De la sombra al radar: el espionaje cibernético hispano vuelve a escena
Durante años, el nombre “Careto” flotó como una leyenda entre pasillos de expertos en ciberseguridad: sofisticado, escurridizo, sin atribución oficial. Pero en 2024, el mito ha vuelto a la vida. Según nuevos hallazgos de Kaspersky, este grupo de ciberespionaje que ya fue catalogado en 2014 como una de las amenazas más avanzadas del mundo estaría directamente vinculado al Gobierno de España. Y su resurgimiento, casi una década después de su aparente desaparición, no es solo inquietante: es revelador.
En 2014, Careto ya era una anomalía. A diferencia de los grandes protagonistas habituales del ciberespionaje (EE. UU., Rusia, China, Israel), su origen parecía más cercano. Demasiado. Los expertos de Kaspersky no lo dijeron entonces, pero hoy sí lo confirman: “no había duda razonable” de que el grupo operaba bajo el ala del Estado español. Entre las pistas, algunas sutilezas que delatan más que mil pruebas técnicas: expresiones en el código como “Caguen1aMar”, referencias visuales con toros y castañuelas en los informes, y ataques dirigidos a lugares de alto interés estratégico para España.
Un espionaje silencioso, pero quirúrgico
Careto no es un grupo cualquiera. En su versión original, ya era capaz de interceptar tráfico de internet, robar claves PGP, husmear en conversaciones de Skype y hacerse con configuraciones VPN. Pero lo que más impresionaba era su sigilo. Cuando Kaspersky lo expuso públicamente, el grupo desapareció del mapa borrando su infraestructura con una limpieza quirúrgica, un movimiento que “solo está al alcance de grupos estatales”, según la propia compañía rusa.
Y ahora ha vuelto
En mayo de 2024, Kaspersky detectó nuevos ataques en América Latina y África Central que llevan la firma de Careto. Los investigadores no solo han identificado archivos con los mismos patrones que hace una década, sino que también han confirmado que sus tácticas y procedimientos siguen una lógica tan reconocible como eficaz. La amenaza persiste, aunque en silencio. Y como ocurre con los depredadores más letales, lo más peligroso es que casi no deja rastro.
El nuevo Careto es aún más sofisticado: puede activar micrófonos sin que lo sepas, capturar pantalla, funcionar como keylogger, extraer cookies de sesión y actuar como puerta trasera sin levantar sospechas. En palabras de Kaspersky, sus ataques son “una obra maestra”, comparables en complejidad (aunque no en escala) con los del grupo Lazarus o el APT41 chino.
¿Una democracia con herramientas de guerra digital?
Lo más llamativo de este caso no es la pericia técnica, sino su implicación política. ¿Está España utilizando capacidades cibernéticas avanzadas para espiar dentro y fuera de sus fronteras? ¿Qué papel juega Careto en los intereses exteriores del país? El hecho de que sus primeros ataques conocidos se dirigieran a Cuba donde había presencia de ETA, o a Brasil en plena puja por contratos multimillonarios, no parece casual.
Y sin embargo, nada ha sido confirmado oficialmente. Ni lo será. Porque la delgada línea entre “seguridad nacional” y “espionaje estatal” es un terreno tan pantanoso como invisible. Lo único claro es que, mientras medio mundo mira a Moscú, Pekín o Langley, hay actores más pequeños que están jugando en la misma liga… desde mucho más cerca.
En el ajedrez de la geopolítica digital, el mejor movimiento es el que no se ve. Y en ese arte, Careto ese malware con acento español y dientes afilados parece haber encontrado su sitio en el salón de la fama del espionaje global.
