Con mucha frecuencia se escucha cuando se entrevista a una persona cuya cuenta ha sido “vulnerada”: “me robaron la contraseña”. Una veces, es la vía para encubrir que se le prestó la cuenta a un compañero, que sin pensar la dio a otro y los resultados ya se conocen, en otras con toda honestidad se hace referencia al préstamo, pero existen cosas en que no se puede hablar de negligencia, sino de la existencia de una actividad delictiva en la red: el uso de los keyloggers.
Un keylogger es un dispositivo o un programa destinado a interceptar la información que introduce el usuario para utilizarla en beneficio de la persona que introduce dicha tecnología en el ordenador.
Los keyloggers puede existir en forma de software y de harwarde, el primer tipo es el que se instala en el ordenador y el segundo está dedicado a penetrar desde el hardware de la PC, en ambos casos el modus operandis es “pinchar” las pulsaciones del teclado, los movimientos del ratón, etc. En fin, que en cualquiera de estas dos variantes controla la actividad del usuario de la PC y tienen el objetivo de robar datos de manera encubierta y hacerlo llegar a quien lo instaló de forma encubierta por la forma que se decidió al instalar o crear el mecanismo.
Los keyloggers pueden pasar inadvertidos para cualquier persona si no se conocen, por lo que adentrarse en este mundo es importante para proteger la información. En el caso de los que se basan en el uso del hardware en muchas ocasiones se esconden dentro del teclado o están montados en la parte trasera de la PC y los que se basan en software, si bien no se muestran en la lista de programas instalados, ni en el menú de inicio, tampoco en la barra de tareas o en el panel de control, pero una revisión minuciosa de los procesos que están ejecutándose en la PC pueden llevar a su detección si se está familiarizado con ellos, también los antivirus están diseñados con mecanismos para su detección y una búsqueda de códigos malignos en la PC elimina esta amenaza siempre que esté activa esta sección del programa.
Los métodos para la creación de keyloggers son diversos como lo son también las variantes de realización; sin embargo todos tienen un sustento común: la penetración en la cadena de señal de la clave presionando para mostrarla en la pantalla. La variante más común de realización es un keylogger con una trampa teclado y se basa en ganchos en el teclado para leer información de una cola del sistema de entrada de hardware que se encuentra en proceso de sistema csrss.exe. Este método logró mucha popularidad debido al hecho de que una trampa de filtro permite interceptar absolutamente todas las pulsaciones de teclado porque los controles de gancho controlan los sistemas de flujos.
Un método primitivo que fuera utilizado lo fue el de una consulta de estado del teclado cíclico a alta velocidad. Tal método no requiere aplicación de DLL en GUI-procesos; como resultado un spyware es menos notable.
La desventaja de este tipo de keyloggers es la necesidad de consulta de estado del teclado periódica a una velocidad alta, por lo menos 10-20 consultas por segundo. Este método es utilizado por varios productos comerciales.
Este método del keylogger basado en un controlador es más eficaz en comparación con el anteriormente descrito. Hay al menos dos variantes de realización de este método – la creación e instalación del controlador de teclado propio en lugar del controlador estándar o la instalación de un filtro de conductor. Este método (así como una trampa) es un método documentado de pulsaciones de teclas de seguimiento.
La intención no es analizar todos los métodos, sino llamar la atención sobre un mecanismo que puede ser utilizado para robar credenciales y que no es nuevo en este ámbito, donde el conocimiento puede ser un arma para combatir este delito y prevenirlo.