Careto: el Pegasus con código en español que espió a Marruecos y otros 30 países

Alrededor de Pegasus gira uno de los mayores escándalos de ciberespionaje hasta la fecha. Tanto por el número de víctimas (al menos 50.000, según la investigación de Forbidden Stories) como por la presencia entre ellas de mandatarios como Pedro Sánchez y Emmanuel Macron. Pegasus es muy potente y difícil de detectar, pero es solo el último de los protagonistas de la historia del malware ultradirigido capaz de hackear dispositivos para llevar el espionaje a un nuevo nivel. Esa historia tiene varios capítulos y uno de ellos se escribió en español.

El español fue una de las lenguas de programación de Careto, un software espía predecesor de Pegasus descubierto en 2014 por la firma de ciberseguridad Kaspersky. Estuvo activo desde 2007 e infectó al menos 1.000 IPs de 31 países diferentes hasta que fue descubierto, aunque se sospecha que fueron muchas más.

Careto no era tan potente como Pegasus, pero daba acceso a los atacantes a un gran número de funcionalidades de los dispositivos infectados. “Permite grabar conversaciones de Skype, ver todo lo que tecleas, sacar pantallazos, robar archivos, instalar cualquier cosa en tu equipo, en fin, todo un arsenal para espiar”, explicó entonces a elDiario.es Vicente Díaz, analista senior de malware en Kaspersky.

El hecho de que varias líneas de código estuvieran en una lengua diferente al inglés, el ruso o el chino era uno de los aspectos que hacían “extremadamente particular” a Careto, destacaban los investigadores de la empresa. No obstante, no solo era la lengua de programación lo que llamaba la atención, sino los términos utilizados.

“Diferentes componentes del malware incluyen artefactos lingüísticos de los autores, lo que sugiere que dominan el idioma español. Algunas palabras de argot utilizadas serían muy poco comunes en un hablante no nativo”, exponía el informe de Kaspersky. “Careto” era uno de ellas y a que terminó dando nombre al malware. Otras piezas de código como “Caguen1aMar”, que se utilizaba como una clave de cifrado para todas las comunicaciones con los servidores de control; o un módulo de desarrollo olvidado en el código final titulado “CaretoPruebas” también apuntaban a que su diseño se llevó a cabo por españoles.

Pero el uso de estos términos no fue el único rastro que apuntaba a que Careto pudo nacer en España. El español se usa en toda Latinoamérica y es una lengua oficial o cooficial en más de 20 países. Además, ya entonces no era descartable que el uso de jerga española fuera una falsa bandera, una pista errónea introducida para confundir a los investigadores. Al contrario, el principal factor que apuntaba a España era la lista de objetivos de Careto, que coincidía con los intereses geoestratégicos del Gobierno de Mariano Rajoy.

El mayor número de infecciones con Careto se produjeron en Marruecos, el objetivo número uno de este software de espionaje y del que ahora se sospecha que pudo lanzar Pegasus contra el Gobierno español. En segundo lugar estaba Brasil, que en aquel momento dirimía la adjudicación de una línea de tren de alta velocidad entre Río de Janeiro y Sao Paulo (511 km) a la que opositaba un consorcio de empresas españolas públicas y privadas. Ana Pastor, entonces ministra de Fomento, llegó a visitar Brasil para defender las capacidades españolas para acometer un contrato valorado en 13.000 millones de euros. El accidente de Santiago truncó la candidatura.

La lista sigue por Reino Unido y España, e incluía también a Venezuela y todos los países con litoral mediterráneo. Una de las apariciones más llamativas es la de Gibraltar. Los atacantes suspendieron la operación al sospechar que había sido descubierta, en enero de 2014.

Los principales infectados coincidieron con los intereses de un actor estatal. Fueron instituciones gubernamentales, legaciones diplomáticas y embajadas. Careto también se empleó contra infraestructuras críticas como compañías energéticas, incluidas las de petróleo y gas. Como Pegasus, en la lista de objetivos también aparecían grupos activistas.

Para infectar a sus objetivos, el grupo de atacantes que operaba Careto recurrió a técnicas de phishing. Suplantaron a varios medios de comunicación españoles e internacionales con enlaces falsos creados para hacerlos pasar por confiables ante las víctimas. “El sitio web malicioso contiene una serie de exploits diseñados para infectar al visitante. Una vez infectado, el sitio web malicioso redirige al usuario a un sitio web benigno, que puede ser una película de Youtube o un portal de noticias real”, recoge el informe.

Utilizar la identidad de medios de comunicación para infectar a las víctimas fue una táctica que Pegasus usó contra los independentistas catalanes y vascos. Esta es la lista de enlaces que Kaspersky detectó en el caso de Careto:

  • negocios.iprofesional.linkconf.net
  • internacional.elpais.linkconf.net
  • politica.elpais.linkconf.net
  • cultura.elpais.linkconf.net
  • economia.elpais.linkconf.net
  • test.linkconf.net
  • soc.linkconf.net
  • sociedad.elpais.linkconf.net
  • world.time.linkconf.net
  • internacional.elpais.linkconf.net
  • elpais.linkconf.net
  • elespectador.linkconf.net
  • blogs.independent.linkconf.net
  • elmundo.linkconf.net
  • www.guardian.linkconf.net
  • washingtonsblog.linkconf.net
  • publico.linkconf.net

El principal objetivo de Careto era hacerse con contraseñas, configuraciones VPN o claves que daban acceso a servidores con seguridad adicional.

Kaspersky definió a Careto como uno de los softwares de espionaje “más complejos” que había detectado hasta ese momento. “Observamos un grado muy alto de profesionalidad en los procedimientos operativos del grupo que está detrás de este ataque”, señaló. Se basaba en la infraestructura que respaldaba la operación, el hecho de que esta se concluyera de inmediato al saberse observada o varias contramedidas que intentaban impedir que el software pudiera ser investigado. La firma consideraba que el grupo que estuviera detrás de Careto era “de élite”.

De hecho, sus investigadores reseñan que la operación pasó inadvertida durante al menos cinco años. El motivo de que firma la descubriera es que una de las vulnerabilidades que Careto explotaba se encontraba en uno de sus productos. Cuando la cerró, Kaspersky empezó a investigar quién la había explotado. Costin Raiu, entonces director del Equipo de Investigación y Análisis Global de la compañía, afirmó que de no ser por ello sus investigadores podrían no haberla encontrado nunca.

No es atribuible

Pese a todos los detalles descubiertos sobre Careto, la operación nunca pudo ser atribuida. Nadie acusó formalmente a España y España nunca emitió posicionamiento alguno. “Es muy difícil determinar quién ha sido el que ha distribuido un malware y sobre todo quién maneja los paneles de comando, que son los servidores que lo controlan”, explica Igor Unanue, jefe de Tecnología de la firma de ciberseguridad española S21Sec.

“A no ser que alguien pueda tener acceso a esos servidores y capte quién está detrás, es extremadamente difícil de determinar. Como Careto hay un montón de malware que siempre hemos sospechado que tiene detrás a un gobierno, pero que no se puede atribuir”, continúa el experto: “Con Pegasus hay muchas posibilidades de que ocurra lo mismo, a no ser que el CNI decida desclasificar o se llegue a conseguir algo por vía judicial”.

En cualquier caso, Unanue destaca que Pegasus y Careto no son asimilables. El lapso que les separa (el primero fue detectado por primera vez en 2017, mientras que la operación del segundo se cerró en 2014) hace que sus capacidades técnicas sean diferentes, mientras que su propósito tampoco es el mismo. Pegasus es un arma de espionaje para atacar objetivos concretos, mientras que el objetivo de Careto era sobre todo el robo de contraseñas y credenciales. El software de NSO es además un producto final, mientras que la industria no descarta que Careto fuera solo una prueba.

“Careto tuvo una expansión bastante generalizada, por lo que puede que fuera construido para probar las capacidades de adversarios y que después de eso se destruyera. Pegasus no es eso. Se diseñó específicamente para venderlo para el espionaje, un tipo de malware muy caro que hace que normalmente solo esté a disposición de gobiernos”, concluye Unanue.