Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Keylogger: Qué es, tipos y cómo funciona

El keylogger es una de las ciberamenazas que más daño pueden causar a organizaciones y usuarios particulares. En este artículo explicamos qué es un keylogger, qué tipos existen, cómo funciona un ataque keylogger, cómo detectarlos y evitarlos.

¿Qué es un keylogger?

Un keylogger es una tecnología utilizada para controlar y rastrear la pulsación de cada tecla en el teclado del ordenador o para monitorizar la escritura en smartphones y tabletas.

También llamados registradores de pulsaciones, las características del keylogger y su capacidad para el registro de teclas lo convierten en una herramienta que puede usarse tanto con fines lícitos como con fines maliciosos, siendo este segundo caso por el que son más conocidos, ya que suelen figurar en todas las listas de ciberamenazas y ciberriesgos para organizaciones y usuarios particulares.

Entre sus usos más lícitos y éticos, estos pueden usarse para ayudar a los administradores de sistemas de información a comprender el comportamiento de los empleados y detectar así comportamientos inusuales, que pueden ser indicador de una intrusión en el sistema. También pueden ayudar a los padres a supervisar los métodos de navegación de sus hijos o, nuevamente, pueden ayudar a los agentes del orden que, en caso de accidentes, los informáticos, pueden analizar una serie de datos que permiten rastrear información importante.

Por el contrario, cuando se emplea el keylogger como malware, sus usos más habituales están relacionados con el robo de información confidencial, por ejemplo, información de identificación personal (PII), inicios de sesión y otras credenciales de cuentas de usuario.

tarifas proteccion datos

Tipos de keylogger

Existen diferentes tipos de keylogger, haciendo una primera gran diferenciación en función de dónde estén integrados: los basados en software y los basados en hardware; dentro de estas categorías también encontramos otras diferenciaciones por tipología.

Con hardware

Los keylogger basados en hardware se instalan en los propios dispositivos y podemos distinguir entre:

  • Adaptadores: Los adaptadores se conectan al teclado y su principal ventaja es que se instalan de forma inmediata. Pero también existe un inconveniente y es que pueden detectarse fácilmente si se realiza una revisión detallada.
  • Dispositivos: Los dispositivos se instalan dentro del teclado del ordenador, por lo que es necesario tener habilidad para soldar y acceso directo al teclado. Su ventaja es que no pueden detectarse, salvo que se abra el teclado.

Con software

El keylogger basado en software es un programa espía o «sniffer» instalado en la computadora y capaz de rastrear y almacenar las actividades realizadas con el PC en un archivo de registro, oculto al usuario, por ejemplo, capturando el vídeo, pantallas, correos electrónicos, números de tarjetas de crédito, etc.

El software keylogger a menudo se instala, sin que el usuario lo sepa, a través de gusanos o troyanos recibidos a través de Internet, por eso muchas veces se lo suele llamar virus keylogger (aunque en realidad, no se trate de ese tipo de malware). Entre los keyloggers basados en software encontramos los siguientes:

  • Basados en núcleo: Estos keyloggers se introducen en el nivel del núcleo, por lo que son más difíciles de detectar y de combatir. Rompen el núcleo del sistema operativo y disponen de acceso autorizado al hardware que hace que tengan gran alcance. Un keylogger que utiliza este sistema puede actuar como driver del teclado, para acceder a cualquier información registrada en el teclado mientras que va al sistema operativo.
  • Enganchados: Son keyloggers que registran las pulsaciones del teclado usando funciones ofrecidas por el sistema operativo. Se activa el keylogger por el sistema operativo en el momento en que se presiona una tecla y efectúa el registro.
  • Hipervisor: El keylogger utiliza un programa de malware del hipervisor para anidar detrás del sistema operativo, sin crear ninguna modificación en este. De esta forma, el keylogger actúa casi como una máquina virtual y funciona con independencia del sistema operativo.
  • Basados en Kernel: El programa malicioso se anida directamente en el sistema operativo y obtiene acceso a la cuenta del root, donde se registran las pulsaciones en el teclado. Estos keyloggers a veces se hacen pasar por conductores y son bastante difíciles de detectar. Los escáneres antivirus, para descubrir este malware, deben acceder al root.
  • Basado en form grabbing: Esta clase de keylogger registra formularios en línea y copia los datos de inicio de sesión. Además, también puede acceder al historial del navegador para saber qué páginas se han visitado.
  • Basado en man-in-the-browser: También llamados «inyección de memoria». Estos registradores de teclas se instalan en el navegador y registran las teclas sin que el usuario se dé cuenta. Por ejemplo, pueden recopilar información enviada a través de campos de entrada y la almacenan en los registros internos del navegador.
  • Basado en acceso remoto: Estos keylogger remotos permiten el acceso externo al software malicioso. Las entradas registradas se envían por correo electrónico o se cargan en algún lugar de acceso online. También funcionan en combinación con el hardware correspondiente.

¿Cómo funciona un keylogger?

Los keylogger son programas maliciosos muy discretos, que operan en segundo plano y difíciles de detectar por las víctimas, puesto que no se hacen notar con señales más evidentes, como alto consumo de recursos o ralentización del ordenador.

Por lo tanto, los keylogger funcionar como un spyware, introduciéndose en nuestro equipo camuflados dentro de un programa legítimo o alguna descarga aparentemente inocua; puede emplear, por ejemplo, correos electrónicos de phishing para distribuir archivos adjuntos comprometidos y/o enlaces a sitios web infectados.

Así, el ataque keylogger comienza con la descarga del archivo o aplicación que lo contenga, su instalación y ejecución en el equipo; a partir de ese momento el keylogger comenzará a recopilar información, su principal objetivo es interferir en la cadena de eventos que suceden cuando se presiona una tecla y cuando los datos se muestran en el monitor como resultado de una pulsación de tecla. Cabe señalar que aunque empezaron como registradores de teclas, con el tiempo, esta herramienta ha ido evolucionando y añadiendo funcionalidades, así los keylogger roban información de todo tipo y usando diferentes métodos, siendo capaces de grabar llamadas o controlar el micro del teléfono móvil.

Mientras permanecen ocultos en el ordenador o dispositivo móvil, un keylogger puede llevar a cabo las siguientes funciones:

  • El registro de teclas para robar contraseñas y conocer, además, las horas y días en la que se hacen las conexiones.
  • Monitorizar diversas funciones del ordenador o el dispositivo.
  • Realizar y enviar capturas de pantalla.
  • Crear listas de todos los programas ejecutados.
  • Registrar las acciones de cortar y pegar del portapapeles.
  • Registrar las páginas web visitadas, con su fecha y hora.
  • Registrar la ubicación geográfica.
  • Enviar la información extraída de los dispositivos.

keylogger

¿Por qué son una amenaza los keylogger?

Las funciones que hemos visto en el punto anterior brindan a los piratas informáticos el beneficio de acceder a códigos PIN y números de cuenta, contraseñas para sitios de compras en línea, identificaciones de correo electrónico, credenciales de diferentes tipos de cuentas de usuario, como pueden ser las de una empresa. Si no sabemos que tenemos un keylogger operando en nuestro equipo, todo lo que tecleemos en el teclado quedará «al descubierto» para los cibercriminales.

Esto significa que una vez se hagan con ese tipo de información privada y confidencial, los cibercriminales tendrán acceso a cualquiera de nuestras cuentas y podrán operar desde ella como si fuéramos nosotros. Esto puede poner en riesgo desde el control de nuestras cuentas, pudiendo ser víctimas de suplantación de identidad, pasando por nuestro dinero, hasta la información confidencial de una empresa.

Además, los keyloggers se han utilizado a veces como herramienta de espionaje para comprometer los datos de empresas e incluso de estados.

¿Cómo detectar un keylogger?

Los keylogger se caracterizan por ser discretos y esto hace que a veces sean difíciles de detectar, porque su impacto en el equipo es mucho menor, por ejemplo, no producen ralentizaciones notables. Aunque es cierto que algunas señales que pueden indicar la presencia de un keylogger son notar cierto desfase entre los movimientos del ratón o las pulsaciones en el teclado o un cursor que desaparece intermitentemente.

La mejor herramienta para detectar un keylogger es un antivirus actualizado, este tipo de programa detectará prácticamente cualquier keylogger que trate de alojarse en nuestro ordenador y lo enviará a la cuarentena, de donde podremos eliminarlo muy fácilmente.

Otra opción para comprobar si tenemos un keylogger en el ordenador es recurriendo al administrador de tareas de Windows o el monitor de actividad de Mac. Estas funciones nos permitirán ver qué se está ejecutando en el ordenador en tiempo real, solo tendremos que revisar la lista de procesos y comprobar que no haya ninguno que nos resulte desconocido o sospechoso (si tenéis dudas sobre alguno, podéis buscar su nombre en internet y ver qué hace y si es un archivo malicioso, o pulsar en ellos con el botón derecho y ver en propiedades las firmas digitales; si son legítimos, aparecerá un nombre de firma reconocible, como por ejemplo, Microsoft Windows).

Si encontramos un proceso sospechoso, pulsaremos con el botón derecho del ratón y seleccionaremos finalizar tarea para parar la ejecución. También es recomendable revisar la pestaña de inicio del administrador de tareas, para ver si hay algún programa sospechoso que se inicie con el arranque, para deshabilitarlo y desinstalarlo.

También podemos buscar keyloggers en Aplicaciones y características o el Panel de control y desinstalarlos desde allí. El proceso es similar, si vemos un programa que no nos suene o parezca sospechoso, deberemos eliminarlo del ordenador.

¿Cómo evitar los keylogger?

Ahora que ya sabemos qué es y cómo detectarlos, veamos cómo evitar un keylogger, algo que pasa, necesariamente, por la prevención y la precaución y por aplicar las medidas de seguridad que vamos a describir a continuación:

  • Usar cortafuegos: Los keyloggers deben enviar información de tu equipo a otro destinatario, por lo que un firewall puede ayudar a detectarlo (aunque no es infalible). Windows ya cuenta con un firewall instalado, pero también es posible recurrir a otras soluciones de terceros.
  • Instalar un administrador de contraseñas: Aunque no evitará que se instale un keylogger, el administrador de contraseñas puede reducir el riesgo que suponen al infectar un ordenador. Si bien no son invulnerables, al tener instalado un administrador de contraseñas, existe la posibilidad de que solo pierdas la contraseña segura de un solo uso para una cuenta, en lugar de todas las contraseñas para cada cuenta que posees.
  • Actualizar el sistema y los programas: Ser proactivo en la seguridad del sistema siempre es una buena idea. Una de las partes más importantes de una defensa proactiva es mantener actualizado el sistema. Eso incluye tu sistema operativo, así como las aplicaciones y programas que ejecutas en él. Los keylogger y otros programas maliciosos buscan vulnerabilidades en software obsoleto y pueden aprovecharlos, a veces sin que sepas que algo anda mal.
  • Usa herramientas de seguridad adicionales: Aunque las soluciones de seguridad nativas de los sistemas operativos son cada vez más sofisticadas y eficaces, siempre puedes instalar otras soluciones de seguridad adicionales centradas específicamente en keyloggers, como por ejemplo:
    • SpyShelter Libre (recomendado): Diseño de interfaz fácil de usar y configurar. Protege todos los datos privados de su portapapeles de Windows como resultado de las acciones de copiar y pegar. Estas son algunas de sus características clave:
      • Módulo proactivo AntiNetworkSpy contra troyanos
      • Prevención de piratería de datos del portapapeles
      • Módulo de captura anti-pantalla
      • Método de protección de cámara web que detecta el acceso no autorizado a la cámara web
      • Sistema de seguridad Sound Logger Protection contra registradores de sonido VOIP
      • Módulo de aplicaciones restringidas que controla el acceso de las aplicaciones a los recursos del sistema
    • Zemana Antilogger: No solo detecta los keyloggers, los elimina y los pone en cuarentena. También cifra las pulsaciones de teclas para derrotar aún más a los keyloggers. Proporciona escaneo en tiempo real y permite a los usuarios iniciar escaneos para archivos y carpetas más específicos. Los usuarios también pueden programar análisis profundos del sistema que analizan minuciosamente las PC en busca de keyloggers.
    • Ghostpress: Es un software anti keylogger gratuito que oculta de manera efectiva las pulsaciones de teclado de los keyloggers. Además, es portátil, por lo que puedes ejecutarlo desde un dispositivo USB y permite crear una lista blanca.
    • SE-OPS de SecureEncrypt: Es otra herramienta útil que viene con funciones anti-keylogger entre muchas otras. Está garantizado para proporcionar protección contra ransomware y malware. Sus principales características son:
      • Es capaz de detectar comportamientos inusuales en su sistema y eliminar todas las herramientas maliciosas
      • Detecta, bloquea y elimina todas las amenazas antes de que tengan la oportunidad de infectar el sistema
      • El cifrado de teclado puede evitar cualquier intercepción de pulsaciones de teclas entre el teclado y las aplicaciones
      • Escanea la computadora en busca de todos los registradores de teclas conocidos y desconocidos, y también puede detectar ganchos de teclado que vienen con cada registrador de teclas

Ejemplos de keylogger

A lo largo de los años, han ido surgiendo diferentes keylogger que se han hecho más o menos famosos; a continuación os dejamos tres ejemplos de keyloggers conocidos:

  • Rootkit de Sony: Lo más curioso de este keylogger, es que su origen no está en un grupo cibercriminal, sino en una compañía como es Sony. En 2005, en un intento para evitar las copias ilegales, Sony incluyó un rootkit en sus CD de música, que se instalaba al reproducirlos en el ordenador. Ese rootkit incluía un keylogger cuyo objetivo era rastrear y recopilar datos sobre los hábitos de escucha de música de la gente, datos que luego Sony usaba con fines comerciales. Sony enfrentó varias acciones legales y la pérdida de reputación por el uso de este software.
  • Zeus: Fue uno de los keylogger más famosos de la primera década del 2000 y uno de los más extendidos, ya que afectó a millones de usuarios de todo el planeta. Descubierto en 2007, Zeus fue creado por un grupo cibercriminal y era un keylogger muy potente, con una alta capacidad para registrar y capturar datos. Su principal objetivo fueron las entidades financieras y los datos que más buscaba eran nombres de usuarios, contraseñas y detalles bancarios.
  • HawkEye Reborn: Más reciente, de 2019, es este keylogger que se utilizó sobre todo en campañas de phishing para el robo de información confidencial, especialmente nombres de usuario y contraseñas, tanto de usuarios particulares como empresas y que estuvo muy extendido, afectando a entidades y personas de todo el mundo.

Finalmente, si has detectado un keylogger en tu equipo y lo has eliminado, no te olvides de cambiar todas tus contraseñas. Así mismo, es recomendable cambiar las contraseñas cada cierto tiempo.