03
noviembre
2021

Keylogger

Un keylogger o keyboard logger, también denominado registrador de pulsaciones de teclas, es un tipo de software o hardware que registra las pulsaciones en un teclado que se realizan desde un dispositivo tecnológico: PC, tabletas, teléfonos, entre otros. 

El principal objetivo de un keylogger es interferir en la cadena de eventos que suceden cuando se presiona una tecla, y cuando los datos se muestran en el monitor como resultado de esa pulsación. 

Los ciberdelincuentes suelen utilizar los registradores de teclas como herramienta espía para robar información confidencial y/o estratégica, datos de identificación personal, inicios de sesión, y otras credenciales de uso privado. 

Cuando los piratas informáticos obtienen acceso a información privada, pueden aprovechar los datos extraídos para ejecutar ataques, comprometer infraestructuras, o realizar transacciones monetarias en línea, entre otros, siempre con afectaciones directas a los usuarios comprometidos; incluso, en ocasiones se utilizan como instrumento de espionaje industrial, para comprometer datos comerciales de las empresas. 

Es oportuno aclarar que, aunque se utilizan en mayor frecuencia con fines maliciosos, los keylogger también pueden emplearse por razones relativamente legítimas, como ayuda a los padres para supervisar los métodos de navegación de sus hijos, o con fines científicos, para obtener datos sobre el comportamiento humano en los distintos tipos de dispositivos, por ejemplo. 

Tipos 

Dependiendo de la parte del dispositivo en la que estén integrados, todos los keylogger pueden clasificarse como: 

  • basados en hardware: generalmente utilizado en computadoras de escritorio, y en forma de un dispositivo microelectrónico, de apariencia similar a una extensión, se conecta entre el cable del teclado y el PC, y logra capturar y almacenar en un archivo de texto todas las pulsaciones de teclas.

  • basados en software: el keylogger lo constituye un programa espía o sniffer instalado en el dispositivo, que es capaz de rastrear y almacenar en un archivo oculto al usuario, todas las actividades que se realizan, entre ellas, capturas de pantallas del monitor, correos electrónicos recibidos y enviados, números de tarjetas de crédito, texto copiado al portapapeles, entre otros, además de registrar todas las pulsaciones de teclas que se producen. 

Sin importar su tipo, el fin de un keylogger es recopilar datos, generalmente generados por las pulsaciones de teclas, y que son de interés de un tercero, que los decodificará y utilizará posteriormente. 

Los keylogger basados en hardware generalmente constituyen: 

  • Adaptadores: pues se conectan al teclado y su principal ventaja es que se instalan de forma inmediata. Su inconveniente principal es que pueden detectarse fácilmente si se realiza una revisión detallada.

  • Dispositivos: se instalan dentro del teclado del ordenador por lo que es necesario tener habilidad para soldar y acceso directo al teclado. Su ventaja es que no pueden detectarse, salvo que se abra el teclado. 

El software keylogger por su parte, logra un mayor impacto al camuflarse, no requiere de la manipulación física del teclado, e impacta a cualquier dispositivo que no tenga un nivel de seguridad óptimo. Puede ser instalado a propósito por alguien que quiera monitorizar la actividad de un dispositivo en particular, aunque generalmente suele ser parte de un malware descargado por el usuario involuntariamente. Su funcionamiento puede estar: 

  • Basado en el kernel: por lo general corrompen el núcleo del sistema operativo y disponen de acceso autorizado, lo que hace que tengan gran alcance, actuando como driver del teclado, para acceder a cualquier información registrada por él.

  • Basado en el browser: también denominados inyección de memoria, se instalan en el navegador y registran las teclas sin que el usuario se percate; pueden recopilar información enviada a través de formularios, así como datos de inicio de sesión, almacenándolos en los registros internos del navegador.

  • Basado en acceso remoto: permiten el acceso externo al software registrador de pulsaciones. Las entradas registradas se envían por correo electrónico o se cargan en algún lugar de acceso online. Suelen combinarse con implementaciones de hardware. 

Información de Interés 

Los keylogger son una seria amenaza para los usuarios y sus datos, ya que rastrean las pulsaciones de teclas para interceptar contraseñas y otra información confidencial introducida a través del teclado, lo que puede resultar muy beneficioso para los cibercriminales. 

Éstos pueden obtener códigos PIN y números de cuenta, contraseñas de diferentes sitios web, identificaciones e inicios de sesión de correo electrónico y redes sociales, entre otros. 

También pueden ser usados como herramientas de espionaje para comprometer los datos comerciales de empresas, en una operación de espionaje industrial o inteligencia competitiva, o incluso ser parte de un ataque organizado a las instituciones públicas de un estado. 

Los registradores de pulsaciones de teclas han ido variando a lo largo del tiempo, sumando a su funcionalidad básica de registro de golpes de teclado, la capacidad de controlar la cámara del equipo de la víctima, realizar capturas de pantalla, incluso, grabar llamadas de voz y controlar el micrófono del dispositivo. 

Algunas de las funcionalidades más comunes de los keylogger al momento de recopilar información son: 

  • Registran las pulsaciones del teclado. Esto permite robar contraseñas y conocer la fecha y hora exacta de los accesos.

  • Permiten monitorizar diversas funciones del dispositivo, así como de las cuentas asociadas.

  • Guardan capturas de pantalla.

  • Sacan listas de todos los programas ejecutados.

  • Registran las acciones de copia – pega del portapapeles.

  • Registran todas las páginas web visitadas, con su fecha y hora.

  • Pueden realizar un registro de la localización geográfica en la que se encuentra el dispositivo en cada momento.

  • Permiten enviar la información extraída a dispositivos remotos. 

Protección 

Los keylogger suelen ser difíciles de detectar, en primer lugar, porque están diseñados para pasar desapercibidos y registrar información, ocultos en el sistema, sin provocar problemas perceptibles en el dispositivo; además de que, por lo general, suelen ser parte de programas de malware mucho más complejos. 

No obstante, la mayoría de los keylogger pueden ser detectados con una herramienta escáner, un antivirus y un firewall actualizado; sin embargo, la protección ante cada tipo de registrador de pulsaciones de teclas es diferente. 

Por un lado, aunque suele ser poco probable un ataque con un keylogger de hardware, la defensa principal frente a éste es utilizar verificaciones puntuales en el área USB del dispositivo que se está usando, así como de las diferentes entradas o conexiones. 

Por otro lado, para prevenir un keylogger basado en software (que suelen ser más difíciles de detectar), la instalación y actualización constante de un antivirus constituye una protección muy efectiva. 

La instalación de una herramienta específica anti-keylogger también es una muy buena opción, ya que están diseñadas concretamente para detectar, eliminar y prevenir ataques de estas amenazas. 

Algunas recomendaciones concretas para la protección contra keylogger son: 

  • Utilizar un Firewall: en la mayoría de los casos, el keylogger tiene que transmitir su información al atacante a través de Internet para que cause algún daño. Si esta información debe atravesar un firewall, existe la posibilidad de que este tráfico inusual se detecte y active una alarma. No obstante, es posible que un firewall por sí solo no detenga un keylogger o su malware asociado, sin embargo, su empleo permite controlar los puertos por los que se puede comunicar y los que no.

  • Cambiar las Contraseñas: ayudará a minimizar el daño potencial de un ataque mediante el uso de keylogger. Ante la duda sobre el registro por un keylogger de la información que se teclea, o incluso, como medida de seguridad rutinaria, el cambio frecuente de contraseñas de acceso dificulta la ocurrencia de violaciones de seguridad.

  • Usar Técnicas de Tipificación Engañosa: escribiendo primero, por ejemplo, los últimos caracteres de la contraseña, y luego moviendo el cursor para escribir el resto (el keylogger registrará estos caracteres como si fueran los primeros), y luego activar remplazar el texto mientras se escribe.

  • Instalar un Gestor de Contraseñas: la mayoría de los administradores de contraseñas utilizan la función de autocompletar para proporcionar una contraseña maestra que desbloquea una cuenta específica; otros dividen la contraseña en dos partes, copiándolas por separado en el portapapeles y fusionándolas más tarde en el campo de la contraseña. Los keylogger funcionan copiando las pulsaciones de las teclas o información contenida en el portapapeles, por lo que la mayoría no tendrían éxito en su función si se emplea un gestor de contraseñas.

  • Utilizar la Autenticación de Doble o Triple Factor: se considera extremadamente segura para las credenciales. Al usuario no solo se le pide una contraseña, sino también una autenticación principalmente interactiva con un factor variable (por ejemplo, utilizando un teléfono móvil) combinando algo que sabe (contraseña), con algo que tiene (dispositivo) y/o algo que es (huella dactilar).

  • Actualizar el Sistema Operativo y las Aplicaciones instaladas: los keylogger buscan y aprovechan vulnerabilidades particularmente raras e inéditas (conocidas como exploits de día cero) para replicarse y camuflarse en el sistema operativo no actualizado del dispositivo comprometido.

  • Utilizar una Herramienta anti-keylogger: existen diferentes opciones que facilitan la protección particular contra esta amenaza de seguridad, en donde de forma particular se ponen de manifiesto todas las medidas para contrarrestarla.

  • Realizar una Investigación Forense del dispositivo o Análisis de Logs: en ocasiones una revisión de logs es el primer indicio del uso de un keylogger monitoreando el dispositivo.

  • Realizar Limpieza y Empezar de Cero: cada cierto tiempo, es recomendable formatear completamente el dispositivo terminal, lo que permite hacer limpieza de ciertos programas instalados, algunos de los cuales puede tener vulnerabilidades o ser malware. 

Otras recomendaciones sencillas, pero efectivas, son: 

  • Tener especial cuidado al usar dispositivos de acceso público, sobre todo al teclear contraseñas de acceso.

  • No navegar por sitios web de dudosa legitimidad y evitar acceder a anuncios y otros enlaces pocos fiables.

  • No instalar programas de origen desconocido. 

Por último, aunque no menos importante, es el sentido común. Este tipo de amenazas suelen activarse por errores simples que cometen los usuarios. Es imperativo un comportamiento seguro frente a los riesgos que pueden entrañar las nuevas tecnologías.

¿Te interesó el artículo? Si deseas conocer más, contáctanos.

Contáctenos