Una investigación revela que el Gobierno español estuvo detrás del grupo de ciberespionaje ‘Careto’

Una década después de que la empresa de ciberseguridad Kaspersky alertara sobre un grupo de espionaje digital al que bautizó como Careto (también conocido como The Mask), nuevas revelaciones apuntan a que detrás de sus operaciones estaba el Gobierno de España.

Según una investigación publicada el 23 de mayo por el medio tecnológico estadounidense TechCrunch, varios exempleados de Kaspersky que participaron directamente en el análisis del malware aseguran que, dentro de la empresa, la atribución a España era clara y ampliamente aceptada. “No había ninguna duda razonable”, afirmó una de las fuentes, que habló con TechCrunch bajo condición de anonimato.

Careto fue descubierto en 2014 tras infectar redes gubernamentales, diplomáticas y corporativas en más de 30 países, con especial incidencia en Marruecos. El grupo utilizaba técnicas de espionaje que en aquel momento eran consideradas de élite: interceptaba comunicaciones, robaba archivos, capturaba teclas y hasta activaba micrófonos sin que el usuario lo supiera.

Aunque en su informe técnico original Kaspersky evitó hacer atribuciones explícitas, las pistas eran evidentes: el código del malware contenía las palabras “Caguen1aMar”, una contracción de una expresión típicamente usada en España y no en otros países hispanohablantes. En el mapa de víctimas publicado por Kaspersky, la empresa incluyó una ilustración de una máscara con cuernos de toro y castañuelas. Además, Careto atacó países que coincidían con intereses geoestratégicos españoles, tales como Gibraltar, Marruecos y Brasil.

Uno de los casos clave fue el de un funcionario cubano, considerado “paciente cero”, que permitió a los investigadores identificar una operación mucho más amplia. En aquel entonces, Cuba acogía a miembros de ETA –algo que podría haber motivado el interés del espionaje español–, explican.

Kaspersky, consultada por TechCrunch, se limitó a decir que no realiza atribuciones formales, reafirmando su política de neutralidad. Una respuesta parecida a la que obtuvo La Marea. “Desde Kaspersky no comentamos informaciones de fuentes anónimas ni realizamos atribuciones de ataques a países”, ha declarado a este medio la responsable de comunicación de Kaspersky Iberia.

Por su parte, el Ministerio de Defensa español no ha emitido declaraciones oficiales y tampoco ha contestado a La Marea.

Aunque Careto desapareció tras la publicación del informe en 2014, Kaspersky volvió a detectarlo en 2024, con ataques a organizaciones en América Latina y África. Las técnicas usadas eran similares, y todo apunta a que se trata del mismo grupo –o al menos de sus herederos–.

Estas revelaciones sitúan a España en un club muy reducido de países occidentales que se conoce han operado grupos de espionaje digital avanzados, junto a Estados Unidos, Francia y el Reino Unido.