¿Cómo sé si tengo un keylogger?

Difícil de detectar manualmente. Los síntomas pueden incluir uso inusual de la CPU, tráfico de red inexplicable y alertas de antivirus. La comprobación fiable es ejecutar análisis EDR o antimalware modernos. Si tiene sospechas importantes, la respuesta definitiva es reinstalar el sistema operativo desde un medio limpio y conocido.

¿Una VPN protege contra los keyloggers?

No. Los keyloggers operan en su dispositivo antes de que el tráfico de red lo abandone. Una VPN cifra lo que pasa por el cable; no puede ayudar cuando el software malicioso ya está dentro de su computadora.

¿Pueden los administradores de contraseñas derrotar a los keyloggers?

Parcialmente. El autocompletar evita escribir, por lo que el registrador de teclas no captura la contraseña. Pero tu contraseña maestra todavía está escrita; Si un registrador de pulsaciones consigue eso, la bóveda del administrador se ve comprometida. La clave de hardware 2FA en el administrador de contraseñas anula esto.

¿Siguen siendo los registradores de pulsaciones de teclas por hardware una amenaza real?

Hace menos de dos décadas porque la mayoría de la gente trabaja en portátiles donde los puertos USB son visibles. Mayor preocupación por las estaciones de trabajo de escritorio en oficinas compartidas y por objetivos de alto riesgo. La detección es una inspección física.

¿Cuánto tiempo suelen pasar desapercibidos los keyloggers?

Semanas a meses para los bien diseñados. Los registradores de pulsaciones de teclas de productos básicos quedan atrapados rápidamente por los antivirus basados en firmas; Las variantes personalizadas utilizadas en ataques dirigidos evaden la detección por más tiempo. El tiempo medio de permanencia se alinea con la detección de infracciones más amplia: alrededor de 80 días según informes recientes.

Keyloggers explicados: software y hardware que capturan cada pulsación de tecla

Un registrador de teclas registra lo que usted escribe (contraseñas, mensajes, números de tarjetas de crédito, consultas de búsqueda) y lo reenvía a quien lo instaló. Vienen como malware que se ejecuta en su computadora, como dispositivos de seguridad conectados al teclado y como software legítimo de monitoreo parental. Comprender las variantes explica tanto la amenaza como los límites de lo que pueden hacer otras defensas.

El cuerpo completo del artículo se proporciona en inglés a continuación.

A keylogger (registrador de pulsaciones de teclas) es cualquier software o hardware que captura las pulsaciones de teclas en un dispositivo. Han sido una de las formas más antiguas y confiables de robo de credenciales, y han sobrevivido como categoría incluso cuando el panorama más amplio del malware ha cambiado dramáticamente.

Las categorías

Registradores de teclas de software: programas que se ejecutan en el sistema operativo y que interceptan la entrada del teclado a través de ganchos del sistema operativo. Más frecuente. Las variantes modernas se integran con una funcionalidad más amplia de spyware/RAT (troyano de acceso remoto).
Registradores de teclas a nivel de kernel: funcionan a nivel del kernel del sistema operativo, son más difíciles de detectar y requieren privilegios elevados para su instalación. Se utiliza en malware de nivel nacional.
Registradores de teclas a nivel de hipervisor: se ejecuta debajo del sistema operativo en un hipervisor. Teórico para malware general, utilizado en investigación avanzada y (supuestamente) en algunas operaciones de inteligencia.
Registradores de teclas de hardware: dispositivos físicos que se encuentran entre el teclado y la computadora. Existen versiones USB y PS/2. Son indetectables solo con el software: el sistema operativo ve un teclado normal.
Registradores de teclas acústicos/magnéticos: los investigadores han demostrado la recuperación de pulsaciones de teclas al escribir sonidos, emisiones electromagnéticas e incluso lecturas del acelerómetro de teléfonos inteligentes cerca de un teclado. Menos común pero documentado.
Browser-based/form-grabbers: extensiones de navegador maliciosas o JavaScript que capturan entradas de formularios web. A menudo se combina con botnets de robo de credenciales.

Cómo se instalan los registradores de teclas de software

Archivos adjuntos de phishing: macros de Office, archivos PDF maliciosos, ejecutables disfrazados de documentos
Incluidos con descargas de software crackeado
Descargas no autorizadas de sitios web comprometidos (raro ahora gracias a la zona de pruebas del navegador)
Extensiones maliciosas del navegador
Caídas de USB: dejando USB infectados para que las víctimas los conecten
Instalación interna: acceso físico por parte de alguien con intención

Lo que capturan los keyloggers modernos

La categoría ha evolucionado más allá de lo simple Pulsaciones de teclas:

Pulsaciones de teclas (la característica original)
Contenido del portapapeles
Capturas de pantalla a intervalos o eventos activados
Datos de autocompletar del navegador
Credenciales almacenadas en administradores de contraseñas del navegador (si el malware tiene nivel de usuario) acceso)
Acceso a cámara web y micrófono
Exploración y exfiltración del sistema de archivos
Interacciones de aplicaciones bancarias y contraseñas de un solo uso a medida que se ingresan

Lo que se llama un "registrador de teclas" en la información moderna sobre amenazas es a menudo un software espía más amplio platform.

Registradores de teclas de hardware en detalle

Un registrador de teclas USB parece un pequeño extensor USB. El teclado se conecta a un lado; el otro lado se conecta a la computadora. En su interior hay un pequeño microcontrolador y una memoria flash. Cada pulsación de tecla que pasa se registra. Para recuperar los datos, el atacante regresa y conecta el dispositivo a un puerto USB para descargarlos; a menudo, el registrador de teclas actúa como una unidad extraíble cuando se accede a él con una combinación de teclas específica.

Los registradores de teclas de hardware no son detectables por el software. Las defensas son físicas: observe dispositivos desconocidos detrás de su computadora, busque extensores USB inusuales, implemente cubiertas de puertos USB para estaciones de trabajo sensibles.

Lo que defiende contra los keyloggers

Seguridad de punto final (EDR). EDR moderno detecta el comportamiento de los keyloggers (enganches de teclado, inyección de procesos, filtración de datos sospechosos) independientemente de la firma específica.
Escáneres antimalware. Captura familias conocidas de keyloggers. Menos efectivo contra variantes personalizadas.
Hardware-key 2FA. Una clave FIDO2 firma un desafío con una clave protegida por hardware. El registrador de teclas no captura nada útil: la firma es única y está vinculada al origen.
Administradores de contraseñas con autocompletar. El administrador de contraseñas pega las credenciales sin escribirlas. El registrador de teclas captura solo la contraseña maestra (razón por la cual la protección con contraseña maestra es tan importante).
Teclados en pantalla para entradas confidenciales. Derrota a los registradores de teclas de hardware; Los keyloggers de software también pueden enganchar eventos táctiles, por lo que hay una defensa parcial.
Seguridad física. No permita que personas que no son de confianza tengan acceso físico a su computadora.
Bootkits/Secure Boot. Evita que los keyloggers a nivel de kernel persistan se reinicia.

Los usos legítimos

Existen varios usos no maliciosos:

Monitoreo parental en dispositivos familiares. Legal en la mayoría de las jurisdicciones; éticamente cuestionado para niños mayores.
Monitoreo del empleador de los dispositivos de trabajo. Legal con aviso a los empleados en la mayoría de los países; requerido en algunas industrias reguladas.
Compromisos autorizados del equipo rojo. Los probadores de penetración implementan registradores de teclas para demostrar el impacto durante las evaluaciones de seguridad.
Investigación. Los investigadores forenses y de seguridad estudian familias de registradores de teclas para comprender las técnicas de los atacantes.

La línea entre "monitoreo legítimo" y "spyware" es a menudo legal (consentimiento del propietario del dispositivo) más que técnico.

Registradores de teclas móviles

Las plataformas móviles dificultan el registro de teclas de forma predeterminada: las aplicaciones no pueden observar entradas fuera de su propia superficie. Las defensas incluyen:

Aplicaciones en espacio aislado que no pueden ver lo que reciben otras aplicaciones
Los servicios de accesibilidad requieren permiso explícito del usuario y advertencias
Stalkerware que aprovecha la accesibilidad para monitorear existe, pero es cada vez más detectado por herramientas de seguridad móviles

El Pegasus y programas espías móviles similares de estados-nación logran Capacidad equivalente a registro de teclas a través de exploits de día cero, monitoreo no permitido por el usuario. Defenderse contra estos requiere el modo de bloqueo (iOS) o medidas extremas equivalentes.

Preguntas frecuentes

¿Cómo sé si tengo un keylogger?: Difícil de detectar manualmente. Los síntomas pueden incluir uso inusual de la CPU, tráfico de red inexplicable y alertas de antivirus. La comprobación fiable es ejecutar análisis EDR o antimalware modernos. Si tiene sospechas importantes, la respuesta definitiva es reinstalar el sistema operativo desde un medio limpio y conocido.
¿Una VPN protege contra los keyloggers?: No. Los keyloggers operan en su dispositivo antes de que el tráfico de red lo abandone. Una VPN cifra lo que pasa por el cable; no puede ayudar cuando el software malicioso ya está dentro de su computadora.
¿Pueden los administradores de contraseñas derrotar a los keyloggers?: Parcialmente. El autocompletar evita escribir, por lo que el registrador de teclas no captura la contraseña. Pero tu contraseña maestra todavía está escrita; Si un registrador de pulsaciones consigue eso, la bóveda del administrador se ve comprometida. La clave de hardware 2FA en el administrador de contraseñas anula esto.
¿Siguen siendo los registradores de pulsaciones de teclas por hardware una amenaza real?: Hace menos de dos décadas porque la mayoría de la gente trabaja en portátiles donde los puertos USB son visibles. Mayor preocupación por las estaciones de trabajo de escritorio en oficinas compartidas y por objetivos de alto riesgo. La detección es una inspección física.
¿Cuánto tiempo suelen pasar desapercibidos los keyloggers?: Semanas a meses para los bien diseñados. Los registradores de pulsaciones de teclas de productos básicos quedan atrapados rápidamente por los antivirus basados en firmas; Las variantes personalizadas utilizadas en ataques dirigidos evaden la detección por más tiempo. El tiempo medio de permanencia se alinea con la detección de infracciones más amplia: alrededor de 80 días según informes recientes.