Foto: Pedro Basilio (NotiPress)
Careto, también conocido como La Máscara, reapareció en 2024 con nuevas actividades de ciberespionaje, según un informe de la empresa de ciberseguridad Kaspersky. Este grupo de hackers fue identificado originalmente hace más de una década y vinculado internamente por los investigadores de Kaspersky al gobierno español. "No había ninguna duda de eso, al menos ninguna [duda] razonable", afirmó a TechCrunch un exempleado de Kaspersky, bajo condición de anonimato.
La operación de Careto se conoció públicamente en 2014, cuando los investigadores revelaron que su malware podía robar datos confidenciales, interceptar conversaciones privadas y registrar las pulsaciones del teclado en computadoras infectadas. Los blancos del grupo incluían instituciones gubernamentales, empresas privadas y embajadas, con víctimas localizadas en al menos 31 países, entre ellos Brasil, Marruecos, Francia, Reino Unido y Cuba.
Cuba, en particular, fue el país con más víctimas identificadas, todas ellas pertenecientes a una sola institución gubernamental. Según un exinvestigador de Kaspersky citado por TechCrunch, "todo empezó con un empleado del gobierno cubano que se infectó", al que describieron como el "paciente cero". Esta conexión, según ex empleados, fue clave para establecer una relación entre Careto y España, dadas las tensiones diplomáticas por la presencia de miembros de ETA en Cuba en ese periodo.
El grupo se distinguió por el uso de correos electrónicos de phishing dirigidos, que incluían enlaces disfrazados de contenido de medios españoles o temáticas políticas. Estos enlaces redirigían al usuario a sitios legítimos luego de infectar el dispositivo. Una cadena de texto en el código del malware —"Caguen1aMar"—, típica del español usado en España, y elementos visuales como una máscara con símbolos nacionales españoles, reforzaron las sospechas sobre su origen.
Kaspersky detectó nuevas actividades de Careto en mayo de 2024, dirigidas contra organizaciones en América Latina y África Central. Los investigadores atribuyeron estos ataques "con una confianza media a alta" debido a similitudes técnicas con operaciones pasadas del grupo. La nueva ola de ataques incluyó el uso de implantes para activar micrófonos, robar archivos, capturar pantallas y registrar actividad del teclado.
Más allá de estas revelaciones, los investigadores no pudieron confirmar públicamente la atribución del grupo. "Probablemente se trate de un estado-nación", declaró el investigador Georgy Kucherin. "Pero ¿qué entidad fue? ¿Quién desarrolló el malware? Desde una perspectiva técnica, es imposible saberlo". Esta postura refleja la política interna de Kaspersky de no atribuir oficialmente ataques a gobiernos, incluso cuando las evidencias internas apunten en esa dirección.
Por su parte, el software de Kaspersky fue clave para detectar las infecciones iniciales, particularmente en Cuba, donde tenía una alta penetración de mercado. Tras la primera exposición pública del grupo, Careto borró rápidamente su infraestructura, lo cual los investigadores calificaron como un movimiento poco común entre grupos de hackers. "Destruyeron todo, toda la infraestructura, de forma sistemática y rápida, simplemente desapareció", dijo un exempleado.
A pesar del tiempo transcurrido, los investigadores aseguran que Careto mantiene una capacidad técnica destacada. Kucherin comparó su sofisticación con la de grupos como el Grupo Lazarus de Corea del Norte y el APT41 de China, y sostuvo: "Sus ataques son una obra maestra".
DESCARGA LA NOTA SÍGUENOS EN GOOGLE NEWS
