Tras una década de silencio, el grupo APT conocido como Careto ha reaparecido. Kaspersky ha detectado nuevas campañas activas de este malware altamente sofisticado, cuya autoría, según fuentes internas de la compañía, estaría vinculada al Estado español.
Durante años, las amenazas persistentes avanzadas (APT) más temidas provenían de actores respaldados por potencias como Estados Unidos, China, Rusia o Irán. Sin embargo, un informe reciente de TechCrunch, basado en declaraciones de exempleados de Kaspersky, apunta a un origen inesperado: España. El grupo Careto, descubierto en 2014 por la firma de ciberseguridad rusa, habría sido desarrollado y operado por el gobierno español para fines de ciberespionaje, según esas fuentes.
Un malware de élite con firma española
Cuando Kaspersky identificó por primera vez a Careto, evitó señalar públicamente a ningún país por falta de pruebas concluyentes, en línea con su política de «no atribución». Sin embargo, su equipo interno estaba convencido: Careto operaba al servicio de intereses españoles.
Entre las pistas técnicas se hallaban expresiones lingüísticas españolas en el código —como el modismo “Caguen1aMar”—, y objetivos geopolíticos alineados con intereses del Estado, como sistemas gubernamentales en Cuba, Brasil (en plena licitación para el AVE), Marruecos o incluso dentro de España. Además, el malware estaba diseñado para robar datos sensibles, interceptar comunicaciones, registrar pulsaciones de teclado, espiar llamadas de Skype, capturar pantallas y extraer configuraciones de VPN y claves de cifrado PGP.
La sofisticación era tal que, tras su descubrimiento en 2014, el grupo desmontó su infraestructura de forma sistemática y sin dejar rastro, lo que Kaspersky calificó como una «desaparición quirúrgica digna de los mejores grupos APT».
Vuelve Careto: ataques recientes en 2024
En mayo de 2024, Kaspersky volvió a detectar actividad atribuible a Careto tras identificar un conjunto de ataques en Latinoamérica y África Central. Según los investigadores, los archivos y métodos utilizados (conocidos como TTP: tácticas, técnicas y procedimientos) coinciden con los vistos una década antes.
Los nuevos ataques muestran una evolución: Careto ahora puede activar micrófonos sin notificación del sistema, capturar cookies de sesión, robar credenciales de navegadores y explotar fallos en soluciones de seguridad no reveladas previamente para moverse lateralmente dentro de las redes. También se ha documentado el uso de un backdoor altamente modular y persistente, lo que lo sitúa al nivel de grupos como Equation Group (NSA) o Animal Farm (inteligencia francesa).
Una amenaza «pequeña» pero más compleja que Lazarus o APT41
Pese a su bajo perfil, Kaspersky ha definido a Careto como una de las APT más avanzadas técnicamente jamás analizadas. De hecho, en comparación con grupos como Lazarus (Corea del Norte) o APT41 (China), Careto destaca por su complejidad, precisión quirúrgica y persistencia operativa. “Sus ataques son una obra maestra”, afirmó un analista de la firma rusa.
El nuevo malware identificado por Kaspersky incluye un marco multimodal capaz de espionaje completo: grabación de audio, robo de documentos, infiltración de navegadores como Edge, Chrome, Firefox y Opera, y análisis de mensajería en plataformas como WhatsApp, WeChat y Threema.
Un caso único en Europa occidental
Si se confirma que Careto está ligado al Estado español, sería uno de los pocos grupos APT gubernamentales conocidos de Europa occidental, junto a iniciativas reconocidas públicamente por EE. UU., Francia o el Reino Unido. Su existencia sugiere que España cuenta con capacidades avanzadas de ciberinteligencia ofensiva, aunque nunca se haya reconocido oficialmente.
La implicación del malware en operaciones que coinciden con intereses diplomáticos y económicos españoles durante más de una década refuerza esa sospecha. No obstante, hasta la fecha, el gobierno español no ha emitido comentarios públicos sobre Careto ni sobre las revelaciones de Kaspersky y TechCrunch.
Conclusión: una amenaza sigilosa que ha vuelto para quedarse
La reaparición de Careto confirma lo que muchos expertos temían: las APT no desaparecen, solo duermen. Con técnicas cada vez más depuradas y difícil atribución, los grupos estatales como Careto seguirán marcando el pulso del ciberespionaje global.
En un contexto geopolítico convulso y con la inteligencia artificial como nuevo vector, la monitorización proactiva, el uso de soluciones EDR, y el acceso a inteligencia de amenazas en tiempo real, como la ofrecida por el Threat Intelligence Portal de Kaspersky, serán claves para prevenir daños irreparables.
Referencias: Karsperky The mask, Careto Karsperky report y Techcrunch.
