CONCEPTUALIZACIÓN, ESTRUCTURACIÓN Y APLICABILIDAD DEL

SISTEMA DE KEYLOGGER

INTRODUCCIÓN

El siguiente artículo hace mención al keylogger que es un registrador de

pulsaciones del teclado, estos se presentan en dispositivos de hardware y en
programas de software. Ahora bien los Hackers o personas maliciosas que tienen
acceso al sistema de la computadora de otro usuario a través de medios no
autorizados y que emplean como una herramienta para robar información
al Keyloggers, al o los usuarios que visitan sus correos electrónicos, realizar
transacciones bancadas y otras actividades, son blanco fácil de estos piratas,
porque uno no sabe o no podría identificar a la primera si el computador en el que
se está trabajando puede estar o no con el keylogger. Es por eso que debemos de
tener muy en cuenta que herramientas o métodos sencillos debemos de usar para
prevenir el ser espiados.

Conceptualizando keylogger es derivado del inglés key (tecla) logger (registrador)

registrador de teclas o pulsaciones. Son dispositivos o programas con el que se
puede grabar todo lo que el usuario digite mediante el teclado y mandar toda esa
información a terceros. Esta herramienta, que inicialmente se usaba para el
desarrollo de software, es muy utilizada para espiar a la víctima, para el robo de
contraseñas, cuentas bancadas o de foros, documentos privados, y beneficiar de
alguna manera al que haya hecho la instalación, para posteriormente memorizarlas
en un fichero o enviarlas a través de internet.

A continuación veremos cómo identificar y prevenir que personas maliciosas roben

información confidencial de nuestro ordenador y además que cuando acudamos a
un internet, seamos capaces de saber si el ordenar está o no con un keylogger.
ANTECEDENTES

En febrero de 2005, Joe López, un empresario de Florida, enjuició al Bank of

America después de que unos hackers desconocidos robaran 90.000 dólares de su
cuenta en este banco. El dinero robado había sido transferido a Latvia.

Una investigación reveló que el ordenador de López había sido infectado con el
virus conocido como Backdoor Coreflood, el cual registra cada pulsación del teclado
y envía esta información a ciberdelincuentes vía Internet. Fue de esta manera que
los hackers obtuvieron el nombre de usuario y la contraseña de Joe López, ya que
él a menudo realizaba sus transacciones bancarias a través de Internet.

Sin embargo, el veredicto de la corte no favoreció al interpelante pues se adujo que

Joe López había sido negligente por no tomar precauciones al manejar su cuenta
bancaria a través de Internet. La signatura del código malicioso encontrado en su
sistema había sido añadida a las bases de datos de casi todos los antivirus ya en
2003.

Definición de Keylogger

Un keylogger es un software o hardware que puede interceptar y guardar las

pulsaciones realizadas en el teclado de un equipo que haya sido infectado.
Este malware se sitúa entre el teclado y el sistema operativo para interceptar y
registrar la información sin que el usuario lo note. Además, un keylogger almacena
los datos de forma local en el ordenador infectado y, en caso de que forme parte de
un ataque mayor, permite que el atacante tenga acceso remoto al equipo de la
víctima y registre la información en otro equipo. Aunque el término keylogger se usa,
normalmente, para nombrar este tipo de herramienta maliciosas, existen también
herramientas de vigilancia legítimas que usan las autoridades policiales y que
funcionan de la misma forma que los keyloggers

TIPOS DE KEYLOGGER

Los registradores de pulsaciones de hardware:

Como lo dice su nombre son dispositivos hardware que se conectan físicamente al

teclado. Estos dispositivos generalmente se ven como un adaptador de teclado
estándar, por lo general no tienen la capacidad para transmitir o enviar esa
información a través de una red como lo hacen los registradores de pulsaciones
de software, además están limitados en la recolección de información de acuerdo a
su capacidad. Una de las ventajas de hardwarekeyloggers es que no van a ser
descubiertos por cualquiera de los anti-spyware, programas de seguridad antivirus
o de escritorio.
 1. Adaptadores: en línea que se intercalan en la conexión del teclado, tienen
la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras
que pueden ser eventualmente inadvertidos se detectan fácilmente con una
revisión visual detallada.
2. Dispositivos: que se pueden instalar dentro de los teclados estándares,
requiere de habilidad para soldar y de tener acceso al teclado que se
modificará. No son detectables a menos que se abra el cuerpo del teclado.
3. Teclados reales: del reemplazo que contienen el Keylogger ya integrado.
Son virtualmente imperceptibles, a menos que se les busque
específicamente.

Los registradores de pulsaciones de software

Son los más utilizados por los hackers, ya que se lo pueden instalar a través de la
red, o en un computador que está desprotegido, también se presentan como virus
y/o troyano, etc. Los registradores de software a menudo tienen la capacidad de
obtener muchos más información, ya que no están limitados por la memoria física,
como lo hacen los registradores de pulsaciones de hardware.
 1. Basado en núcleo: este método es el más difícil de escribir, y también de
combatir. Tales keyloggers residen en el nivel del núcleo y son así
prácticamente invisibles. Derriban el núcleo del sistema operativo y tienen
casi siempre el acceso autorizado al hardware que los hace de gran alcance.
Un keylogger que usa este método puede actuar como driver del teclado por
ejemplo, y accede así a cualquier información registrada en el teclado
mientras que va al sistema operativo.
2. Enganchados: estos keyloggers registran las pulsaciones de las teclas del
teclado con las funciones proporcionadas por el sistema operativo. El
sistema operativo activa el keylogger en cualquier momento en que se
presione una tecla, y realiza el registro.
3. Métodos creativos: aquí el programador utiliza funciones como
GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles
de escribir, pero como requieren la revisión el estado de cada tecla varias
veces por segundo, pueden causar un aumento sensible en uso de la CPU y
pueden ocasionalmente dejar escapar algunas pulsaciones del teclado.

CARACTERISTICAS DEL KEYLOGGER.

• Captura todas las pulsaciones del teclado.

• Registra mensajes instantáneos.
• Monitorea las aplicaciones utilizadas.
• Captura la actividad del escritorio.
• Desactiva programas no deseados.
• Filtra cuentas de usuarios monitoreadas.
• Detiene el registro cuando la computadora está inactiva.
• La mayoría de estos virus se encuentran en sitios web, ya sea emergente o
los falsos concursos.
¿Cómo infecta al equipo?

Los keylogger con software suelen formar parte de malware mayores. Se suelen
infectar los equipos a través de una web maliciosa, la cual ataca lo vulnerable del
equipo e instala el malware. Otro método de instalación es a través de la descarga
de una aplicación legítima, atacando el canal de descarga o insertando el malware
en dicha app. Los keyloggers con hardware, por el contrario, necesitan que el
atacante acceda físicamente al ordenador.

PROTECCIÓN
En algunas computadoras podemos darnos cuenta si están infectadas por un
keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por
el hecho de que el programa registrará cada una de nuestras teclas de la siguiente
manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el
keylogger cada vez que el usuario presione una tecla. Si bien este evento no será
una carga relevante para nuestro procesador si se ejecuta a una velocidad normal,
pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma
de tu mano y tu sistema se congela o su funcionamiento es demasiado lento
podríamos sospechar que un keylogger se ejecuta sobre nuestro computador.

Otro signo de que un keylogger se está ejecutando en nuestro computador es el

problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos
tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para
otros idiomas.
5.1 Anti-spyware

Los programas Anti-spyware pueden detectar diversos keyloggers y limpiarlos.

Vendedores responsables de supervisar la detección del software apoyan la
detección de keyloggers, así previniendo el abuso del software.

Firewall

Habilitar un cortafuego o firewall puede salvar el sistema del usuario no solo del
ataque de keyloggers, sino que también puede prevenir la descarga de archivos
sospechosos, troyanos, virus, y otros tipos de malware.

Monitores de red

Los monitores de red (llamados también cortafuegos inversos) se pueden utilizar

para alertar al usuario cuando el keylogger use una conexión de red. Esto da al
usuario la posibilidad de evitar que el keylogger envíe la información obtenida a
terceros.
Software anti-keylogging

El software para la detección de keyloggers está también disponible. Este tipo de

software graba una lista de todos los keyloggers conocidos. Los usuarios legítimos
del PC pueden entonces hacer, periódicamente, una exploración de esta lista, y el
software busca los artículos de la lista en el disco duro. Una desventaja de este
procedimiento es que protege solamente contra los keyloggers listados, siendo
vulnerable a los keyloggers desconocidos o relativamente nuevos.

MANUAL DE USUARIO (kEYLOGGER)

Keylogger es un software y hardware que es utilizado para interceptar y guardar las
pulsaciones realizadas en el teclado de un equipo que haya sido infectado.
Este malware se sitúa entre el teclado y el sistema operativo para interceptar y
registrar la información sin que el usuario lo note. Además, un keylogger almacena
los datos de forma local en el ordenador infectado y, en caso de que forme parte de
un ataque mayor, permite que el atacante tenga acceso remoto al equipo de la
víctima y registre la información en otro equipo, además permite enviar esa
información capturada a través de correo electrónico.
Cuando se instala este software se tiene la posibilidad de configurarlo bien, sin
embargo, se torna en un problema cuando lo instalan maliciosamente porque este
se esconde donde solo se puede sacar con programas específicos.
Instalación
Existen gran variedad de keyloggers pero podrían resumirse en dos, de pago o free,
los de pago en su mayoría permiten capturar información como fotos, screenshot,
información del navegador, audio, mientras que, los free solo permiten capturar la
información de lo que se escribe, y aunque esto es de ayuda para cuestiones de
este manual se usará una versión pagada llamada Ardamax keylogger en su
versión 4.5 que es la última versión actualmente, dado que este permite un arsenal
de captura que va desde el teclado hasta fotos del computador y a través de la
webcam, además permite crear una versión remota que infecta a otro computador
y me envía la información a través de correo electrónico.
1) Instalar el archivo

 Ejecutamos el archivo setup_akl.exe

 Así se inicia el proceso de instalación. Damos click en I agree (Estoy de

acuerdo en español).
 Se seleccionan los componentes que se han de instalar, se deja tal cual
aparece, el uno es el keylogger y el otro es el que permite visualizar lo
que ha grabado.

 Aquí seleccionamos el lugar donde vamos a instalarlo, se puede escoger

pero para acciones de este manual se instalará en C: \ProgramData \URR.
Damos click en install.
 Luego desmarcamos las casillas que se encuentran marcadas y damos
click en finish.
 Ahora vamos al lugar donde se instaló C: \ProgramData \URR, si no te
aparece ProgramData en Disco local C es porque tu computador está
configurado en modo aprueba de tontos, jejeje, para ello tendrías que irte
al panel de control y hacer click en opciones de carpeta u opciones de
explorador de archivos.
 Es coges la opción ver y luego haces clic en mostrar archivos ocultos.
 luego, revisa una vez más si has hecho esto, vamos a donde se instaló
el programa.
  verificamos que la instalación es correcta.

 observamos el icono URR.exe op 1 es nuestro keylogger, y el icono

Viewer.exe es nuestro visor.

1. Damos Doble clic al 1, una vez abierto el keylogger aparecerá un icono

en la barra de tareas.

2) Procedemos a la configuración.

1. Damos clic sobre el icono que nos aparece en nuestra barra de

tareas.
2. nos dirigimos al icono del menu que se nos desplego y le damos
clic a opciones.

3. Al dar clic sobre opciones se abre la ventana de configuración, es

allí donde se habilitan o deshabilitan las opciones de guardado, ya
sea de registro, micrófono, webcam, screenshot.
4. En esta ventana aparecen las configuraciones del programa:
I. La configuración 1 es la general, aquí se configuran los
aspectos generales del programa:
a. Registro: Permite configurar la parte de los datos que se han
guardado, e iniciar y detener los registros.
b. Invisibilidad: Permite configurar los aspectos de visibilidad
del programa, es decir, hacerlo invisible; si quiere que tenga
un acceso directo, si aparece en la barra de tareas.
c. Seguridad: Permite configurar la seguridad, es decir, poner
contraseñas, permitir accesos etc.
d. Opciones: permite configurar las opciones generales del
programa.
 II. La número dos es monitoreo, en esta se configura los
elementos que serán captados o que serán recolectados por
el keylogger.
Estos son:

o Monitoreo de actividad web: Monitorea la navegación web y va

dejando registro de las páginas que se entran más que todo.

o Registro de conversaciones: Registra lo que se escribe y comunica

en charlas, es decir en las conversaciones.

o Rastreo de aplicación: Registra los programas que se abren en el

computador.

o Captura de pantalla (Screenshot): Toma un pantallazo, es decir,

una imagen del entorno de trabajo de tu computadora.

o Captura de cámara web: Toma una foto con la cámara de tu

computadora.

o Grabación de micrófono: Graba lo que se habla a través del

micrófono
Los anteriormente mencionados tienen como función configurar los
objetivos, es decir, configurar que es lo que quiere que se grabe.
Los que aparecen debajo de control permite configurar los detalles,
calidad, tiempo en que se toman los datos, esto datos son propios de
lo que se graba, es decir, se configuran los aspectos prácticos.

III. La tercera y última es la entrega, la cual permite configurar

la forma como se van a mandar los datos, en general, los
datos se almacenan de manera local, sin embargo, este da
la opción de mandar esta información a través de correo
electrónico, ftp, o a través de una red local.
IV. Por último tiene la opción de crear un programa, como un
hijo del keylogger, el cual se puede configurar para que
capture la información de la víctima la cual ni cuenta se dará
de que tiene este programa, él envia los datos a una cuenta
de correo o lo que se configure, para ello se da clic derecho
sobre el icono en la barra de tareas y se hace clic sobre
instalación remota; allí se abre una ventana de
configuración y le das siguiente para adaptar el programa
que s e va a crear a nuestro gusto.
5. El visor o el programa que permite ver la información que se ha
recopilado en el computador.

1) El número uno es “Abrir”, permite abrir lo que se guarda con

la opción 2.
2) La número tres permite ver los registros que se tomó de lo
que se escribió con el teclado.

3) La número 4, permite ver los registros de lo que se ha

captado de la navegación web.
4) La opción 5 permite ver los registros de las
conversaciones.

5) La opción 6 nos muestra que programas se abrieron.

6) La opción 7 muestra las capturas de pantalla.

7) La opción 8 muestra las fotos tomadas con la cámara del

computador.

8) LA opción 9 muestra el audio que se grabó con el micrófono.

Para este caso no se grabó ninguna conversación.

9) El apartado 10 muestra el calendario.

10) El 11 es la parte donde se muestra lo que se capturo, y en

el apartado 12 muestra los datos, información,
conversaciones.
6. Quitar el keylogger del pc y como desinstalarlo.
Para quitar el keylogger del pc es muy sencillo, solo te vas a la barra de
tareas das clic derecho y salir.

Para desinstalarlo debes ir a donde se instaló, para este caso en C:

\ProgramData \URR y dar doble clic sobre el uninstall.exe
Damos clic en uninstall, Damos en close y listo, ya fue borrado del sistema el
keylogger.