Un «keylogger» es un tipo de tecnología de vigilancia que se utiliza para monitorear y registrar cada pulsación de tecla en un dispositivo específico, como una computadora o un teléfono móvil inteligente. Puede estar basado en hardware o software. Este último tipo también se conoce como software de monitoreo del sistema o software de captura de teclado.
No es una estafa, porque no engaña a la víctima. Tampoco es una técnica nueva: iProfesional informó sobre este método de captura de información en esta nota en 2005.
Los keyloggers suelen ser utilizados como herramienta de espionaje por los criminales digitales para robar información de identificación personal, credenciales de inicio de sesión, como los de tu cuenta bancaria y datos empresariales confidenciales. Dicho esto, algunos usos de los keyloggers podrían considerarse éticos o apropiados en distintos grados. Por ejemplo, los keyloggers también pueden utilizarse por los siguientes motivos:
- Por parte de los empleadores para observar las actividades informáticas de los empleados.
- Por los padres para supervisar el uso de Internet de sus hijos.
- Por los propietarios de dispositivos para rastrear posible actividad no autorizada en sus equipos.
- Por parte de los organismos encargados de hacer cumplir la ley para analizar incidentes relacionados con el uso de computadoras.
Tipos de keyloggers
Hay dos tipos principales de keyloggers disponibles.
Keyloggers basados en hardware
Un keylogger basado en hardware es un pequeño dispositivo que sirve como conector entre el teclado y la computadora. El dispositivo está diseñado para parecerse a un conector PS/2 de teclado común, parte del cableado de la computadora o un adaptador USB, lo que hace que sea relativamente fácil para alguien que quiera monitorear el comportamiento de un usuario ocultar el dispositivo.
Keyloggers basados en software
Un programa de software keylogging no requiere acceso físico a la computadora del usuario para su instalación. Puede ser descargado intencionalmente por alguien que quiere monitorear la actividad en una PC en particular, o puede ser malware descargado involuntariamente por el usuario del teclado y su dispositivo, y luego ejecutado como parte de un rootkit o troyano de administración remota.
De cualquier manera, el software keylogging permite a un delincuente o intruso digital ver las pulsaciones de teclas del usuario y luego usar este conocimiento para acceder y comprometer el dispositivo.
Existen dos tipos principales de keyloggers de software:
- Los keyloggers en modo usuario utilizan una interfaz de programación de aplicaciones (API) de Windows para interceptar los movimientos del teclado y del ratón. También se pueden capturar las funciones API GetAsyncKeyState o GetKeyState. Estos keyloggers requieren que el atacante controle activamente cada pulsación de tecla.
- Los keyloggers en modo kernel son un método de keylogger de software más potente y complejo. Funcionan con privilegios más altos y pueden ser más difíciles de localizar en un sistema. Además, pueden modificar el sistema interno de Windows a través del kernel.
Algunos programas keyloggers pueden usar las API del teclado para ejecutar otra aplicación, inyectar scripts maliciosos o inyectar memoria.
¿Cómo funcionan los keyloggers?
Un keylogger de hardware puede venir en forma de un módulo instalado dentro del propio teclado. Cuando el usuario escribe en el teclado, el keylogger recopila cada pulsación de tecla y la guarda como texto almacenado en su propio disco duro, que puede tener una capacidad de memoria de hasta varios gigabytes.
La persona que instala el keylogger debe retirar físicamente el dispositivo para acceder a la información recopilada. También existen sniffers de keylogger inalámbricos que pueden interceptar y descifrar paquetes de datos transferidos entre un teclado inalámbrico y su receptor.
Un keylogger de software común consta de dos archivos que se instalan en el mismo directorio: un archivo de biblioteca de vínculos dinámicos que realiza la grabación y un archivo ejecutable que instala el archivo DLL y lo activa. El programa keylogger registra cada pulsación de tecla que el usuario escribe y periódicamente sube la información a Internet, donde el hacker puede acceder a ella.
Algunos programas keylogger también pueden incluir funcionalidad para registrar datos del usuario además de las pulsaciones de teclas, como capturar cualquier cosa que se haya copiado al portapapeles y tomar capturas de pantalla de la pantalla del usuario o de una sola aplicación.
Dado que el software keylogger registra cada pulsación de tecla de un usuario, puede capturar una gran cantidad de información, como información de identificación personal, credenciales de inicio de sesión, correos electrónicos, información bancaria y datos empresariales confidenciales.
Cómo detectar un keylogger
Un anti-keylogger es un programa diseñado específicamente para escanear en busca de keyloggers basados en software. Estos programas funcionan comparando los archivos de una computadora con una base de firmas de keyloggers o una lista de verificación de atributos de keyloggers comunes.
El uso de software de seguridad como un anti-keylogger puede ser más efectivo que un programa antivirus o antispyware. Este último podría identificar incorrectamente un keylogger como un programa legítimo en lugar de spyware .
Dicho esto, una aplicación antispyware podría localizar y desactivar el software keylogger con menos privilegios que los que tiene. El uso de un monitor de red garantizará que el usuario reciba una notificación cada vez que una aplicación intente establecer una conexión de red, lo que le dará al equipo de seguridad la oportunidad de detener cualquier posible actividad de keylogger.
Comprobar el Administrador de tareas del sistema también puede ayudar a detectar un keylogger. Sin embargo, dado que los keyloggers pueden manipular el núcleo del sistema operativo, examinar el Administrador de tareas no es necesariamente suficiente para detectar un keylogger, por lo que es mejor utilizar un anti-keylogger.
Protección contra keyloggers
Si bien la inspección visual puede identificar keyloggers de hardware, su implementación a gran escala no es práctica y requiere mucho tiempo. En cambio, el uso de un firewall puede brindar una mejor protección al descubrir y evitar la transferencia de información de pulsaciones de teclas desde el teclado de la víctima al atacante.
Los administradores de contraseñas que completan automáticamente los campos de nombre de usuario y contraseña pueden ayudar a proteger contra los keyloggers. El software de monitoreo y el software antivirus también pueden realizar un seguimiento del estado de un sistema y ayudar a prevenir los keyloggers.
Entre las precauciones adicionales se incluyen el uso de un token de seguridad como parte de la autenticación de dos factores para garantizar que un atacante no pueda usar una contraseña robada únicamente para iniciar sesión en la cuenta de un usuario, o el uso de un teclado en pantalla y un software de conversión de voz a texto para evitar el uso de un teclado físico. La inclusión de aplicaciones en listas blancas también se puede utilizar para permitir que solo se ejecuten en un sistema programas autorizados y documentados.