El grupo de ciberespionaje Careto, presuntamente vinculado al Gobierno español, ha capturado la atención de la comunidad de ciberseguridad desde su descubrimiento por Kaspersky en 2014. Este colectivo, asociado con ciberataques complejos y sofisticados, se caracteriza por su habilidad para desarrollar malware avanzado que afecta diversas plataformas como Windows, macOS, Linux, e indicativos de versiones para Android e iOS. El arsenal de Careto incluye herramientas para el robo de documentos cifrados, claves SSH, configuraciones de VPN, capturas de teclado y de pantalla, e interceptación de tráfico de red y conversaciones por Skype.
La sofisticación de Careto quedó demostrada en el uso de técnicas y tácticas avanzadas, como correos de spear phishing que imitaban medios de comunicación españoles, y la presencia de expresiones coloquiales españolas en el código del malware. Kaspersky, al revelar la existencia de Careto, expuso su amplitud global, afectando a al menos 31 países con más de 380 víctimas identificadas, concentrándose principalmente en América Latina, Europa y el norte de África. Entre los objetivos de los ataques se encontraban gobiernos, embajadas, organizaciones diplomáticas, compañías energéticas, centros de investigación y activistas.
Aunque nunca se atribuyó formalmente su origen a España, informes y testimonios de ex empleados de Kaspersky consultados por TechCrunch sugieren una vinculación clara con el gobierno español, lo cual Kaspersky nunca hizo público, posiblemente debido a políticas internas sobre la atribución de ataques. A pesar de que Careto parece haber desmantelado sus operaciones tras la exposición inicial en 2014, Kaspersky detectó señales de su actividad reciente en 2024, indicando que el grupo aún mantiene su capacidad técnica y operativa.
La identidad exacta de los responsables detrás de Careto sigue siendo un misterio, y tanto el Ministerio de Defensa español como Kaspersky mantienen un perfil discreto respecto a las acusaciones. Esta situación suma a Careto a la lista de actores de ciberespionaje global, revelando la compleja red de operaciones cibernéticas que trascienden fronteras y el alcance de la ciberseguridad internacional.