«Careto»: ciberespionaje global con toque español

Los investigadores descubren un software de espionaje informático con posible origen en un país de habla hispana, y tan sofisticado que lo supone creado por un gobierno

Puede ser una de las herramientas de ciberespionaje global más complejas y profesionales creadas jamás. Kaspersky, la compañía rusa de seguridad informática, ha descubierto la existencia de «Careto», un conjunto de programas diseñados para propagarse entre toda clase de ordenadores –aunque especialmente de gobiernos, oficinas diplomáticas, empresas energéticas, organismos de investigación, empresas de gestión de fondos de inversión y de activistas– y capturar información privada. Su sofisticación hace sospechar que ha sido creado por un gobierno. Por uno de habla hispana.

«Atribuírselo a alguien es complicado», explica Vitaly Kamluk, investigador principal de seguridad en Kaspersky Lab, y especialista en lo que denominan «Advanced Thread Actors» (actores de amenaza avanzada). «En internet es muy difícil hacer una atribución sólida de la autoría por la naturaleza volátil de cómo se ha creado. Además debemos tener en cuenta que cabe la posibilidad de un ‘ataque de bandera falsa’ antes de señalar la identidad del responsable». Aun así, creen que probablemente se originó en un país en el que el español sea lengua oficial o de facto.

Kaspersky ha identificado más de 380 víctimas infectadas por «Careto» –que ha funcionado desde 2007 hasta hace unos días–, distribuidas entre más de 1.000 direcciones IP y en más de 30 países. Aproximadamente un tercio del total son direcciones situadas en Marruecos. La lista de países con máquinas afectadas incluye a Brasil, Reino Unido, España, Francia y Libia.

«Para las víctimas una infección de ‘Careto’ es desastrosa», explican desde la compañía rusa de seguridad. «El ‘malware’ intercepta todos los canales de comunicación y recoge la información más vital del sistema infectado. La detección es extremadamente difícil gracias a sus capacidades ‘rootkit’ invisibles». Los ‘rootkit’ son piezas de ‘software’ capaces de obtener los máximos privilegios en el control de un ordenador y, por tanto, eliminar cualquier rastro que puedan dejar. En este caso, la infección podía ocurrir en máquinas con Windows, Mac OS X y Linux, y puede que también en móviles y tablets Android e iOS.

Una de las principales características de «Careto», y que lo convierte en una pieza única, es su grado de sofisticación. Según los investigadores de Kaspersky, la complejidad del conjunto de herramientas que utiliza lo sitúa por encima de otras ‘armas de ciberespionaje’ descubiertas previamente como Duqu –que servía para atacar sistemas de control industrial– o Gauss –que monitorizaba transacciones bancarias en Oriente Medio–. Aunque no lo dicen explícitamente, puede que solo Stuxnet, un virus que fue capaz de destrozar cientos de centrifugadoras de uranio en Irán, y Flame, que espiaba ordenadores en países de la región, hayan sido más complejos.

Un virus de habla hispana

Aunque los investigadores no se atreven a asegurar cuál es el origen de «Careto», sí apuntan que las pruebas les hacen sospechar de un país de habla hispana. «La palabra en jerga ‘Careto’ se incluyó en algunos módulos del ‘malware’», explica Kamluk. El nombre, según las pruebas aportadas por Kaspersky, es con el que lo bautizaron los creadores. También se identificó la palabra «Pruebas» entre su código, y referencias a algunos periódicos españoles como trampas para infectar a las potenciales víctimas.

Otra de las pruebas que señala Kamluk es el uso de la expresión «Caguen1aMar» como clave de cifrado. «Es una clave de encriptado RC4 guardada en los datos de configuración. Se usaba para todas las comunicaciones con los servidores de mando y control», explica el investigador. «Es la contracción de ‘me cago en la mar’, una expresión en español que me imagino que no necesito traducir».

Cinco años en funcionamiento

Los investigadores de Kaspersky Lab detectaron la existencia de «Careto» aclaran, porque éste intentó atacar el software de seguridad informática de la compañía con el propósito de hacerse invisible dentro de un sistema. «Esto, claro, llamó nuestra atención, y nuestro equipo decidió investigar más allá», explican. «En otras palabras, los atacantes atrajeron nuestra atención intentando atacar uno de nuestros productos».

Una vez se pusieron a trabajar en el asunto descubrieron que ‘Careto’ funciona desde 2007, y que dejó de operar en enero de 2014. Su año más activo, en el que se desarrollaron más módulos y capacidades para el sistema, fue 2012. Kamluk explica que, aunque no puede afirmarlo con certeza, puede que su identificación por parte de Kaspersky Lab desencadenase el cierre de la operación. «Parece una razón muy probable», sentencia.

Fuente: ABC