El extraño caso del troyano español
08 / 05 / 2014 Fernando Rueda
Se llama Careto y es uno de los programas de ciberespionaje más agresivos descubiertos en los últimos años. A diferencia de todos los que han sido destapados hasta ahora, este ha sido diseñado en español.
Kaspersky Lab, máximo especialista mundial en la búsqueda de programas piratas, ha anunciado que ha descubierto un nuevo troyano, un software para infectar ordenadores con un virus informático, al que han calificado como “una de las amenazas más avanzadas en el momento actual”. Lo han bautizado como The Mask, la máscara, término que procede de la palabra española careto, que está incluida dentro del programa malicioso. En los muchos años que lleva la empresa haciendo labores de detective por todo el mundo, buscando programas ocultos que se dedican a contaminar ordenadores para robarles toda la información, nunca habían encontrado uno tan peligroso que incluyera palabras en español. Una primera interpretación, dependiendo del país, ha sido acusar a los Gobiernos locales de estar detrás de Careto. En España se ha insinuado que podía haber sido creado aquí y en Latinoamérica se ha dejado abierta la puerta para que uno de sus países sea el creador.
La hipótesis de que el troyano ha sido diseñado por un Gobierno viene apoyada por el informe de Kaspersky. Defienden que el virus, del que se ha demostrado que empezó a ser operativo en 2007, es extremadamente sofisticado. Tiene versiones para todo tipo de ordenadores e incluso para otras plataformas, como Ipad. Además, utiliza un ataque personalizado para evitar que los programas de la empresa con origen en Rusia los detecte –no han podido hacerlo con los programas más avanzados utilizados años después–.
Según la experta opinión de Kaspersky, este adelanto le proporciona más eficacia que el programa pirata Duqu, detectado en 2011. Este fue descubierto a raíz de los ataques recibidos en dependencias nucleares, militares y gubernamentales de Irán. No se pudo identificar, como es habitual, al creador e instalador, pero Kaspersky descubrió algo trascendental: estaba creado sobre la misma plataforma que un virus anterior, Stuxnet, lo que les convertía en hermanos y dirigía la mirada a los servicios de inteligencia de EEUU. Los daños de Duqu llegaron hasta España, que pocas semanas antes de las elecciones generales de 2011, sufrió un ataque del virus que pudo haber puesto en jaque las infraestructuras críticas del país, según reconoció en su momento Javier Candau, subdirector del Centro Criptológico Nacional.
Careto va un paso más allá que Duqu, lo que lo convierte en uno de los más avanzados conocidos hasta ahora. Este factor, junto a los ya mencionados, hace sospechar a los investigadores que podría ser una operación de espionaje detrás de la cual tendría que estar un Estado, ya que las mafias que actúan en la Red no disponen de los medios ni la preparación suficientes.
Países atacados.
Más de 380 organismos pertenecientes a países tan diversos como Argentina, China, Cuba, Egipto, Francia, Reino Unido, Gibraltar, Estados Unidos, Venezuela, Marruecos o España ya han sido infectados por Careto. Con una red tan diversa, cualquiera podría estar detrás, sin excluir a ninguno. La información robada es tan amplia, como suele suceder en estos casos, que no se detecta a simple vista un interés concreto. Parece ir dirigido a cubrir las necesidades de información secreta para el día a día de un Estado con intereses en todo el mundo.
En cualquier caso, el primero de los objetivos siempre es conseguir las claves de cifrado, para, a continuación, robar configuraciones y archivos. Algo en lo que cualquier gran potencia ansiosa de conseguir información de enemigos, pero también de amigos, pagaría lo que fuera. Quién está detrás de un programa elaborado con términos en español es una pregunta a la que Kaspersky ofrece algunas respuestas. Esta empresa considera que la pista del uso del español es complicada de seguir, pues además de en España, se habla en América Latina o en Estados Unidos, y apunta una posibilidad muy interesante: los que llaman ataques de bandera falsa. Es decir, que alguien haya utilizado las palabras en español para alejar las sospechas de su país si el virus era detectado. No lo especifican en Kaspersky, pero esta última hipótesis señalaría a la NSA de Estados Unidos. Con palabras en español, que no suelen ser usadas, podría desmentir con más fuerza su presencia detrás del programa. Y más cuando este tiene un grado de sofisticación que solo han mostrado los virus que supuestamente han creado en Estados Unidos.
Luis Enrique Corredera, socio-director de la empresa Flag Solutions, uno de los grandes especialistas españoles en la materia, destaca que “se han encontrado versiones para Windows, Mac y Linux. Hasta el momento se había encontrado malware [software malicioso] para un sistema u otro, pero no uno que pudiera afectar a los tres simultáneamente. Esto lo hace realmente sofisticado y digno de ser reconocido como uno de los más complejos”. En cuanto a la posibilidad de su procedencia hispana, Corredera asegura que “Careto cifraba los elementos que extraviaba de los ordenadores infectados y usaba la clave “Caguen1amar” para cifrarlos, principal indicio de que exista al menos un hispano en el equipo de desarrollo del malware”.
Corredera también cuenta que “durante la investigación, Kaspersky Lab consiguió ganar acceso a servidores del Centro de Control de Careto, atacar al atacante, revelando que los principales afectados serían Marruecos, España y Francia”.
