Keylogger,capturador de teclas
Es un software o hardware instalado en un ordenador que tiene la capacidad de registrar y memorizar todo lo que se teclee en el teclado que va unido a dicho ordenador.
 |
Contenidos
|
Relacionados:
- Spam y Redes Sociales
- Rootkit
- Spyware
- Virus, Gusanos y Troyanos
- Scam, Hoax, Phishing, Pharming e Ingenieria Social
- Botnets: Redes Zombies
Definiciones
Todo lo tecleado se envía a un fichero que puede ser recuperado de forma manual o de forma clandestina a la personas que instalo el keylogger sin el consentimiento del dueño del ordenador.
Un Keylogger también puede grabar clicks del ratón. La información recolectada será utilizada luego por la persona que lo haya instalado. Actualmente existen dispositivos de hardware o bien aplicaciones que realizan estas tareas y son sumamente fáciles de encontrar en toda la red. Muchísimas son gratuitas.
Son utilizados muy a menudo en las oficinas de trabajo para que el director pueda espiar a sus empleados sin el conocimiento de estos. También los padres espían los hábitos en Internet de sus hijos con estos programas.
Muchas empresas los crean y comercializan con el objetivo de crear profesionales y atractivos soluciones para el control parental y monitoreo de los empleados, así como ganar la confianza del cliente mediante la calidad del producto o servicio. Son las ideas y el uso que se hagan de ellos los que motivan a los equipo creativos a desarrollar estos productos.
Cuando el objetivo del keylogger es un ordenador remoto sin un acceso directo, el keylogger puede ser enviado para su instalación sin que sepamos nada integrándolo en un programa cualquiera, un anexo a un email, o cualquier ejecutable disfrazado que se nos pueda ocurrir. El software básico de un keylogger realmente solo se compone de unas cuantas líneas de código y normalmente opera de tal forma que es indetectable en muchos casos. Esto lo hace muy peligroso si usamos nuestro sistema para temas laborales o uso personal.
Para hacernos una idea, según el usuario va tecleando cada una de las teclas, el software hace una captura de cada una de las teclas en su propio espacio de memoria o en el disco duro. Esto es particularmente un riesgo si solemos introducir contraseñas, acceder a información privilegiada o acceso a nuestras cuentas bancarias. Podemos tener el ordenador infectado con uno de estos programas y no saberlo, lo cual puede desembocar en un problema grave. Un programa de este tipo, normalmente consiste (exceptuando keyloggers más sofisticados) en dos ficheros que quedan instalados en el mismo directorio: una librería dinámica o DLL, el cual hace las capturas, un ejecutable que instala el DLL y lo activa.
Hay que decir que no siempre un keylogger puede ser “maligno” y perjudicial para nuestro ordenador. De hecho, hay muchas compañías que ofrecen este tipo de programas para que los padres tengan algún control sobre la actividad de sus hijos en Internet. Se han dado casos de empresas que han instalado este tipo de software para hacer un seguimiento del trabajo de sus empleados, aunque esto no es legal.
Una vez que el keylogger ha capturado los datos de una sesión de nuestro ordenador, tiene varias formas de actuar. Si es un ordenador compartido con otras personas, la persona que lo instaló puede ir más tarde a recuperar la información que ha conseguido.
Si el ordenador es de acceso remoto, el propio keylogger puede enviar la información capturada por email sin que nosotros sepamos nada de lo que está ocurriendo. Aunque en el siguiente apartado daremos algunos consejos para combatir esta forma de robar datos privados, diremos que para evitar que el programa mande emails sin nuestro consentimiento, lo mejor es tener instalado un buen firewall, como por ejemplo el zone-alarm, el cual nos avisará si algún programa quiere acceder a Internet.
Protección contra los keylogger
Lo primero que debemos tener es un buen antivirus y un buen anti spyware que pueda detectar estos programas. Hay que tenerlo actualizado para las nuevas versiones de los keylogger existentes que evolucionan rápidamente, pudiendo pasar desapercibidos para nuestros sistemas de protección. Como ya se ha dicho, un firewall puede detectar si algo quiere ser enviado a Internet sin nuestro permiso, y que podría ser un keylogger mandando datos capturados.
Muchos bancos en la actualidad utilizan lo que se llama un teclado virtual para evitar la captura de lo tecleado cuando accedemos al banco por Internet. Es un teclado que aparece en nuestra pantalla del monitor y donde seleccionamos nuestro código con el ratón. De esta manera el keylogger simplemente no captura nada al no utilizar el teclado.
En algunos bancos todavía no ofrecen este tipo de teclados virtuales, aunque existe una alternativa si estamos utilizando el sistema operativo Windows XP. Si nuestro banco no tiene teclado virtual para introducir la contraseña, en XP tenemos uno si seleccionamos inicio > Todos los programas > Accesorios > Accesibilidad > Teclado en pantalla. De esta manera no usaremos el teclado evitando el keylogger si sospechamos que podemos tener uno instalado. De hecho, deberíamos acostumbrarnos de meter las contraseñas de este modo.
Otro modo de burlar un keylogger y sin utilizar un teclado virtual, es cambiar de ventana varias veces mientras introducimos la contraseña. Un keylogger hace las capturas de lo que tecleamos de forma lineal y “tontamente”. Por ello, si la contraseña es “transatlántica” por ejemplo, podemos cambiar de ventana cada cierto número de letras y teclear lo que sea de forma aleatoria. No tiene que ser en un archivo no nada parecido, simplemente teclear. De esta forma el keylogger capturará todas las teclas seguidas y hará que la contraseña pierda significado. La contraseña “transatlántica” quedaría en la captura del keylogger como “trakjkjhkjhdnsatlkljvantica”. Lo importante es que cojamos la idea de esto.
Con respecto a las keyloggers por software, actualmente son los más comunes, muy utilizados por el malware orientado a robar datos confidenciales o privados del usuario. Como es de imaginar, la información obtenida es todo lo que el usuario ingrese en su teclado como por ejemplo documentos, nombres de usuarios, contraseñas, números de tarjetas, PINes, etc.
Esto explica el porque de su gran éxito y utilización actual ya que como sabemos el malware, cada vez más orientado al delito, puede utilizar esta herramienta para proporcionar información sensible del usuario a un atacante.
Esto explica el porque de su gran éxito y utilización actual ya que como sabemos el malware, cada vez más orientado al delito, puede utilizar esta herramienta para proporcionar información sensible del usuario a un atacante.
Keylogger por software y físicos
Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático.
Keyloggers físicos: Son pequeños dispositivos que se instalan entre nuestra computadora y el teclado, e incluso se han detectado en múltiples ciberlocutorios o cibers públicos. Son difíciles de identificar para un usuario inexperto pero si se presta atención es posible reconocerlos a simple vista. Tienen distintas capacidades de almacenamiento, son comprados en cualquier casa especializada y generalmente son instalados por empresas que desean controlar a ciertos empleados.
Hay que aclarar que esta forma de actuar puede traer problemas legales a quien lo instala ya que registrar a un usuario mediante este accionar puede interpretarse como una violación a su privacidad. Es aquí donde cobra relevancia una política de seguridad clara, puesta por escrito y firmada por el usuario.
Keyloggers por software, actualmente son los más comunes, muy utilizados por el malware orientado a robar datos confidenciales o privados del usuario. Como es de imaginar, la información obtenida es todo lo que el usuario ingrese en su teclado como por ejemplo documentos, nombres de usuarios, contraseñas, números de tarjetas, PINes, etc. Esto explica el porque de su gran éxito y utilización actual ya que como sabemos el malware, cada vez más orientado al delito, puede utilizar esta herramienta para proporcionar información sensible del usuario a un atacante.
Los keyloggers generalmente son detectados por antivirus, por algunos Firewalls de software (si bien esta no su función principal) y como no podía ser de otra forma por anti-keyloggers específicos. Básicamente los tres utilizan el mismo principio de detección: una firma que identifica en forma unívoca a un programa (en este caso el keylogger) o un patrón de comportamiento que indique que un programa puede estar registrando las teclas pulsadas.
Aquí, en forma recurrente volvemos al mismo problema: si la firma no está en la base de datos del programa detector, entonces el keylogger no será detectado. Este es el caso de la aplicación Perfect Keylogger que asegura a sus usuarios registrados la entrega de un ejecutable indetectable cada vez que el mismo es agregado a la base de firmas de un anti-keylogger o antivirus. Para asegurar esto modifican la aplicación, las veces que sea necesario, de forma tal que la misma no sea identificada. Otro problema con los keyloggers es que debido a su relativamente fácil desarrollo, existen disponibles en Internet variedad de códigos de modo que cualquier persona puede construirse el suyo y por supuesto el mismo será indetectable.Los keylogers pueden utilizar dos métodos para lograr su objetivo:
Basados en Hooks (ganchos): es el método más comunmente utilizado en Windows y el más fácil de realizar. Se basa en capturar (enganchar) los mensajes y eventos del sistema operativo. En este caso eventos del teclado. Como mencionamos, existen patrones de comportamiento para identificar a los keyloggers. En este caso, la firma "genérica" son los hooks, aunque como otras aplicaciones también los usan, esta técnica puede dar lugar a falsos positivos.
Basados en Kernel: Son raros de ver ya que requieren un conocimiento elevado del desarrollador. Se basan en escribir ciertos drivers o modificaciones en el Kernel del sistema operativo. Son la solución en el caso de la creación de keyloggers para sistemas no Windows.
Es importante ser consciente que los keyloggers son una herramienta que, como tal, puede utilizarse con fines benéficos pero también dañinos y delictivos como lamentablemente ocurre.
Pongamos como ejemplo una aplicación desarrollada por un programador argentino, Douglas Schillaci, que ha tenido la amabilidad de contactarse con nosotros y poner a nuestra disposición su conocimiento como así también su aplicación freeware que he tenido la posibilidad de probar con muy buenos resultados. Si bien no daré detalles técnicos del mismo, podemos decir al momento de escribir el presente el keylogger es indetectable ya que no ha sido agregado a ningún software anti-keyloggers o antivirus.
Cuenta con un programa de administración que permite instalar, restaurar, desinstalar o ver el archivo de log en donde se almacenan las teclas presionadas por el usuario. Durante su instalación se copia a una carpeta determinada dentro de Windows y al ejecutarse, el mismo no puede ser encontrado en la lista de procesos, permaneciendo oculto al usuario. Además realiza modificaciones en el registro de Windows para asegurar su ejecución la próxima vez que el sistema operativo arranque. También cuenta con ciertas características que lo "auto-protegen" de una desinstalación desautorizada, siempre y cuando el mismo se mantenga como proceso activo en memoria.
Funcionamiento e historia
Los keyloggers suelen ser partes muy importantes de los troyanos. En realidad nada tenían en común en un principio. Los primeros troyanos no llevaban keyloggers y éstos eran programas aparte que se vendían en Internet en páginas de espionaje junto a los artículos de espías de toda la vida. Si escribimos cualquier texto en Word, tecleamos cualquier contraseña en nuestro ordenador o chateamos en el IRC, todo lo que hayamos escrito habrá quedado registrado en un archivo (generalmente un archivo *.log o *.txt).
Para qué sirve esto, podemos preguntarnos. Bien, en un principio el keylogger se justificaba en casa para controlar la actividad de los menores en Internet, o en la oficina para seguir de cerca las actividades de los empleados. Cuando los Keyloggers se destinaban a ese uso, las compañías antivirus no los identificaban como una amenaza para la seguridad. En realidad los hackers tampoco se fijaban en esos programas porque no permitían el control remoto de otra computadora.
Pero todo evoluciona y cuando el Keylogger se une al troyano o backdoor es cuando la amenaza se percibe como tal. De esta forma el keylogger registra las pulsaciones y el troyano envía los datos al hacker.
Hay que señalar también que hay keyloggers legales de pago que hacen cosas muy parecidas a los troyanos que tienen keyloggers. Estos nuevos keyloggers llevan un novedoso sistema que comunica el archivo logueado a una cuenta de correo electrónico mediante Internet. Esto generalmente se consigue de dos formas:
Para qué sirve esto, podemos preguntarnos. Bien, en un principio el keylogger se justificaba en casa para controlar la actividad de los menores en Internet, o en la oficina para seguir de cerca las actividades de los empleados. Cuando los Keyloggers se destinaban a ese uso, las compañías antivirus no los identificaban como una amenaza para la seguridad. En realidad los hackers tampoco se fijaban en esos programas porque no permitían el control remoto de otra computadora.
Pero todo evoluciona y cuando el Keylogger se une al troyano o backdoor es cuando la amenaza se percibe como tal. De esta forma el keylogger registra las pulsaciones y el troyano envía los datos al hacker.
Hay que señalar también que hay keyloggers legales de pago que hacen cosas muy parecidas a los troyanos que tienen keyloggers. Estos nuevos keyloggers llevan un novedoso sistema que comunica el archivo logueado a una cuenta de correo electrónico mediante Internet. Esto generalmente se consigue de dos formas:
1- Envío por e-mail del archivo logueado cada cierto tiempo prefijado (por ejemplo, cada 24 horas).
2- Envío por e-mail del archivo logueado cada cierta cantidad de bytes (por ejemplo, cada 500 kb de
información).
3- Envio por a una cuenta FTP de el usuario cada cierto tiempo.
4- Envio de los logs a una pagina php que los guarda y mas tarde pueden ser visualizados.
Keylogger y compañías antivirus
Una vez más la manera de comportarse del keylogger es fundamental. Si el programa se instala de manera silenciosa en el ordenador de la víctima, entonces es identificado como código peligroso.
Pero aquí nos encontramos con una dificultad añadida: un keylogger se vende para el espionaje, por tanto ha de correr silencioso en un ordenador. De no ser así, no sería un buen keylogger.
También las compañías antivirus tienen en cuenta otro factor: si tiene comunicación por e-mail es peligroso, si no la tiene, puede ser inofensivo.
La verdad es que uno a veces tiene la sensación de que si el keylogger lo hace una persona que nadie conoce, será identificado como amenaza vírica y todo el trabajo de esa humilde persona se irá al garete; en cambio, si el keylogger lo ha registrado una gran empresa de software, entonces no habrá ni una compañía antivirus que se atreva a identificarlo por miedo a las represalias judiciales. Hasta hace poco estaba usando un keylogger legal que había crackeado en un ordenador con su antivirus actualizado.
Curiosamente ese programa lleva incluso su notificación por e-mail, pero los antivirus no lo detectan. Tal vez la diferencia esté en que si bien corre silente en cada inicio de Windows, la primera instalación en cambio requirió una configuración manual. Si el keylogger llega desde la internet y la víctima lo ejecuta sin saberlo, no funcionará si no activa los parámetros. Pero esto es suponer que el hacker nunca va a poder acceder físicamente al ordenador de la víctima; y eso es mucho suponer.
Una vez más la política de los antivirus queda en entredicho y uno tiene la sensación de que si Microsoft inventara un virus, nadie sería capaz de identificarlo por miedo al gigante de Redmon.
Una vez más la manera de comportarse del keylogger es fundamental. Si el programa se instala de manera silenciosa en el ordenador de la víctima, entonces es identificado como código peligroso.
Pero aquí nos encontramos con una dificultad añadida: un keylogger se vende para el espionaje, por tanto ha de correr silencioso en un ordenador. De no ser así, no sería un buen keylogger.
También las compañías antivirus tienen en cuenta otro factor: si tiene comunicación por e-mail es peligroso, si no la tiene, puede ser inofensivo.
La verdad es que uno a veces tiene la sensación de que si el keylogger lo hace una persona que nadie conoce, será identificado como amenaza vírica y todo el trabajo de esa humilde persona se irá al garete; en cambio, si el keylogger lo ha registrado una gran empresa de software, entonces no habrá ni una compañía antivirus que se atreva a identificarlo por miedo a las represalias judiciales. Hasta hace poco estaba usando un keylogger legal que había crackeado en un ordenador con su antivirus actualizado.
Curiosamente ese programa lleva incluso su notificación por e-mail, pero los antivirus no lo detectan. Tal vez la diferencia esté en que si bien corre silente en cada inicio de Windows, la primera instalación en cambio requirió una configuración manual. Si el keylogger llega desde la internet y la víctima lo ejecuta sin saberlo, no funcionará si no activa los parámetros. Pero esto es suponer que el hacker nunca va a poder acceder físicamente al ordenador de la víctima; y eso es mucho suponer.
Una vez más la política de los antivirus queda en entredicho y uno tiene la sensación de que si Microsoft inventara un virus, nadie sería capaz de identificarlo por miedo al gigante de Redmon.
De cualquier forma, un keylogger no es un virus ni tampoco un troyano: tiene una función muy específica que consiste en grabar todo tipo de pulsaciones del teclado e incluso algunos recogen también los clics de ratón, las páginas visitadas en la Internet y las conversaciones tanto entrantes como salientes en el chat. No hace ningún daño a ningún ordenador. Aquí juega una vez más la intención de la persona que lo utiliza: exactamente igual que con los troyanos.
Detección y eliminación
Eliminarlo dependerá de que keylogger se trate, hay algunos que aparecen en el panel de control "agregar y quitar programas". Otros pueden ser detectados como malware por el antivirus, pero dependerá de que marca y versión se tenga, si esta actualizado y si tiene esta capacidad.
Eliminarlo dependerá de que keylogger se trate, hay algunos que aparecen en el panel de control "agregar y quitar programas". Otros pueden ser detectados como malware por el antivirus, pero dependerá de que marca y versión se tenga, si esta actualizado y si tiene esta capacidad.
Si no aparece en el panel de control habrá que identificar la carpeta donde esta instalado y proceder a la eliminación, si no tiene archivo de des-instalación simplemente elimina la carpeta. A veces hacen falta algunos conocimientos técnicos algo más avanzados o llevar el equipo a un experto.
Para saber a quien se esta enviando la info, se puede intentar abrir el programa sus ficheros asociados, los procesos que pone en funcionamiento, etc. Si no tiene password seguramente podrás ver a quien se envía la información, aunque has de considerar que no siempre se envía. Si es alguien que tiene acceso al PC seguramente consulta la información directamente en el keylogger.
La forma más comun de infección es que algún usuario con acceso a la PC lo instale, ya sea remotamente por haber aceptado invitaciones de conexión externas de control del pc, al instalar software ilegal o procedencia dudosa, mediante descargas p2p con programas como Ares o Emule, etc.
Recomendaciones
• Anti-spyware: Los programas Anti-spyware pueden detectar diversos keyloggers y limpiarlos. Vendedores responsables de supervisar la detección del software apoyan la detección de keyloggers, así previniendo el abuso del software.
• Firewall: Habilitar un cortafuegos o firewall puede salvar el sistema del usuario no solo del ataque de keyloggers, sino que también puede prevenir la descarga de archivos sospechosos, troyanos, virus, y otros tipos de malware.
• Monitores de red: Los monitores de red (llamados también cortafuegos inversos) se pueden utilizar para alertar al usuario cuando el keyloggers use una conexión de red. Esto da al usuario la posibilidad de evitar que el keylogger envíe la información obtenida a terceros.
• Software anti-keylogging: El software para la detección de keyloggers está también disponible. Este tipo de software graba una lista de todos los keyloggers conocidos.
Los usuarios legítimos de la PC pueden entonces hacer, periódicamente, una exploración de esta lista, y el software busca los artículos de la lista en el disco duro. Una desventaja de este procedimiento es que protege solamente contra los keyloggers listados, siendo vulnerable a los keyloggers desconocidos o relativamente nuevos.
Puedes encontrar más entradas en www.gitsinformatica.com
 |
Gits mira por tus derechos. Gits es Pro-Vida.
Recomendamos la visualización de este documental:http://www.youtube.com/watch?v=SWRHxh6XepM .
No hay comentarios:
Publicar un comentario
Rogamos sea moderado y constructivo en beneficio de toda la comunidad de Internautas. Considere la posibilidad de ayudarnos con una pequeña aportación dineraria a nuestra cuenta PayPal en nuestra web principal www.gitsinformatica.com Gracias por su colaboración. Que pase un buen día.