Keyloggers

¿Qué es un Keylogger?

Un Keylogger Malware es un tipo de Spyware que monitoriza y registra las pulsaciones de teclados táctiles o teclas de de ordenadores con el objetivo de detectar patrones y contraseñas como por ejemplo claves de banco. Este registro se realiza en segundo plano sin que el usuario se de cuenta de que esté siendo espiado.

Si quieres conocer que otros Malwares, puedes leer nuestro contenido Tipos de Malware: Una Guía Completa para Identificar y Prevenir Amenazas Digitales

Es importante dejar claro que no todos los registros de pulsaciones y teclas, es decir no todos los Keyloggers son maliciosos o son Malwares, existen algunos con objetivos legítimos, aunque por ley es obligatorio y necesario el aviso y el consentimiento. Por ejemplo se pueden utilizar en los siguientes casos:

  • Monitoreo de Productividad: Empresas y Call Centers lo pueden utilizar para evaluar la eficiencia y asegurar el cumplimiento de políticas.
  • Desarrollo de Software y soporte técnico: Para detectar errores y mejorar la interfaz de usuario.
  • Ciberseguridad y Auditoría: Se pueden utilizar los Keyloggers para detectar accesos no autorizados y realizar auditorías de seguridad en la que ver patrones de los ciberdelincuentes.

Tipos de Keyloggers

Existen dos tipos principales de keyloggers: software y hardware. A continuación, se explican estos tipos y con sus subcategorías más comunes.

Keyloggers de Software

Son Keyloggers que se instalan en el dispositivo objetivo y registran las pulsaciones de teclas. Aquí están los subtipos más comunes:

  • Keyloggers Basados en Kernel: Operan a nivel del núcleo del sistema operativo interceptando todas las pulsaciones de teclas directamente desde el kernel, lo que les permite capturar datos antes de que lleguen a las aplicaciones. Este tipo de Keyloggers sonmuy difíciles de detectar porque funcionan a un nivel muy bajo del sistema operativo. Su instalación suele ser más compleja ya que requieren privilegios elevados para instalarse, es decir, de usuarios con perfil de administrador o super usuario.
  • Keyloggers Basados en API: Utilizan las API (interfaces de programación de aplicaciones) del sistema operativo.Es decir, estos Keyloggers se comunican a las funciones de API del resto de programas o procesos que manejan la entrada del teclado para capturar las pulsaciones. Estos registros son más fáciles de detectar y bloquear con software antivirus o anti-spyware.
  • Keyloggers Basados en Formularios: Orientados a capturar datos específicos ingresados en los formularios web.En este caso el Keylogger se ejecuta como un script dentro del navegador web, registrando las pulsaciones de teclas cuando los usuarios llenan formularios en línea.Comúnmente se utilizan en ataques de phishing para robar información de inicio de sesión y otros datos sensibles o en webs y navegadores con propósitos legítimos pero infectados por este Malware.

Keyloggers de Hardware

Los Keyloggers de Hardware son dispositivos físicos que interceptan y registran las pulsaciones de teclas directamente desde el teclado antes de que lleguen al ordenador. Aquí están los subtipos más comunes:

  • Keyloggers de Conexión USB/PS2: Dispositivos que se conectan entre el teclado y el puerto del ordenador.Se insertan en el cable del teclado, interceptando y registrando las pulsaciones de teclas que pasan a través del puerto USB o PS2. Sonfácil de instalar y usar, difíciles de detectar sin una inspección física del hardware.
  • Keyloggers Integrados en Teclados: LosKeyloggers se integran dentro del teclado mismo.El hardware de registro está escondido dentro del cuerpo del teclado, capturando todas las pulsaciones de teclas internamente. Esto hace que sean indetectables desde el exterior y muy difíciles de descubrir a menos que se desmonte el teclado.
  • Keyloggers Inalámbricos: Capturan las señales enviadas por teclados inalámbricos interceptando las señales de radiofrecuencia (RF) entre el teclado inalámbrico y su receptor conectado al ordenador.Para que funcionen requieren proximidad.
  • Keyloggers en Microcontroladores: Pequeños dispositivos que se pueden insertar dentro del cable del teclado que registran las pulsaciones de teclas pasando a través del cable del teclado.Muy pequeños y difíciles de detectar, pero requieren acceso físico para instalación.

¿Cómo funcionan los Keyloggers?

Los keyloggers, tanto de software como de hardware, tienen como objetivo principal capturar las pulsaciones de teclado de un usuario sin embargo la forma de gestionar, almacenar y recuperar los datos es diferente:

Cómo funcionan los Keyloggers de Software

  1. Captura de Datos:

Los keyloggers de software se ejecutan como un proceso en segundo plano en el sistema operativo. Pueden ser instalados de manera oculta mediante técnicas como phishing, descargas maliciosas o exploit de vulnerabilidades del sistema.

Su funcionamiento consiste en la monitorización y registro de todas las pulsaciones de teclado. Esto incluye también las teclas especiales como ‘Enter’ y ‘Backspace’, lo que permite reconstruir todo el texto introducido por el usuario.

  1. Almacenamiento de Datos:

Los datos capturados se suelen almacenar en archivos ocultos en el propio sistema infectado. Estos archivos pueden estar encriptados para evitar detección.

Las pulsaciones estánorganizadas en el archivo por aplicación o sitio web para facilitar la extracción de credenciales y otra información sensible.

  1. Transmisión de Datos:

Los keyloggers suelen enviar los datos almacenados a un servidor remoto controlado por el atacante a intervalos regulares. Este envío puede realizarse a través de correo electrónico, FTP o directamente a través de conexiones HTTP/HTTPS.

En ocasiones para no ser detectados y bloqueados por los firewalls utilizan métodos de transmisión de datos a través de conexiones cifradas.

Cómo funcionan los Keyloggers de Hardware

La forma de captura de datos es bastante similar al de sofware, la diferencia es en el modo de almacenamiento y recuperación de las pulsaciones.

  • Almacenamiento de Datos: Los Keyloggers de Hardware suelen almacenar las pulsaciones en una memoria interna.El contenido almacenado suele ser igual que en el de sofware organizando la información por webs o apps y todas las pulsaciones asociadas.
  • Transmisión y Recuperación de Datos: Generalmente, para recuperar los datos se requiere acceso físico al dispositivo para extraer la memoria interna que contiene la información. Algunos dispositivos más avanzados pueden estar equipados con conectividad inalámbrica (Wi-Fi o Bluetooth) para enviar los datos capturados sin necesidad de ser removidos físicamente.

Keyloggers para Dispositivos Móviles: Android e iOS

Los dispositivo móviles no se libran de este tipo de Malwares y los keyloggers en dispositivos móviles, tanto en Android como en iOS, son muy comunes, principalmente con otro tipo de usos (control parental) pero también con intenciones ilícitas como ciberdelincuencia o espionaje.

Cómo se Instalan los Keyloggers en Dispositivos Móviles

  1. Aplicaciones Maliciosas y Software: En dispositivos Android, los keyloggers a menudo se ocultan dentro de aplicaciones aparentemente inofensivas. Los usuarios pueden descargar una app de fuentes no oficiales que luego instala un keylogger en segundo plano. Tambien existen aplicaciones con este propósito como EyeZy, uMobix y Cocospy se comercializan para control parental pero pueden ser usadas maliciosamente si se instalan sin el consentimiento del usuario​.
  2. Acceso Físico: Tanto en Android como en iOS, los keyloggers pueden instalarse si alguien tiene acceso físico al dispositivo. Esto puede implicar la instalación directa de la app o incluso la manipulación del hardware.
  3. Phishing y Ingeniería Social: Los usuarios pueden ser engañados para instalar keyloggers a través de ataques de phishing, donde se les dirige a descargar una app que incluye un keylogger de forma encubierta.

Cómo detectar los Keyloggers en tu dispositivo

La detección de los keyloggers es compleja. Los antivirus y firewalls suelen ser los encargados de evitar las infecciones, transmisiones de datos maliciosas y detección. El problema es que muchos keyloggers trabajan en segundo plano, camuflados y ocultos, pasando desapercibidos incluso haciéndose pasar por ejecuciones del propio sistema. Además, este tipo de malware no suele mostrar otros síntomas de infección; los dispositivos no suelen ir más lento ni tener comportamientos extraños.

Para detectar la presencia de un keylogger en tu dispositivo, es necesario seguir un enfoque meticuloso y utilizar varias estrategias:

  1. Utilizar Software de Seguridad:
    • Antivirus y Antimalware: Los programas antivirus y antimalware modernos están diseñados para detectar y eliminar keyloggers. Estos programas escanean el sistema en busca de comportamientos sospechosos y patrones conocidos de malware.
    • Firewalls: Los firewalls pueden monitorear y bloquear las conexiones no autorizadas, impidiendo que los keyloggers transmitan datos capturados a servidores remotos. La detección de intentos de comunicación inusuales puede indicar la presencia de un keylogger.
  2. Monitoreo de Procesos Activos:
    • Administrador de Tareas: Revisa el Administrador de Tareas en Windows o el Monitor de Actividad en macOS para identificar procesos desconocidos o sospechosos. Si un proceso se ejecuta constantemente o se reinicia después de ser cerrado, podría ser un indicio de un keylogger.
    • Herramientas Especializadas: Utiliza herramientas como Process Explorer para obtener detalles adicionales sobre los procesos en ejecución. Esto puede ayudar a identificar programas ocultos que se ejecutan en segundo plano.
  3. Revisar Archivos y Directorios:
    • Archivos Ocultos: Los keyloggers a menudo almacenan datos en archivos ocultos o en ubicaciones no convencionales. Realiza una búsqueda detallada de archivos recientes y revisa directorios ocultos para detectar cualquier actividad inusual.
    • Verificar Permisos de Aplicaciones: Revisa los permisos otorgados a las aplicaciones en tu dispositivo. Las aplicaciones con permisos excesivos para registrar teclas o acceder a datos sensibles pueden ser sospechosas.
  4. Análisis de Redes:
    • Monitoreo de Tráfico: Utiliza herramientas de análisis de red para monitorear el tráfico saliente. Las conexiones a direcciones IP desconocidas o el envío de grandes cantidades de datos pueden ser signos de que un keylogger está transmitiendo información.
    • Alertas de Firewall: Configura alertas en tu firewall para detectar y notificar cualquier intento de conexión no autorizado.
  5. Consultoría Profesional:
    • Equipos de Ciberseguridad: Si sospechas que tu dispositivo está comprometido, es recomendable buscar ayuda profesional. Los expertos en ciberseguridad pueden realizar un análisis exhaustivo y garantizar la eliminación completa del keylogger. En muchos casos, los intentos de eliminación manual pueden no ser efectivos, ya que el malware puede reiniciar los procesos eliminados.
Volver al glosario

¿Hablamos?

Si necesitas información acerca de nuestros servicios o quieres conocernos en persona, por favor, no dudes en ponerte en contacto con nosotros. Primera visita al cliente sin coste ni compromiso. Estaremos encantados de poder ayudarte.

Contacta con ISN