Etiqueta: ciberespionaje

El día en que España espió a sus rivales políticos: esta es la historia del malware Careto

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Febrero de 2014. Kaspersky anuncia que ha descubierto un malware espía que lleva activo desde 2007 y que ha afectado a más de 1.000 IP’s de 31 países en todo el mundo. La noticia no tendría por qué ser especialmente relevante, ya que el descubrimiento de un nuevo malware (por desgracia) no es algo nuevo, pero en este caso es diferente: ese malware ‘habla’ español. Y todo el mundo apunta hacia España como su principal origen.

Pero, ¿por qué todo el mundo está tan seguro de que este malware ha salido de España? Para saberlo necesitamos conocer a fondo Careto y analizar su forma de actuación y sus víctimas. Esta es la historia del día en que España decidió espiar a 31 países de todo el mundo, según todos los pronósticos.

¿Qué es Careto y cómo actuaba?

En 2013, un año antes de hacer públicas sus revelaciones, Kaspersky detectó un malware que estaba intentando explotar antiguas vulnerabilidades de productos suyos para no ser descubierto. Durante un tiempo, de hecho, parece que lo consiguió: según sus investigaciones, llevaba activo desde 2007. Le pusieron de nombre Careto, ya que era la palabra que se repetía varias veces en algunos de sus módulos.

Careto llegaba a través de phishing, haciendo que sus víctimas pinchasen en un enlace que les hacía pasar por webs con exploits para infectar sus equipos. Una vez producida la infección, Careto interceptaba los canales de comunicación del equipo y recopilaba toda la información que podía.

Además, su ámbito de actuación a nivel tecnológico era más que amplio: los ingenieros de Kaspersky detectaron su presencia en Windows y en MacOS, y también encontraron posibles restos en sistemas operativos iOS y Android, con lo que la infección podía producirse tanto en un ordenador como en un móvil o un tablet. En el capítulo 8 de El Enemigo Anónimo ya tratamos la existencia de Careto:

¿A quién espió?

Los investigadores detectaron la presencia de Careto en más de 1.000 IP’s de 31 países, pero aseguraron que, dada la naturaleza de su actuación, es probable que hubiese muchas más víctimas. Dichas víctimas fueron de distintos tipos:

  • Instituciones gubernamentales
  • Oficinas diplomáticas y embajadas
  • Empresas de energía, petróleo y gas
  • Instituciones de investigación
  • Fondos de inversión privados
  • Activistas

Si segmentamos por países, Marruecos es el más afectado, con 383 víctimas, seguido de Brasil (173), Reino Unido (109), España (61), Francia (59), Suiza (33), Libia (26), Estados Unidos (22), Irán (14), Venezuela (10) y así hasta llegar a un total de 31 países repartidos por todo el mundo, entre los que hay sorpresas como la presencia de Gibraltar. En el siguiente mapa puedes ver el reparto de países afectados y sus víctimas.

¿Qué consiguió robar?

Según los investigadores de Kaspersky, Careto recopilaba una gran lista de documentos, incluidas claves de cifrado, configuraciones de VPN, claves SSH y archivos RDP. También había varias extensiones desconocidas que podrían estar relacionadas con herramientas de cifrado a nivel militar y/o gubernamental. La lista completa de extensiones conocidas es la siguiente:.

*AKF, *. ASC, *. AXX, *. CFD, *. CFE, *. CRT, *. DOC, *. DOCX, *. EML, *. ENC, *. GMG, *. GPG, *. HSE, *. KEY, *.M15, *. M2F, *. M2O, *. M2R, *. MLS, *. OCFS, *. OCU, *. ODS, *. ODT, *. OVPN, *. P7C, * .P7M, *. P7Z, *. PAB, *. PDF, *.PGP, *. PKR, *. PPK, *. PSW, *. PXL, *. RDP, *. RTF, *. SDC, *. SDW, *. SKR, *. SSH, *. SXC, *. SXW, *. VSD, *.WAB, *. WPD, *. WPS, *. WRD, *. XLS, *. XLSX

«Careto graba conversaciones de Skype, ve todo lo que tecleas, saca pantallazos, roba archivos… todo un arsenal para espiar»

Además, un analista de Kaspersky aseguró a eldiario.es que «el malware permite grabar conversaciones de Skype, ver todo lo que tecleas, sacar pantallazos, robar archivos, instalar cualquier cosa en tu equipo… En fin, todo un arsenal para espiar«.

¿Por qué se le atribuye a España?

Como casi siempre pasa, la atribución de Careto resulta complicada, pero son muchos los analistas que en su momento –y aún a día de hoy– aseguran que Careto procede de España. Y no de un grupo de cibercriminales, sino directamente del gobierno español. ¿Por qué están tan seguros? Veamos los indicios que hay:

1.- IDIOMA

En los análisis internos de Careto se han descubierto líneas de código escritas en español. Esto por sí solo no tendría por qué ser incriminatorio, ya que hay muchos países en los que se habla español y, además, la presencia de este idioma podría haberse puesto como una pista falsa.

«No debemos excluir falsa bandera, pero mientras la mayoría de ataques usan idiomas como el chino o el inglés, lo cierto es que el alemán, el francés o el español aparecen muy raramente»

Sin embargo, Kaspersky aseguró en su momento que «no debemos excluir la posibilidad de una operación de falsa bandera, donde los atacantes escribieron intencionalmente palabras en español para confundir», pero «mientras la mayoría de los ataques conocidos hoy en día usan idiomas como el chino o el inglés», lo cierto es que «el alemán, el francés o el español aparecen muy raramente en ataques APT«.

Hay otro detalle curioso: Careto simulaba llevar a sus víctimas a periódicos online de diversa índole, pero predominan los españoles. Estos son algunos de los subdominios que usó:

2.- ATAQUE DE UN ESTADO

Podríamos pensar que, aunque Careto proceda de España, su origen puede estar en un grupo cibercriminal. Sin embargo, los analistas de Kaspersky aseguran que este malware tiene «un altísimo grado de profesionalidad, incluido el monitoreo de su infraestructura, evitar miradas curiosas mediante reglas de acceso, usar el borrado de archivos de registros, etc».

«Este nivel de seguridad operativa no es normal en grupos de ciberdelincuentes. Esto nos hace creer que puede ser una campaña patrocinada por un estado»

Este nivel de seguridad operativa, en su opinión, «no es normal en los grupos de ciberdelincuentes. Este y otros factores nos hacen creer que esta podría ser una campaña patrocinada por un estado«.

3.- GEOGRAFÍA

Cuando analizamos el reparto geográfico de las víctimas de Careto vemos cuatro zonas especialmente relevantes:

  • Norte de África
  • Latinoamérica
  • Europa
  • Gibraltar

Te dejamos de nuevo el mapa de víctimas para que puedas analizarlo pormenorizadamente. ¿Qué gobierno puede estar interesado en espiar a zonas geográficas tan dispares como el norte de África, Latinoamérica, Europa y, sobre todo, un territorio tan particular como Gibraltar?

Para Txarlie Axebra, «a día de hoy es bastante evidente que Careto fue desarrollado por el gobierno español y, sin embargo, no ha existido ningún tipo de investigación sobre quién financió y cómo se llevó a cabo un sistema de infección para robar credenciales supuestamente a aliados del propio Estado español».

En su opinión, este tipo de circunstancias son muy representativas de hasta qué punto la ciberguerra llega a todos los países: «Hace 20 años hubiera sido impensable que el Gobierno español montara un espía en cada embajada o en cada empresa competidora de sus grandes empresas, pero a día de hoy con la tecnología es posible y, por tanto, todos lo están haciendo».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

El ciberespionaje en España existe: quién lo hace, quién lo sufre y qué pinta el CNI en todo esto

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Todo empezó hace cerca de dos años. Varias empresas españolas, entre ellas nuestra protagonista (llamémosla Empresa Alpha, por ejemplo) concurren a un concurso público y presentan sus respectivas ofertas. Una vez publicados los resultados, la ganadora (llamémosla Empresa Beta) se ha llevado la victoria por un margen muy pequeño. A Empresa Alpha le resulta una victoria sospechosa, ya que, además, la oferta y el pliego de Empresa Beta se parecen mucho a los suyos. Se hacen la pregunta en voz alta: ¿y si nos han espiado? O peor, ¿y si directamente nos han robado nuestra documentación y la han presentado como suya?

Para responder a la pregunta acudieron a Zerolynx, cuyo CEO, Juan Antonio Calles, nos cuenta lo sucedido en el cuarto episodio de El Enemigo Anónimo, la primera serie documental sobre ciberseguridad hecha en España: «Al hacer la pericia tecnológica vimos que una persona había hecho un envío de una información marcada como confidencial, había una fuga de información, así que evaluamos técnicamente lo sucedido, emitimos el informe y lo presentamos», nos cuenta.

Un tiempo más tarde supieron la verdad: «Se demostró que una persona del área comercial había cedido la oferta que se iba a presentar a una empresa de la competencia a cambio de dinero«. Sorprendente, ¿no? Pues no tanto como parece. Como vamos a ver a continuación, el ciberespionaje entre empresas rivales que compiten por un mismo contrato es muy común. Y no hay que irse muy lejos para comprobarlo: en España hay ejemplos de sobra.

El ciberespionaje industrial, en cifras

Según el Data Breach Investigations Report 2020 elaborado por Verizon, el ciberespionaje industrial no para de aumentar cada año. Y si lo segmentamos por sectores, el manufacturero es el que más sufre este delito, seguido del profesional y –ojo– el público.

¿Y en España? La Memoria de la Fiscalía General del Estado sitúa el ataque contra la propiedad industrial y/o intelectual como el quinto ciberdelito más frecuente en nuestro país, representando un 4,2% del total.

La cifra porcentual puede parecernos baja, pero ¿qué pasa si analizamos la evolución? Que encontramos motivos de sobra para preocuparnos: desde 2015 los ataques contra la propiedad industrial y/o intelectual venían bajando significativamente… hasta el año pasado, en el que hubo 555 casos, multiplicando por más de 10 los del año anterior.

¿Quién espía, a quién y por qué?

¿Qué lleva a una empresa a querer espiar a otra? La respuesta parece evidente: el robo de información para tener una ventaja competitiva. «Siempre que existen datos y competición hay maneras para aprovecharse, generando un informe de inteligencia sobre qué es lo que tienen otros y qué es lo que tú puedes ofrecer», nos cuenta Andrea G. Rodríguez, investigadora del CIDOB. «Y si quieres echarle mala baba y aprovechar lo que tienen los otros, es muy probable que lo intentes robar«.

¿Son casos aislados? En absoluto, en su opinión «es una práctica completamente extendida». Coinciden en ello Javier Rodríguez, de Tarlogic, para quien «el ciberespionaje es público y notorio«, y Yoya Silva, de Woman in Cybersecurity Spain (WiCS), que reconoce que «todos suponemos cosas, pero no hay una confirmación oficial nunca. Si nadie quiere levantar la mano y decir lo que ha ocurrido no nos vamos a enterar del todo».

Andrea G. Rodríguez, investigadora del CIDOB.

Jorge Louzao incluso nos da más detalles: «Entre empresas rivales que compiten por un mismo mercado o por los mismos contratos se da mucho», pero, evidentemente, «no es una cosa que ninguna empresa te vaya a reconocer públicamente».

De hecho, «grandes empresas españolas transnacionales están padeciendo ciberespionaje industrial día a día«, añade Luis Ramírez, editor de la revista SIC. Esto nos lleva a pensar en un grupo de empresas a las que menciona Alfonso Muñoz, de GFI Digital Risk: «El espionaje industrial existe para contratos muy grandes. Las grandes empresas, por ejemplo las del IBEX 35, tienen que proteger bien su propiedad industrial por robo de organizaciones, empresas… y, en algunos casos, gobiernos extranjeros».

Los gobiernos también espían; ¿qué hace el CNI en España?

Un momento, ¿qué es eso que ha dicho Alfonso Muñoz de que los gobiernos extranjeros también espían? Sabemos que muchos gobiernos se espían entre sí (lo veremos en los capítulos 7 y 8 de El Enemigo Anónimo), pero ¿qué es eso de que un gobierno espíe a una empresa?

Pues sí, hay gobiernos que espían a empresas extranjeras: «Si tú tienes una empresa estratégica, llamémosla X, que se dedica a un bien básico que consumimos todos los días y está compitiendo por un contrato en la otra punta del mundo o está compitiendo por comprar una empresa o hacer una OPA hostil, detrás no solamente están esas empresas investigando y tratando de sacar toda la información, también están sus gobiernos«, nos cuenta Jorge Louzao.

«Doy por supuesto que el CNI trabaja en los contratos grandes para defenderlos… pero también para recabar inteligencia con la que ganar a los del otro lado».

Román Ramírez, rootedcon

En estas cosas siempre tendemos a pensar bien de nosotros mismos y mal de los demás, pero Román Ramírez nos tira por tierra esta ingenuidad: «Yo doy por hecho que mi país está lidiando contra otros países para que mis empresas ganen contratos internacionales. Doy por supuesto que el CNI está trabajando en todos los contratos grandes para defenderlos y evitar que te los ‘bicheen’… pero también para recabar inteligencia con la que ganar a los del otro lado. Esto es así y el que crea que no es así…».

¿Es lícito que el gobierno español espíe a empresas extranjeras?

Por muy evidente que resulte el ciberespionaje de grandes gobiernos a empresas extranjeras, no puede dejar de llamarnos la atención. Porque vale que un país como España quiera defender a sus empresas ante ataques extranjeros, pero ¿qué pasa si es la propia España la que se dedica a hacer ciberespionaje a empresas extranjeras para beneficiar a las españolas? ¿Dónde queda la ética en todo este asunto?

Jorge Louzao (@louzaonet).

Román Ramírez se hace la misma pregunta en voz alta: «¿Es lícita la seguridad ofensiva? ¿Es lícito utilizar el ataque como parte de la defensa nacional? Es una pregunta muy complicada», reconoce. «Éticamente está mal: agredir a un ciudadano, a una empresa o a un estado es malo por definición, pero eso forma parte del mundo que yo quiero, no del mundo que tengo. Cualquier país quiere que sus empresas ganen un proyecto y que no lo ganen las del país de enfrente. Y yo, sinceramente, prefiero que se arruine otro país a que se arruine el mío, quiero que haya más puestos de trabajo en el mío y que el que tenga el problema sea otro país, no el mío».

«¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo»

Jorge Louzao (@louzaonet)

Jorge Louzao coincide en este punto, aunque su aceptación de que España pueda espiar a empresas extranjeras quizá sea más resignada: «Desde un punto de vista ético, que un estado esté detrás de este tipo de acciones es francamente reprobable… Pero vámonos al mundo real, vamos a ser pragmáticos, vamos a pensar que esto sucede todos los días, que hay estados más grandes que el nuestro que lo están haciendo y de alguna manera te tienes que defender. ¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo. Tienes que tratar de beneficiar es a tu propio país, a tu gente y es a tus negocios, no a los del contrario».

Las conclusiones de casi todas las personas con las que hemos hablado van en la misma dirección: el ciberespionaje industrial existe, es mucho más frecuente de lo que creemos y a veces incluso viene impulsado por los propios gobiernos internacionales.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture