Hace más de una década, investigadores de la empresa de antivirus Kaspersky identificaron un tráfico de internet sospechoso que inicialmente atribuyeron a un grupo conocido respaldado por un gobierno, basándose en similitudes en sus técnicas de *phishing* y selección de objetivos. Sin embargo, pronto se dieron cuenta de que habían descubierto una operación de *hacking* mucho más avanzada, dirigida, entre otros, al gobierno cubano. Este hallazgo marcaría el inicio de una investigación que revelaría la existencia de un grupo de ciberdelincuentes sofisticado y misterioso, conocido como Careto. El nombre, derivado del argot español para “cara fea” o “máscara”, fue encontrado oculto en el código del *malware*. A pesar de que nunca se vinculó públicamente a ningún gobierno en particular, las sospechas apuntaban a un actor estatal específico. A continuación, exploraremos los detalles de esta operación de espionaje cibernético y el posible vínculo con el gobierno español.
El Descubrimiento de Careto
El grupo Careto, también conocido como “The Mask”, emergió en el panorama de la ciberseguridad en 2014, cuando Kaspersky reveló su existencia. Los investigadores de la compañía lo catalogaron como “una de las amenazas más avanzadas del momento”, debido a su *malware* sigiloso, capaz de robar datos altamente sensibles. Esta información incluía conversaciones privadas y pulsaciones de teclas de los ordenadores comprometidos, similar al *spyware* gubernamental potente de hoy en día. El *malware* de Careto se utilizó para infiltrarse en instituciones gubernamentales y empresas privadas en todo el mundo. La sofisticación de sus técnicas y la amplitud de sus objetivos hicieron de Careto un actor notable en el mundo del espionaje cibernético.
Las Sospechas Apuntan a España
Aunque Kaspersky evitó públicamente señalar a los responsables detrás de Careto, internamente, los investigadores concluyeron que se trataba de un equipo de *hacking* que trabajaba para el gobierno español. Esta conclusión se basó en varios factores, incluyendo los objetivos de los ataques y el análisis lingüístico del código del *malware*. Según exempleados de Kaspersky que hablaron bajo condición de anonimato, “no había duda de ello, al menos ninguna [duda] razonable”. Esta información, aunque no confirmada oficialmente, coloca al gobierno español en un grupo selecto de actores estatales occidentales implicados en operaciones de ciberespionaje, junto con grupos como Equation Group (asociado a la NSA de EE. UU.), The Lamberts (vinculados a la CIA) y Animal Farm (del gobierno francés).
El Gobierno Cubano como Objetivo Inicial
Un elemento clave que impulsó la investigación de Kaspersky sobre Careto fue el descubrimiento de que los *hackers* habían atacado una red y sistemas gubernamentales específicos en Cuba. Este incidente se reveló como el punto de partida de la investigación, después de que un empleado del gobierno cubano se infectara. La motivación detrás del interés en Cuba podría estar relacionada con la presencia de miembros de la organización terrorista vasca ETA en la isla en ese momento. De hecho, un informe técnico de Kaspersky señaló que Cuba tenía, con diferencia, el mayor número de víctimas por país en el momento de la investigación, específicamente una institución gubernamental cubana no identificada, lo que indicaba el interés particular de los atacantes.
Pistas Lingüísticas y Geográficas
Más allá de los objetivos, la propia naturaleza del *malware* de Careto ofrecía pistas sobre sus orígenes. Por ejemplo, los investigadores de Kaspersky encontraron una cadena de texto en el código: “Caguen1aMar”. Esta contracción de la expresión española “me cago en la mar” es un indicio lingüístico fuerte, ya que se utiliza principalmente en España y no en otros países de habla hispana. Además, el mapa de países afectados por Careto, publicado por Kaspersky en 2014, incluía una ilustración que combinaba una máscara con elementos simbólicos españoles como cuernos de toro, castañuelas y los colores de la bandera española. La elección de estos símbolos no fue casual y sugiere una conexión con España. También la inclusión de Gibraltar, territorio en disputa entre España y Reino Unido, entre los principales objetivos, reforzaba la hipótesis de un actor estatal español.
Resurgimiento de Careto
Después de un período de inactividad tras su descubrimiento inicial, Careto resurgió en 2024, según anunció Kaspersky. El grupo volvió a atacar a una organización no identificada en América Latina, que ya había sido comprometida en 2022, 2019 y hace más de una década. También se identificó un segundo objetivo en África Central. Los investigadores de Kaspersky atribuyeron estos nuevos ataques a Careto con un nivel de confianza entre “medio y alto”, basándose en similitudes alarmantes entre los nombres de archivo y las tácticas, técnicas y procedimientos (TTPs) utilizados en comparación con las operaciones de hace diez años. A pesar de estos hallazgos, la identidad de los responsables y el gobierno detrás de Careto siguen siendo desconocidos.
Conclusión
La historia del grupo de *hacking* Careto es un recordatorio de la complejidad y la naturaleza encubierta de las operaciones de ciberespionaje patrocinadas por estados. Si bien Kaspersky nunca atribuyó públicamente la autoría a España, las evidencias internas y las pistas lingüísticas y geográficas apuntan en esa dirección. El incidente subraya la importancia de la ciberseguridad y la necesidad de una cooperación internacional para combatir estas amenazas. El resurgimiento de Careto en 2024 demuestra que estos actores persisten y evolucionan, lo que exige una vigilancia continua y una respuesta coordinada para proteger infraestructuras críticas y datos sensibles. La sombra de Careto sigue proyectándose sobre el panorama de la ciberseguridad, recordándonos la constante batalla entre atacantes y defensores en el mundo digital.