Keylogger
| ||||
Un keylogger (derivado del inglés: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet.
Sumario
Definición
Como su nombre lo indica un Keylogger es un programa que registra y graba la pulsación de teclas (y algunos también clicks del mouse). La información recolectada será utilizada luego por la persona que lo haya instalado. Actualmente existen dispositivos de hardware o bien aplicaciones (software) que realizan estas tareas.
El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado).
Keyloggers físicos
Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra computadora y el teclado. Son difíciles de identificar para un usuario inexperto pero si se presta atención es posible reconocerlos a simple vista. Tienen distintas capacidades de almacenamiento, son comprados en cualquier casa especializada y generalmente son instalados por empresas que desean controlar a ciertos empleados.
Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala ya que registrar a un usuario mediante este accionar puede interpretarse como una violación a su privacidad. Es aquí donde cobra relevancia una política de seguridad clara, puesta por escrito y firmada por el usuario.
Keyloggers por software
Con respecto a las keyloggers por software, actualmente son los más comunes, muy utilizados por el malware orientado a robar datos confidenciales o privados del usuario. Como es de imaginar, la información obtenida es todo lo que el usuario ingrese en su teclado como por ejemplo documentos, nombres de usuarios, contraseñas, números de tarjetas, PINes, etc.
Esto explica el porque de su gran éxito y utilización actual ya que como sabemos el malware, cada vez más orientado al delito, puede utilizar esta herramienta para proporcionar información sensible del usuario a un atacante.
Métodos de keyloggers de software
Los keylogers pueden utilizar dos métodos para lograr su objetivo:
- Basados en Hooks (ganchos): es el método más comunmente utilizado en Windows y el más fácil de realizar. Se basa en capturar (enganchar) los mensajes y eventos del sistema operativo. En este caso eventos del teclado. Como mencionamos, existen patrones de comportamiento para identificar a los keyloggers. En este caso, la firma "genérica" son los hooks, aunque como otras aplicaciones también los usan, esta técnica puede dar lugar a falsos positivos.
- Basados en Kernel: Son raros de ver ya que requieren un conocimiento elevado del desarrollador. Se basan en escribir ciertos drivers o modificaciones en el Kernel del sistema operativo. Son la solución en el caso de la creación de keyloggers para sistemas no Windows.
Es importante ser consciente que los keyloggers son una herramienta que, como tal, puede utilizarse con fines benéficos pero también dañinos y delictivos como lamentablemente ocurre.
Protección
Los keyloggers generalmente son detectados por antivirus, por algunos Firewalls de software (si bien esta no su función principal) y como no podía ser de otra forma por anti-keyloggers específicos. Básicamente los tres utilizan el mismo principio de detección: una firma que identifica en forma unívoca a un programa (en este caso el keylogger) o un patrón de comportamiento que indique que un programa puede estar registrando las teclas pulsadas.
Aquí, en forma recurrente volvemos al mismo problema: si la firma no está en la base de datos del programa detector, entonces el keylogger no será detectado. Este es el caso de la aplicación Perfect Keylogger que asegura a sus usuarios registrados la entrega de un ejecutable indetectable cada vez que el mismo es agregado a la base de firmas de un anti-keylogger o antivirus. Para asegurar esto modifican la aplicación, las veces que sea necesario, de forma tal que la misma no sea identificada. Otro problema con los keyloggers es que debido a su relativamente fácil desarrollo, existen disponibles en Internet variedad de códigos de modo que cualquier persona puede construirse el suyo y por supuesto el mismo será indetectable.
Métodos
- Anti-spyware: Los programas Anti-spyware pueden detectar diversos keyloggers y limpiarlos. Vendedores responsables de supervisar la detección del software apoyan la detección de keyloggers, así previniendo el abuso del software.
- Firewall: Habilitar un cortafuegos o firewall puede salvar el sistema del usuario no solo del ataque de keyloggers, sino que también puede prevenir la descarga de archivos sospechosos, troyanos, virus, y otros tipos de malware.
- Monitores de red: Los monitores de red (llamados también cortafuegos inversos) se pueden utilizar para alertar al usuario cuando el keylogger use una conexión de red. Esto da al usuario la posibilidad de evitar que el keylogger envie la informacion obtenida a terceros
- Software anti-keylogging: El software para la detección de keyloggers está también disponible. Este tipo de software graba una lista de todos los keyloggers conocidos. Los usuarios legítimos del PC pueden entonces hacer, periódicamente, una exploración de esta lista, y el software busca los artículos de la lista en el disco duro. Una desventaja de este procedimiento es que protege solamente contra los keyloggers listados, siendo vulnerable a los keyloggers desconocidos o relativamente nuevos. Otro software que detecta keyloggers no utiliza una lista de estos, sino que, por el contrario, analiza los métodos de funcionamiento de muchos módulos en el PC, permitiéndole bloquear el trabajo del supuesto keylogger. Una desventaja de este procedimiento es que puede también bloquear software legítimos, que no son keyloggers. Algunos softwares contra keyloggers basados en heurística tienen la opción para desbloquear un software conocido, aunque esto puede causar dificultades para los usuarios inexpertos.
- Otros métodos: La mayoría de los keyloggers pueden ser engañados sin usar un software especializado en su combate. Se puede copiar y pegar caracteres disponibles en la pantalla hasta formar la contraseña. La persona puede copiar esos caracteres de una página web escrita por ella misma, de forma de facilitar el acceso a la contraseña desde cualquier computador.
