España espió durante 10 años a Cuba y América Latina a través de un virus disfrazado de periódico

La historia de uno de los grupos cibernéticos más enigmáticos de la era moderna ha recibido un giro inesperado. Diez años después del descubrimiento de Careto (también conocido como The Mask), los especialistas involucrados en la investigación confirmaron: la campaña de espionaje fue respaldada por estructuras afiliadas al gobierno de España. Esta información fue proporcionada por exempleados de Kaspersky Lab, que fue la primera en descubrir a Careto en 2014, pero que en ese momento optó conscientemente por no atribuir públicamente el ataque.

El equipo detectó por primera vez un tráfico de red anómalo vinculado a posibles ataques de phishing. Pero cuanto más investigaban, más evidente se volvía que estaban ante un operador mucho más sofisticado. La cadena de ataques condujo a una infección en una red gubernamental en Cuba, lo que marcó el inicio de la investigación. La complejidad del código malicioso, su sigilo y sus objetivos específicos permitieron a los investigadores clasificar a Careto como una amenaza de élite a nivel estatal.

El nombre «Careto» proviene de una palabra en español encontrada dentro del código del malware. Ya entonces los especialistas notaron numerosos indicios culturales y lingüísticos que apuntaban a un origen español. Entre ellos, la cadena «Caguen1aMar» (una blasfemia deformada en español), el uso de temas relacionados con la organización vasca ETA y correos de phishing diseñados como si provinieran de sitios de noticias como El País y Público. Pero el punto clave fue la concentración de ataques en Cuba, donde según los datos había miembros de ETA ocultos de la justicia española. España siempre ha mostrado un interés particular por el contexto político cubano, y la actividad de espionaje en la región parecía más que justificada.

Careto no atacó solo a Cuba. Las víctimas se extendieron por 31 países: desde Francia y el Reino Unido hasta Brasil, Marruecos, Libia e incluso la propia España. En la lista también apareció Gibraltar, un territorio geopolíticamente sensible que Madrid considera propio. Además de instituciones gubernamentales, los objetivos incluían compañías energéticas, institutos científicos, misiones diplomáticas y activistas.

El malware Careto resultó ser extremadamente potente: permitía robar documentos, interceptar conversaciones de Skype, tomar capturas de pantalla, extraer claves PGP e incluso activar el micrófono de los dispositivos infectados sin que el usuario lo notara. Se identificaron variantes del programa para Windows, macOS, Linux y posiblemente plataformas móviles como Android e iOS. Además, los atacantes contaban con exploits contra los antivirus de Kaspersky, lo que les permitió actuar sin ser detectados, especialmente en Cuba.

Tras la publicación del primer informe en 2014, los operadores de Careto cesaron inmediatamente sus actividades: borraron registros, limpiaron la infraestructura y desaparecieron. Según los investigadores, este tipo de acciones solo puede realizarlo un grupo gubernamental altamente capacitado. Pero en 2022, Careto volvió a aparecer: se registró un ataque contra una organización en América Latina que ya había sido objetivo anteriormente. Luego, se produjo otro incidente en África Central.

Los especialistas que presentaron el análisis de estos ataques en Virus Bulletin en 2024 destacaron que, a pesar de la pausa, Careto seguía siendo tecnológicamente sofisticado. Los hackers utilizaron implantes modificados que funcionaban como backdoors, keyloggers y herramientas para tomar capturas de pantalla. Uno de los ataques incluía la activación oculta del micrófono, el robo de cookies, el historial del navegador y documentos personales. A pesar de todo, el grupo seguía operando con gran cautela y mantenía su infraestructura aislada.

Aunque los actuales representantes de Kaspersky Lab se negaron oficialmente a confirmar o desmentir la implicación del gobierno español, fuentes internas que participaron en la investigación aseguran que el equipo de entonces estaba «altamente convencido» de quién estaba detrás del ataque. Aun así, destacan que la política de la empresa prohibía atribuciones oficiales, especialmente respecto a gobiernos de países aliados.

En el contexto de revelaciones sonadas sobre grupos como Equation Group (EE.UU., probablemente NSA), Lamberts (presuntamente la CIA) y Animal Farm (Francia), la aparición de España en esta lista parece lógica. A pesar de su escala modesta, Careto supera en complejidad a muchos grupos más conocidos. Los ataques del grupo, según uno de los investigadores, son auténticas obras de arte.