David R. Vidal recibió en 2005 el encargo de sus jefes de conseguir números de móviles de «personas de interés» en Marruecos, es decir de altos cargos, para «poderlos trabajar». El que fue durante más de una década colaborador del Centro Nacional de Inteligencia (CNI) en el norte de África se puso manos a la obra.
Vidal, que ahora dirige la consultora Global Chase, no preguntó el motivo, pero sospechó que el servicio secreto que le contrató había adquirido o iba a desarrollar algún sistema de interceptación de llamadas y datos de teléfonos móviles. Él se dedicaba de lleno a la inmigración clandestina hacia España y ya poseía algunos números de miembros de las fuerzas de seguridad marroquíes. «Si sabes el teléfono de un comisario y lo monitorizas, éste acabará hablando con el director general de la policía y éste a su vez con el ministro, y éste....», recuerda el ex espía.
Algo más de un año después de que Vidal recibiese esa petición irrumpía en cientos de móviles marroquíes y también de otros países con interés para España, un nuevo y poderoso troyano bautizado Careto algunos de cuyos códigos estaban escritos en un español muy castizo.
A partir de 2007 y hasta principios de 2014, Careto se infiltró en móviles y ordenadores de la administración marroquí; también en instituciones de Brasil, el país extranjero donde hay más inversión empresarial española; mientras que en España el País Vasco fue una de sus prioridades a juzgar por la proporción de pinchazos en la red de Euskaltel, el operador vasco de telecomunicaciones.
Careto fue descubierto hace algo más de un año por Kaspersky, la célebre empresa rusa de ciberseguridad. Presentó el hallazgo de sus informáticos, en febrero de 2014, en una conferencia en República Dominicana y colgó un informe en su web. Inmediatamente después del anuncio de su descubrimiento el troyano se desactivó en todos los ordenadores en los que se había alojado.
Kaspersky se topó con Careto porque los que lo manejaban cometieron un fallo a finales de 2013. «Intentaron manipular una versión anticuada de un antivirus» de la compañía rusa, «y eso llamó la atención» porque deberían de haberlo hecho con una versión actualizada, explica Sergio de los Santos, director del laboratorio de Eleven Path, la empresa de ciberseguridad de la multinacional española Telefónica.
Careto «no es un troyano al uso como los utilizados por los cibercriminales», recalca Carlos Barbudo, investigador en la Universidad Complutense sobre privacidad y desarrollo de las tecnologías de la información. «Sus capacidades eran asombrosas», añade. «Desde robar las pulsaciones del teclado hasta escuchar las conversaciones vía Skype pasando por apoderarse de ficheros», añade. «Observamos un muy alto nivel de profesionalidad», subraya el informe con el que Kaspersky dio a conocer su descubrimiento.
«Alcanzó un elevado nivel de sofisticación aunque no tanto como Stuxnet», precisa De los Santos. Ideado por programadores estadounidenses e israelíes, según el diario The New York Times, Stuxnet es con frecuencia considerado como el troyano más poderoso de la historia de la informática. Sirvió en 2011 para torpedear el programa nuclear iraní.
Careto se propagó sobre todo mediante el envío de correos que contenían un falso enlace de periódicos españoles -El País y Público fueron los predilectos- o anglosajones (The Guardian). Los destinatarios creían conocer al remitente y pinchaban sin temor. «Una vez visitada la web se redirigía a la víctima hacia una página» que contenía el troyano y su ordenador quedaba infectado, explica De los Santos.
¿Quién está detrás de Careto? Todas las fuentes consultadas afirman, como indica Carlos Barbudo, que detrás de un programa de esta envergadura «que buscaba, por ejemplo, la clave de un sistema criptográfico militar o gubernamental, solo puede haber un Estado». «Nadie invierte tanto esfuerzo y dinero en crear un programa espía si no espera recuperar la inversión con la información obtenida», añade De los Santos.
Vicente Díaz, analista e investigador de Kaspersky, rehúsa especular quién podría haber creado y puesto en circulación a Careto. Comenta, no obstante, algunas «evidencias». «La primera es que varias cadenas de texto están escritas en mal inglés (attempt to move the uploaded file to it's new place, en lugar de attempt to move the uploaded file to its new location) lo cual hace pensar que esa no era la lengua materna de los autores», afirma.
La segunda es que «algunas cadenas están en español y en este caso en un español muy nativo», prosigue Díaz. «Me cago en la mar era una de las contraseñas que se utilizaban para cifrar las comunicaciones», añade. Algunas de las carpetas del programa fueron además bautizadas con nombres en español como Pruebas.
«Una de las mejores maneras para atribuir [el origen] es por el área de influencia», es decir por lugares donde se ha expandido el virus, señala Díaz. «Los objetivos del troyano dan una idea muy clara de que quizás sea España la que pudo inspirarlo», subraya De los Santos. El propio Díaz reconoce: «Los objetivos podrían perfectamente corresponder con los de España».
Además de los móviles marroquíes -de los 383 números de IP infectados en Marruecos la gran mayoría son teléfonos-, y de los ordenadores que se conectan a través de Euskaltel hay otro indicio que apunta en la misma dirección española: al menos dos de los ordenadores infectados estaban en Gibraltar.
De todos los expertos consultados por este periódico, sólo uno, Guillem Colom, director del think-tank Thiber, especializado en ciberseguridad, se resiste a relacionar a Careto con España. «Dudo que un producto tan sofisticado sea español, pero si lo fuera sería un hito de la tecnología made in Spain», afirma.
Al contrario que otros virus, como Downadup o Bugbear, que en su momento afectaron a millones de ordenadores, Careto solo infectó, en sus casi siete años de vida, a unos pocos miles de usuarios. Estos se conectaban, cuando Kaspersky inició su investigación, a través de 909 direcciones de IP, el 42% marroquíes. El año de mayor actividad fue 2012. Como el campo de actuación era limitado y el funcionamiento de los ordenadores no resultó alterado Careto pudo permanecer incrustado tanto tiempo sin ser localizado.
La compañía rusa especializada en programas antivirus no ha querido revelar el listado detallado de objetivos de Careto. «Sólo lo compartimos con las fuerzas de seguridad de los países donde están los equipos infectados», asegura Díaz. Son ellas las encargadas de advertir a las víctimas del troyano. Preguntada sobre si había sido informada por Kaspersky de la propagación de Careto en Marruecos, la Dirección General de Estudios y Documentación, el servicio secreto marroquí, rehusó contestar.
0 التعليقات:
Publicar un comentario