El espionaje en Internet, el robo de información o la suplantación de la identidad son delitos reconocidos y perseguidos por la ley, y de los que la mayoría de los usuarios intentamos librarnos instalando en nuestros equipos antivirus y barreras de seguridad.
Hoy en día, los malware más avanzados están formados por diferentes componentes, cada uno de ellos con una tarea diferente. Estos programas se parecen más a una navaja suiza que a un simple cuchillo, proporcionando al cibercriminal la capacidad de realizar múltiples acciones en el equipo infectado. Uno de estos elementos es el keylogger, una herramienta específica diseñada para registrar las pulsaciones en el teclado de un equipo. Gracias a este programa, los delincuentes pueden robar un gran volumen de información confidencial sin que la víctima se percate de ello.
En estos casos, a partir del uso de un keylogger para espiar las conversaciones, el atacante usará el programa para robar información sensible, como credenciales para el acceso a la banca en línea o a otras cuentas, conversaciones de chat, mensajes de correos, entre otro tipo de información personal que el usuario haya ingresado utilizando el dispositivo comprometido.
Un keylogger, también conocido como keystroke logging, puede ser un software o dispositivo que se encarga de registrar y almacenar todas las pulsaciones del teclado que un usuario realiza en una computadora o dispositivo móvil a medida que escribe. La información obtenida por un keylogger puede ser almacenada en un archivo de texto o en la memoria de la computadora, para luego ser enviada hacia el servidor de un atacante de diferentes maneras.
Este malware se sitúa entre el teclado y el sistema operativo para interceptar y registrar la información sin que el usuario lo note. Además, un keylogger almacena los datos de forma local en el ordenador infectado y, en caso de que forme parte de un ataque mayor, permite que el atacante tenga acceso remoto al equipo de la víctima y registre la información en otro equipo. Aunque el término keylogger se usa, normalmente, para nombrar este tipo de herramienta maliciosas, existen también herramientas de vigilancia legítimas que usan las autoridades policiales y que funcionan de la misma forma que los keyloggers.
Los keyloggers de software pueden ser subcategorizados en algunas de las siguientes categorías:
- Kernel: este tipo de keyloggers residen a nivel del kernel de la computadora, escondidos dentro del sistema operativo, haciéndolos más difícil de ser detectados; en especial cuando hablamos de aplicaciones que funcionan a nivel usuario en la computadora.
- API: son aquellos que utilizan funciones de las API de Windows para registrar toda la actividad realizada sobre el teclado.
- Javascript: En este tipo de keyloggers se inyecta código javascript sobre una página web, por ejemplo, mediante un tipo de ataque conocido como Cross-Site Scripting (XSS), y puede estar a la escucha de eventos, ya sea mediante la función addEventListener () o también utilizando “document. onkeypress”, entre otros.
- Inyección en Memoria: estos modifican las tablas de memoria que están vinculadas con las llamadas a funciones del sistema y los navegadores de Internet. Al hacer este “arreglo” o inyección directa sobre la memoria, el programa podría evadir el control de cuentas de usuario de Windows (Windows UAC).
Los keyloggers con hardware son menos habituales y más difíciles de instalar en un equipo. Los keylogger basados en hardware no dependen de ningún software instalado sobre el sistema operativo para ejecutarse, ya que están a nivel hardware en la máquina, algunas subcategorías de estos pueden ser:
- Keylogger firmware: la BIOS de la computadora puede ser modificada para registrar los eventos mientras son procesados. El software para cargar en la BIOS debe ser creado especialmente para el hardware sobre el cual va a ejecutarse.
- Keyboard hardware: es un dispositivo que se conecta entre el teclado y algún puerto de entrada en la computadora para registrar los eventos.
- Wireless keyboard sniffers: obtiene y guarda los paquetes que son enviados entre el teclado y el receptor. Es posible que la información de los paquetes vaya cifrada por motivos de seguridad.
Los keyloggers han ido variando a lo largo del tiempo, sumando a su a funcionalidad básica de las pulsaciones de teclado la capacidad de controlar la cámara del equipo de la víctima, realizar capturas de pantalla, obtener la información del clipboard o portapapeles (utilidad que permite almacenar temporalmente en la memoria RAM pasajes de texto cuando utilizamos las funciones de copiar y pegar), ganar persistencia en el equipo, entre otras opciones. Algunos keyloggers también cuentan con la capacidad de grabar las llamadas de voz y controlar el micrófono del dispositivo.
A continuación, se puede ver un ejemplo de un keylogger de software guardando la información en un archivo de texto.
Los keyloggers son comúnmente utilizados por los cibercriminales para obtener credenciales de cuentas validas, como las del correo electrónico, la de la cuenta bancaria, o los datos de la tarjeta de crédito, para luego realizar otro tipo de ataques o acciones fraudulentas.
A su vez, se han detectado a distintos malwares, como Emotet, Trickbot o Zbot (Zeus), así como otros troyanos bancarios que apuntan principalmente a América Latina, como Mekotio, por nombrar alguno, o incluso amenazas más sofisticadas operadas por grupos de APT, que incluyen dentro de su arsenal malicioso el uso de keyloggers. Es decir que no utilizan el keylogger como su función principal, sino como un complemento más para aumentar sus probabilidades de éxito.
Si bien es cierto que la actividad que realiza un keylogger es maliciosa y atenta contra la privacidad de los individuos, existen usos legítimos que son permitidos en algunos países (debido a la falta de una ley que los prohíba). Por ejemplo, para monitorear la exposición de nuestros hijos en Internet o una empresa para realizar un seguimiento de sus empleados.
Lo cierto es que, si no se tiene el consentimiento de la persona, esto puede terminar siendo una violación a la privacidad que, dependiendo de las leyes que se apliquen en cada país, podría derivar en un serio problema legal.
Un keylogger se caracteriza, entre tantas cosas, por ocultarse de manera efectiva dentro del dispositivo de la víctima, lo cual puede dificultar su detección. Incluso pueden reinstalarse en caso ser eliminados. Pero esto no significa que no puedan detectarse y eliminarse de manera definitiva. Por ende, a continuación, enumeramos algunas recomendaciones para estar protegidos contra este tipo de malware:
- Utilizar y mantener actualizada una solución de antivirus.
- Utilizar algún gestor de contraseñas seguras como KeePass o ESET Smart Security Premium para versiones hogareñas, evitando escribir la contraseña en los sitios a los que se quiere ingresar.
- Implementar el doble factor de autenticación.
- Solo instalar programas provenientes de fuentes confiables.
- Bloquear la máquina cuando no se esté usando para evitar que otra persona quiera instalar un keylogger en el mismo.
Es realmente difícil detectar un keylogger ya que, normalmente, no se suelen comportar como otros programas maliciosos. No buscan información de valor para luego enviarla a un servidor de comando y control. Tampoco destruyen información del equipo como hacen otros programas maliciosos. En su lugar, los keyloggers están diseñados para permanecer ocultos y pasar desapercibidos. Los productos antimalware pueden detectar y eliminar algunos tipos de keyloggers. Sin embargo, aquellos keylogger que hayan sido creados para un objetivo en concreto, no se suelen reconocer tan fácilmente. Si un usuario sospecha que su equipo está infectado con un keylogger, existe una serie de técnicas que le pueden ayudar a sortear dicho malware: por ejemplo, arrancando el equipo desde un CD o USB o usando un teclado virtual, el cual evita que el malware reciba las pulsaciones del teclado.
Referencias
Tavella Fernando, Qué es un keylogger: una herramienta para espiar, welivesecurity.com 2021, recuperado: https://www.welivesecurity.com/la-es/2021/03/04/que-es-keylogger-herramienta-para-espiar/
Malenkovich Serge, ¿Qué es un keylogger?, latam.kaspersky.com, recuperado: https://latam.kaspersky.com/blog/que-es-un-keylogger-2/453/
