Careto/The Mask: el malware con posible origen español

El titular

Febrero de 2014. Kaspersky Lab presenta en su Security Analyst Summit uno de los hallazgos más enigmáticos de su historia: una operación de ciberespionaje activa desde al menos 2007, de sofisticación extrema, con víctimas en 31 países, y con indicios de origen hispanohablante. Lo llaman "Careto" o "The Mask".

La prensa española lo convierte en noticia: ¿tiene España su propia unidad de ciberespionaje capaz de rivalizar con la NSA? El CNI no comenta. El gobierno no comenta. Careto desaparece de la red en horas tras la publicación de Kaspersky. El misterio sigue abierto.

El contexto

En 2014, el panorama de APTs estaba dominado por actores conocidos: APT1/China, Equation Group/NSA, APT28-29/Rusia. La idea de que un país europeo de tamaño medio tuviera capacidades de ciberespionaje comparables era novedosa.

Kaspersky describió Careto como "la operación de APT más sofisticada que hemos visto hasta la fecha", por encima incluso de Regin (atribuido al GCHQ británico) en algunos aspectos. Una afirmación que generó debate intenso en la comunidad.

Cómo funcionaba

Vector de entrada: spear phishing

Los correos de phishing contenían enlaces a sitios web que alojaban exploits. Los exploits aprovechaban vulnerabilidades en el navegador (particularmente CVE-2012-0773 en Adobe Flash) para obtener ejecución de código.

Plataforma modular

Careto no era un solo malware sino una plataforma completa:

• SGH (implant principal): backdoor modular para Windows con capacidades de keylogging, captura de pantalla, grabación de audio/vídeo, exfiltración de archivos y interceptación de tráfico de red
• Módulo rootkit: controlador de kernel para ocultación avanzada
• Versiones multiplataforma: Windows, macOS y Linux (y posiblemente iOS/Android)
• Cifrado de comunicaciones: protocolo C2 custom con cifrado fuerte

Sofisticación excepcional

Lo que distinguía a Careto de otros APTs:

• Intercepción de tráfico cifrado: capacidad de interceptar comunicaciones SSL/TLS en la máquina víctima
• Persistencia avanzada: múltiples mecanismos de persistencia redundantes
• Plugins especializados: módulos para extraer claves de cifrado, archivos de VPN, y configuraciones de seguridad
• Anti-análisis: detección de entornos de análisis, cifrado de componentes en disco, comunicaciones ofuscadas

Las strings en español

El código contenía variables y comentarios en español: "careto" (máscara), y otras referencias que Kaspersky documentó. Los mensajes de phishing también estaban escritos en español nativo (no traducido), con modismos que sugerían un hablante nativo.

Las víctimas

Perfil de targeting

380 víctimas únicas en 31 países. El perfil era inequívocamente de espionaje estatal:

• Instituciones gubernamentales y embajadas
• Empresas de energía y petróleo/gas
• Instituciones de investigación
• Firmas de private equity
• Activistas y medios de comunicación

Distribución geográfica

Las víctimas se concentraban en:

• Marruecos (principal)
• Brasil
• Reino Unido
• Francia
• España
• Gibraltar
• Otros países europeos y latinoamericanos

La concentración en Marruecos y Gibraltar, combinada con el origen hispanohablante, alimentó las especulaciones sobre el CNI español. Marruecos es un vecino con intereses geopolíticos directos para España. Gibraltar es un territorio disputado.

La atribución: el elefante en la habitación

Lo que sabemos

• Código con strings en español nativo
• Víctimas en países de interés geopolítico para España
• Sofisticación comparable a programas de estados-nación de primer nivel
• Activo durante al menos 7 años sin ser detectado (2007-2014)
• Infraestructura desmantelada en horas tras publicación (operación de limpieza profesional)

Lo que no sabemos

• No hay atribución oficial de ningún gobierno ni agencia
• Kaspersky no nombró a España explícitamente (solo "hispanohablante")
• Podría ser otro país hispanohablante (México, Colombia, Argentina) o incluso una operación de false flag
• El CNI no ha confirmado ni desmentido

La respuesta de Kaspersky

Costin Raiu (director de GReAT de Kaspersky en ese momento) fue explícito: "No atribuimos a países. Solo presentamos la evidencia técnica." Pero la evidencia apuntaba con fuerza a un programa estatal hispanohablante con intereses en el norte de África y Europa.

La desaparición

Horas después de la presentación de Kaspersky, toda la infraestructura C2 de Careto fue desmantelada. Servidores apagados, dominios abandonados, IPs liberadas. La velocidad de la respuesta indicaba monitorización activa de las publicaciones de empresas de seguridad y capacidad operativa para una "limpieza" inmediata.

Ningún grupo con el perfil de Careto ha sido documentado desde entonces con las mismas herramientas. Si fue un programa estatal, probablemente evolucionó a nuevas plataformas no descubiertas.

Las lecciones

1. Los estados europeos tienen capacidades ofensivas

Careto rompió la narrativa de que solo EEUU, Rusia, China, Israel y Corea del Norte tenían programas de ciberespionaje avanzados. Europa tiene actores sofisticados, simplemente menos documentados.

2. 7 años sin detección es posible

Careto operó desde 2007 hasta 2014 sin ser descubierto por ninguna empresa de seguridad. La detección requirió que Kaspersky investigara un intento de exploit contra uno de sus propios productos.

3. La atribución tiene límites

Incluso con strings en español, víctimas en Marruecos y sofisticación de estado-nación, la atribución definitiva es imposible sin inteligencia humana o cooperación judicial. Los false flags existen. Los idiomas se aprenden.

4. La publicación destruye la operación

Una vez que Kaspersky publicó el informe, la operación murió. Este es el dilema ético del CTI: publicar un informe neutraliza la amenaza para las víctimas actuales, pero el actor puede reaparecer con nuevas herramientas que aún no conocemos.

Estado actual

Careto como operación: inactiva desde 2014. ¿Sucesor? Desconocido. España como actor ciber: el Centro Criptológico Nacional (CCN-CERT) es público. Las capacidades ofensivas, si existen, son clasificadas. En 2026, España invierte significativamente en ciberdefensa (ENS, NIS2), pero las capacidades ofensivas siguen siendo materia de especulación.

El caso Careto permanece como uno de los mayores misterios sin resolver de la ciberseguridad.