la isla —que cubría cerca del 90% del mercado local— facilitó el seguimiento de la campaña y, a la vez, amplió la superficie de ataque al explotar una vulnerabilidad ya corregida en ese programa, con el resultado de que los operadores podían comprometer cualquier equipo conectado a Internet.
Cuando la investigación se hizo pública, los responsables de Careto clausuraron sus servidores y eliminaron los registros en cuestión de horas, un proceder que los especialistas solo habían observado en grupos gubernamentales altamente entrenados. Tras esta maniobra, el actor dejó de ser detectado durante casi una década.
Desaparición en 2014 y reactivación en 2024
La calma con este grupo en concreto se rompió en mayo de 2024, cuando Kaspersky notificó nuevas intrusiones atribuidas a Careto, con una clasificación de “confianza media-alta”. En esta ocasión, los blancos incluyeron una organización latinoamericana que ya había sufrido compromisos en 2019 y en 2022, y otra entidad en África central.
En el caso latinoamericano, los atacantes penetraron en el servidor de correo y desplegaron implantes capaces de activar el micrófono sin permiso, sustraer documentos, historiales de navegación y cookies de sesión. En otro equipo afectado se detectó un conjunto de módulos que funcionaban como puerta trasera, registrador de pulsaciones y capturador de pantalla. Los analistas encontraron nombres de archivo y otros indicios coincidentes con los de la campaña original, lo que les permitió relacionar los incidentes.
A pesar del largo intervalo de tiempo, el grupo mantiene un tamaño reducido y una destreza que sigue situándolo entre los actores de ciberespionaje estatales más avanzados, sin que se haya confirmado oficialmente quién lo patrocina.
