Keyloggers

Un keylogger es un software o hardware que puede interceptar y guardar las pulsaciones realizadas en el teclado de un equipo que haya sido infectado. Este malware se sitúa entre el teclado y el sistema operativo para interceptar y registrar la información sin que el usuario lo note. Además, un keylogger almacena los datos de forma local en el ordenador infectado y, en caso de que forme parte de un ataque mayor, permite que el atacante tenga acceso remoto al equipo de la víctima y registre la información en otro equipo. Aunque el término keylogger se usa, normalmente, para nombrar este tipo de herramienta maliciosas, existen también herramientas de vigilancia legítimas que usan las autoridades policiales y que funcionan de la misma forma que los keyloggers.

Variantes de Keylogger

Aunque existe un amplio abanico de variedades de keyloggers, las dos categorías principales son keyloggers con software y keyloggers con hardware. El más utilizado es el keylogger con software, el cual forma parte de otros malware como troyanos o rootkits. Éste es el más sencillo de instalar dentro de un equipo, porque no se necesita acceder a la máquina físicamente. Otro tipo de keylogger con software tiene la función de imitar una API del sistema operativo del equipo infectado, permitiendo al keylogger guardar cada pulsación que se haga.

Los keyloggers con hardware son menos habituales y más difíciles de instalar en un equipo. Esta variedad necesita que el criminal tenga acceso físico al ordenador, durante el proceso de fabricación o durante su uso. Otros keyloggers se pueden instalar a través de un USB o mediante un conector falso que una el teclado con el ordenador. Los keylogger con hardware son más flexibles para los cybercriminales, ya que son independientes del sistema operativo.

¿Cómo infecta al equipo?

Los keylogger con software suelen formar parte de malware mayores. Se suelen infectar los equipos a través de una web maliciosa, la cual ataca lo vulnerable del equipo e instala el malware. Otro método de instalación es a través de la descarga de una aplicación legítima, atacando el canal de descarga o insertando el malware en dicha app. Los keyloggers con hardware, por el contrario, necesitan que el atacante acceda físicamente al ordenador.

Eliminación

Es realmente difícil detectar un keylogger ya que, normalmente, no se suelen comportar como otros programas maliciosos. No buscan información de valor para luego enviarla a un servidor de comando y control. Tampoco destruyen información del equipo como hacen otros programas maliciosos. En su lugar, los keyloggers están diseñados para permanecer ocultos y pasar desapercibidos. Los productos antimalware pueden detectar y eliminar algunos tipos de keyloggers. Sin embargo, aquellos keylogger que hayan sido creados para un objetivo en concreto, no se suelen reconocer tan fácilmente. Si un usuario sospecha que su equipo está infectado con un keylogger, existe una serie de técnicas que le pueden ayudar a sortear dicho malware: por ejemplo, arrancando el equipo desde un CD o USB o usando un teclado virtual, el cual evita que el malware reciba las pulsaciones del teclado.

Funcionamiento

El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software:

Keylogger con Hardware

Adaptadores en línea que se intercalan en la conexión del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada.

Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado.

Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque específicamente.

Keylogger con software

Contrariamente a las creencias populares, el código de un keylogger por software es simple de escribir, con un conocimiento básico de la API proporcionada por el sistema operativo objetivo. Los keyloggers de software se dividen en:

Basado en núcleo: este método es el más difícil de escribir, y también de combatir. Tales keyloggers residen en el nivel del núcleo y son así prácticamente invisibles. Derriban el núcleo del sistema operativo y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un keylogger que usa este método puede actuar como driver del teclado por ejemplo, y accede así a cualquier información registrada en el teclado mientras que va al sistema operativo.

Enganchados: estos keyloggers registran las pulsaciones de las teclas del teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo activa el keylogger en cualquier momento en que se presione una tecla, y realiza el registro.

Métodos creativos: aquí el programador utiliza funciones como GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles de escribir, pero como requieren la revisión el estado de cada tecla varias veces por segundo, pueden causar un aumento sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones del teclado.

Protección

En algunas computadoras podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrará cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador.

Otro signo de que un keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas.

Anti-spyware

Los programas Anti-spyware pueden detectar diversos keyloggers y limpiarlos. Vendedores responsables de supervisar la detección del software apoyan la detección de keyloggers, así previniendo el abuso del software.

Firewall

Habilitar un cortafuegos o firewall puede salvar el sistema del usuario no solo del ataque de keyloggers, sino que también puede prevenir la descarga de archivos sospechosos, troyanos, virus, y otros tipos de malware.

Monitores de red

Los monitores de red (llamados también cortafuegos inversos) se pueden utilizar para alertar al usuario cuando el keylogger use una conexión de red. Esto da al usuario la posibilidad de evitar que el keylogger envíe la información obtenida a terceros.

Software anti-keylogging

El software para la detección de keyloggers está también disponible. Este tipo de software graba una lista de todos los keyloggers conocidos. Los usuarios legítimos del PC pueden entonces hacer, periódicamente, una exploración de esta lista, y el software busca los artículos de la lista en el disco duro. Una desventaja de este procedimiento es que protege solamente contra los keyloggers listados, siendo vulnerable a los keyloggers desconocidos o relativamente nuevos.