Registro de pulsaciones de teclas

Registro de pulsaciones de teclas, a menudo denominado registro de teclas o captura de teclado, es la acción de grabar (registrar) las teclas pulsadas en un teclado., generalmente de forma encubierta, de modo que una persona que usa el teclado no se da cuenta de que sus acciones están siendo monitoreadas. Luego, la persona que opera el programa de registro puede recuperar los datos. Un grabador de pulsaciones de teclas o keylogger puede ser software o hardware.

Si bien los programas en sí son legales, y muchos están diseñados para permitir que los empleadores supervisen el uso de sus computadoras, los registradores de teclas se usan con mayor frecuencia para robar contraseñas y otra información confidencial.

El registro de teclas también se puede utilizar para estudiar la dinámica de las pulsaciones de teclas o la interacción entre humanos y computadoras. Existen numerosos métodos de registro de teclas, que van desde enfoques basados en hardware y software hasta el criptoanálisis acústico.

Aplicación de keylogger

Registradores de teclas basados en software

Un ejemplo de keylogger de una captura de pantalla, que contiene información potencialmente confidencial y privada. La imagen siguiente contiene el resultado correspondiente del texto keylogger.

Un archivo de registro de un keylogger basado en software, basado en la captura de pantalla anterior

Un keylogger basado en software es un programa informático diseñado para registrar cualquier entrada del teclado. Los registradores de teclas se utilizan en organizaciones de TI para solucionar problemas técnicos con computadoras y redes comerciales. Las familias y los empresarios usan keyloggers legalmente para monitorear el uso de la red sin que sus usuarios ' conocimiento directo. Microsoft declaró públicamente que Windows 10 tiene un keylogger incorporado en su versión final 'para mejorar los servicios de escritura y escritura'. Sin embargo, las personas malintencionadas pueden usar registradores de teclas en computadoras públicas para robar contraseñas o información de tarjetas de crédito. La mayoría de los keyloggers no son detenidos por el cifrado HTTPS porque eso solo protege los datos en tránsito entre computadoras; Los registradores de teclas basados en software se ejecutan en la computadora del usuario afectado y leen las entradas del teclado directamente a medida que el usuario escribe.

Desde una perspectiva técnica, hay varias categorías:

• Hypervisor-based: El keylogger puede residir teóricamente en un hipervisor de malware que funciona bajo el sistema operativo, que por lo tanto permanece intacto. Se convierte efectivamente en una máquina virtual. Blue Pill es un ejemplo conceptual.
• Kernel-based: Un programa en la máquina obtiene acceso raíz para esconderse en el sistema operativo e intercepta pulsaciones que pasan por el núcleo. Este método es difícil tanto para escribir como para combatir. Estos keyloggers residen en el nivel del núcleo, lo que hace que sean difíciles de detectar, especialmente para aplicaciones de movimiento de usuarios que no tienen acceso a la raíz. Con frecuencia se implementan como rootkits que subvierten el núcleo del sistema operativo para obtener acceso no autorizado al hardware. Esto los hace muy poderosos. Un keylogger usando este método puede actuar como un controlador de dispositivo de teclado, por ejemplo, y así obtener acceso a cualquier información escrita en el teclado como va al sistema operativo.
• API basada: Estos keyloggers gancho APIs de teclado dentro de una aplicación de ejecución. El keylogger registra eventos keystroke como si fuera una pieza normal de la aplicación en lugar de malware. El keylogger recibe un evento cada vez que el usuario presiona o libera una clave. El keylogger simplemente lo registra.
  • API de Windows, como GetAsyncKeyState(), GetForegroundWindow(), etc. se utilizan para encuestar el estado del teclado o para suscribirse a eventos del teclado. Un ejemplo más reciente simplemente encuesta el BIOS para autenticación pre-boot PINs que no han sido aclarados de la memoria.
• Forma de acaparamiento: Los keyloggers basados en formularios registran las sumisiones de formularios mediante la grabación de los datos del formulario en los eventos de envío. Esto sucede cuando el usuario completa un formulario y lo envía, generalmente haciendo clic en un botón o pulsando entrar. Este tipo de registros keylogger forman datos antes de pasar por Internet.
• Base de JavaScript: Una etiqueta maliciosa de script se inyecta en una página web dirigida, y escucha para eventos clave como onKeyUp(). Los scripts se pueden inyectar a través de una variedad de métodos, incluyendo scripting cross-site, man-in-the-browser, man-in-the-middle, o un compromiso del sitio web remoto.
• Memoria basada en la inyección: Memory Injection (MitB)-based keyloggers perform their logging function by altering the Memory Tables associated with the browser and other system functions. Mediante el parche de las tablas de memoria o la inyección directamente en la memoria, esta técnica puede ser utilizada por los autores de malware para evitar Windows UAC (Control de cuenta de usuario). Los troyanos Zeus y SpyEye utilizan este método exclusivamente. Los sistemas no Windows tienen mecanismos de protección que permiten el acceso a datos registrados localmente desde un lugar remoto. La comunicación remota puede lograrse cuando se utilice uno de estos métodos:
  • Los datos se cargan en un sitio web, una base de datos o un servidor FTP.
  • Los datos se envían periódicamente a una dirección de correo electrónico predefinida.
  • Los datos se transmiten de forma inalámbrica empleando un sistema de hardware adjunto.
  • El software permite un acceso remoto a la máquina local desde Internet o la red local, para registros de datos almacenados en la máquina de destino.

Registro de pulsaciones de teclas en la investigación del proceso de escritura

Desde 2006, el registro de pulsaciones de teclas ha sido un método de investigación establecido para el estudio de los procesos de escritura. Se han desarrollado diferentes programas para recopilar datos de procesos en línea de actividades de escritura, incluidos Inputlog, Scriptlog, Translog y GGXLog.

El registro de pulsaciones de teclas se usa legítimamente como un instrumento de investigación adecuado en varios contextos de escritura. Estos incluyen estudios sobre los procesos de escritura cognitiva, que incluyen

• descripciones de las estrategias de escritura; el desarrollo escrito de los niños (con y sin dificultades de escritura),
• ortografía,
• primera y segunda escritura de idiomas, y
• áreas especializadas como traducción y subtitulación.

El registro de pulsaciones de teclas se puede utilizar específicamente para investigar la escritura. También se puede integrar en dominios educativos para el aprendizaje de un segundo idioma, habilidades de programación y habilidades de mecanografía.

Características relacionadas

Los registradores de teclas de software se pueden aumentar con funciones que capturan información del usuario sin depender de las pulsaciones de teclas del teclado como única entrada. Algunas de estas características incluyen:

• Registro de pizarra. Cualquier cosa que haya sido copiada al portapapeles puede ser capturada por el programa.
• Grabación de pantalla. Capturas de pantalla se toman para capturar información basada en gráficos. Las aplicaciones con habilidades de registro de pantalla pueden tomar capturas de pantalla de toda la pantalla, de sólo una aplicación, o incluso alrededor del cursor del ratón. Pueden tomar estas capturas periódicamente o en respuesta a comportamientos del usuario (por ejemplo, cuando un usuario hace clic en el ratón). Se puede utilizar el registro de pantalla para capturar datos introducidos con un teclado en pantalla.
• Capturar programáticamente el texto en un control. La API de Microsoft Windows permite que los programas soliciten el valor del texto en algunos controles. Esto significa que algunas contraseñas pueden ser capturadas, incluso si están ocultas detrás de máscaras de contraseña (generalmente asteriscos).
• La grabación de cada programa/carpeta/ventana abierta incluyendo una captura de pantalla de cada sitio web visitado.
• La grabación de las consultas de los motores de búsqueda, conversaciones instantáneas de mensajeros, descargas FTP y otras actividades basadas en Internet (incluyendo el ancho de banda utilizado).

Registradores de teclas basados en hardware

Un keylogger basado en hardware

Un keylogger conectado basado en hardware

Los keyloggers basados en hardware no dependen de la instalación de ningún software, ya que existen a nivel de hardware en un sistema informático.

• Firmware-basado: Firmware de nivel BIOS que maneja los eventos del teclado se pueden modificar para registrar estos eventos mientras se procesan. El acceso físico y/o a nivel raíz es necesario para la máquina, y el software cargado en el BIOS necesita ser creado para el hardware específico en el que se ejecutará.
• Herraje de teclado: Los keyloggers de hardware se utilizan para el registro de pulsaciones de teclas utilizando un circuito de hardware que se adjunta en algún lugar entre el teclado informático y el ordenador, normalmente en línea con el conector de cable del teclado. También hay keyloggers de hardware basados en conectores USB, así como otros para ordenadores portátiles (la tarjeta Mini-PCI se conecta a la ranura de expansión de un portátil). Las implementaciones más sigilosas se pueden instalar o incorporar en teclados estándar para que ningún dispositivo sea visible en el cable externo. Ambos tipos registran toda actividad del teclado a su memoria interna, que puede ser accedido posteriormente, por ejemplo, escribiendo en una secuencia de clave secreta. Los keyloggers de hardware no requieren que ningún software se instale en el ordenador del usuario objetivo, por lo tanto no interfieren con la operación del ordenador y menos probable que sea detectado por el software que se ejecuta en él. Sin embargo, su presencia física puede ser detectada si, por ejemplo, se instala fuera del caso como un dispositivo en línea entre el ordenador y el teclado. Algunas de estas implementaciones pueden controlarse y supervisarse remotamente utilizando un estándar de comunicación inalámbrica.
• Raspadores inalámbricos de teclado y ratón: Estos francotiradores pasivos recogen paquetes de datos transferidos de un teclado inalámbrico y su receptor. Como el cifrado se puede utilizar para asegurar las comunicaciones inalámbricas entre los dos dispositivos, esto puede tener que romperse de antemano si se deben leer las transmisiones. En algunos casos, esto permite a un atacante escribir comandos arbitrarios en el ordenador de una víctima.
• Teclado: Los criminales han sido conocidos por usar overlays de teclado en ATMs para capturar PINs de la gente. Cada pulsador está registrado por el teclado del ATM, así como el teclado del criminal que se coloca sobre él. El dispositivo está diseñado para parecer una parte integrada de la máquina para que los clientes bancarios no estén conscientes de su presencia.
• Keyloggers acústico: El criptanálisis acústico se puede utilizar para monitorear el sonido creado por alguien escribiendo en un ordenador. Cada tecla en el teclado hace una firma acústica subtly diferente cuando se golpea. Entonces es posible identificar qué firma keystroke se relaciona con qué caracteres del teclado a través de métodos estadísticos como el análisis de frecuencias. La frecuencia de repetición de firmas de teclas acústicas similares, los tiempos entre diferentes trazos de teclado y otra información contextual como el lenguaje probable en el que el usuario está escribiendo se utilizan en este análisis para mapear sonidos a letras. Se requiere una grabación bastante larga (1000 o más pulsaciones) para que se recoja una muestra lo suficientemente grande.
• Emisiones electromagnéticas: Es posible capturar las emisiones electromagnéticas de un teclado cableado de hasta 20 metros (66 pies) de distancia, sin estar físicamente conectado a él. En 2009, investigadores suizos probaron 11 diferentes teclados USB, PS/2 y portátiles en una cámara semi-anecópica y los encontraron vulnerables, principalmente debido al costo prohibitivo de añadir blindaje durante la fabricación. Los investigadores utilizaron un receptor de banda ancha para sintonizar la frecuencia específica de las emisiones irradiadas de los teclados.
• Vigilancia óptica: La vigilancia óptica, aunque no es un keylogger en el sentido clásico, es sin embargo un enfoque que se puede utilizar para capturar contraseñas o PINs. Una cámara estratégicamente colocada, como una cámara de vigilancia oculta en un cajero automático, puede permitir que un criminal vea un PIN o contraseña ingresada.
• Pruebas físicas: Para un teclado que se utiliza sólo para introducir un código de seguridad, las claves que están en uso real tendrán evidencia de uso de muchas huellas dactilares. Un código de paso de cuatro dígitos, si se conocen los cuatro dígitos, se reduce de 10.000 posibilidades a sólo 24 posibilidades (10)⁴ contra 4! [factorial de 4]). Estos podrían utilizarse en ocasiones separadas para un manual "ataque de fuerza bruta".
• Sensores de Smartphone: Los investigadores han demostrado que es posible capturar las pulsaciones de teclados informáticos cercanos utilizando sólo el acelerómetro de productos básicos encontrado en smartphones. El ataque es posible colocando un smartphone cerca de un teclado en el mismo escritorio. El acelerómetro del smartphone puede entonces detectar las vibraciones creadas escribiendo en el teclado y luego traducir esta señal de acelerómetro crudo en oraciones legibles con hasta 80 por ciento de precisión. La técnica implica trabajar a través de la probabilidad detectando pares de pulsaciones, en lugar de claves individuales. Modelos "eventos de teclado" en pares y luego funciona si el par de teclas presionadas está en el lado izquierdo o derecho del teclado y si están unidos o muy separados en el teclado QWERTY. Una vez que ha funcionado esto, compara los resultados con un diccionario precargado donde cada palabra ha sido descompuesta de la misma manera. También se han demostrado técnicas similares que son eficaces para captar pulsaciones de teclas en teclados de pantalla táctil, mientras que en algunos casos, en combinación con giroscopio o con el sensor de luz ambiente.
• Keyloggers Body: Los keyloggers del cuerpo rastrean y analizan los movimientos del cuerpo para determinar qué teclas fueron presionadas. El atacante necesita estar familiarizado con el diseño de las teclas del teclado rastreado para correlacionar entre los movimientos del cuerpo y la posición de las teclas. Seguimiento de señales audibles de la interfaz del usuario (por ejemplo, un sonido que el dispositivo produce para informar al usuario de que se ha registrado un pulsador de teclas) puede reducir la complejidad de los algoritmos de keylogging del cuerpo, ya que marca el momento en que se presionó una tecla.

Historia

A mediados de la década de 1970, la Unión Soviética desarrolló e implementó un registrador de teclas de hardware para máquinas de escribir. Denominado 'selectric bug', midió los movimientos del cabezal de impresión de las máquinas de escribir IBM Selectric a través de influencias sutiles en el campo magnético regional causado por la rotación y los movimientos del cabezal de impresión. Perry Kivolowitz escribió uno de los primeros keyloggers y lo publicó en el grupo de noticias de Usenet net.unix-wizards, net.sources el 17 de noviembre de 1983. La publicación parece ser un factor motivador para restringir el acceso a /dev/kmem en sistemas Unix. El programa en modo usuario operaba localizando y volcando listas de caracteres (clientes) a medida que se ensamblaban en el kernel de Unix.

En la década de 1970, los espías instalaron registradores de pulsaciones de teclas en los edificios de la embajada y el consulado de EE. UU. en Moscú. Instalaron los micrófonos en las máquinas de escribir eléctricas Selectric II y Selectric III.

Las embajadas soviéticas usaban máquinas de escribir manuales, en lugar de máquinas de escribir eléctricas, para la información clasificada, aparentemente porque son inmunes a esos errores. A partir de 2013, los servicios especiales rusos todavía usan máquinas de escribir.

Agrietamiento

Escribir aplicaciones de software sencillas para el registro de teclas puede ser trivial y, como cualquier programa informático nefasto, puede distribuirse como un caballo de Troya o como parte de un virus. Sin embargo, lo que no es trivial para un atacante es instalar un registrador de pulsaciones de teclas encubierto sin ser atrapado y descargar datos que se han registrado sin ser rastreados. Un atacante que se conecta manualmente a una máquina host para descargar las pulsaciones de teclas registradas corre el riesgo de ser rastreado. Un troyano que envía datos registrados mediante teclado a una dirección de correo electrónico fija oa una dirección IP corre el riesgo de exponer al atacante.

Troyanos

Los investigadores Adam Young y Moti Yung analizaron varios métodos para enviar registros de pulsaciones de teclas. Presentaron un ataque negable de arrebato de contraseñas en el que el troyano de registro de pulsaciones de teclas se instala mediante un virus o un gusano. Un atacante que es atrapado con el virus o gusano puede afirmar ser una víctima. El criptotroyano cifra asimétricamente los pares de inicio de sesión/contraseña robados utilizando la clave pública del autor del troyano y difunde de forma encubierta el texto cifrado resultante. Mencionaron que el texto cifrado se puede codificar esteganográficamente y publicar en un tablón de anuncios público como Usenet.

Uso por la policía

En 2000, el FBI usó FlashCrest iSpy para obtener la contraseña PGP de Nicodemo Scarfo, Jr., hijo del jefe de la mafia Nicodemo Scarfo. También en 2000, el FBI atrajo a dos presuntos ciberdelincuentes rusos a los EE. UU. en una artimaña elaborada, y capturó sus nombres de usuario y contraseñas con un registrador de teclas que se instaló de forma encubierta en una máquina que usaban para acceder a sus computadoras en Rusia. Luego, el FBI usó estas credenciales para obtener acceso a los sospechosos. computadoras en Rusia para obtener pruebas para enjuiciarlos.

Contramedidas

La efectividad de las contramedidas varía porque los keyloggers usan una variedad de técnicas para capturar datos y la contramedida debe ser efectiva contra la técnica de captura de datos en particular. En el caso del registro de teclas de Windows 10 por parte de Microsoft, cambiar ciertas configuraciones de privacidad puede desactivarlo. Un teclado en pantalla será eficaz contra los keyloggers de hardware; la transparencia vencerá a algunos, pero no a todos, los registradores de pantalla. Una aplicación anti-spyware que solo puede deshabilitar los registradores de teclas basados en ganchos será ineficaz contra los registradores de teclas basados en kernel.

Los autores del programa Keylogger pueden actualizar el código de su programa para adaptarse a las contramedidas que han demostrado su eficacia.

Anti-keyloggers

Un anti-keylogger es una pieza de software diseñada específicamente para detectar keyloggers en una computadora, normalmente comparando todos los archivos en la computadora con una base de datos de keyloggers, buscando similitudes que puedan indicar la presencia de un keylogger oculto. Como los anti-keyloggers han sido diseñados específicamente para detectar keyloggers, tienen el potencial de ser más efectivos que el software antivirus convencional; algunos programas antivirus no consideran que los registradores de teclas sean malware, ya que, en algunas circunstancias, un registrador de teclas puede considerarse una pieza de software legítima.

CD en vivo/USB

Reiniciar la computadora usando un Live CD o Live USB protegido contra escritura es una posible contramedida contra los registradores de teclas de software si el CD está libre de malware y el sistema operativo que contiene está protegido y completamente parcheado para que no pueda infectarse tan pronto. como se inicia. Arrancar un sistema operativo diferente no afecta el uso de un keylogger basado en hardware o BIOS.

Programas antispyware/antivirus

Muchas aplicaciones antispyware pueden detectar algunos registradores de teclas basados en software y ponerlos en cuarentena, desactivarlos o eliminarlos. Sin embargo, debido a que muchos programas de registro de teclas son piezas de software legítimas en algunas circunstancias, el anti-spyware a menudo se olvida de etiquetar los programas de registro de teclas como spyware o virus. Estas aplicaciones pueden detectar registradores de pulsaciones de teclas basados en software basándose en patrones en código ejecutable, heurística y comportamientos de registradores de pulsaciones de teclas (como el uso de ganchos y determinadas API).

Ninguna aplicación anti-spyware basada en software puede ser 100% efectiva contra todos los keyloggers. El software antiespía basado en software no puede derrotar a los registradores de teclas que no son software (por ejemplo, los registradores de teclas de hardware conectados a los teclados siempre recibirán pulsaciones de teclas antes que cualquier aplicación antiespía basada en software).

La técnica particular que utiliza la aplicación anti-spyware influirá en su efectividad potencial contra los keyloggers de software. Como regla general, las aplicaciones anti-spyware con mayores privilegios vencerán a los keyloggers con menores privilegios. Por ejemplo, una aplicación antispyware basada en ganchos no puede derrotar a un registrador de teclas basado en kernel (ya que el registrador de teclas recibirá los mensajes de las pulsaciones de teclas antes que la aplicación antispyware), pero podría potencialmente derrotar a los registradores de teclas basados en ganchos y API.

Monitores de red

Los monitores de red (también conocidos como firewalls inversos) se pueden usar para alertar al usuario cada vez que una aplicación intenta establecer una conexión de red. Esto le da al usuario la oportunidad de evitar que el registrador de teclas "llame a casa" con su información escrita.

Programas de llenado automático de formularios

Los programas de llenado automático de formularios pueden evitar el registro de teclas al eliminar el requisito de que un usuario ingrese detalles personales y contraseñas usando el teclado. Los rellenadores de formularios están diseñados principalmente para que los navegadores web rellenen las páginas de pago e inicien sesión en sus cuentas. Una vez que la información de la cuenta y la tarjeta de crédito del usuario se haya ingresado en el programa, se ingresará automáticamente en los formularios sin usar el teclado o el portapapeles, lo que reduce la posibilidad de que se registren datos privados. Sin embargo, alguien con acceso físico a la máquina aún puede instalar software que pueda interceptar esta información en otra parte del sistema operativo o mientras está en tránsito en la red. (Transport Layer Security (TLS) reduce el riesgo de que los datos en tránsito puedan ser interceptados por rastreadores de red y herramientas de proxy).

Contraseñas de un solo uso (OTP)

El uso de contraseñas de un solo uso puede evitar el acceso no autorizado a una cuenta cuyos detalles de inicio de sesión hayan sido expuestos a un atacante a través de un registrador de teclas, ya que cada contraseña se invalida tan pronto como se usa. Esta solución puede ser útil para alguien que usa una computadora pública. Sin embargo, un atacante que tiene control remoto sobre una computadora de este tipo puede simplemente esperar a que la víctima ingrese sus credenciales antes de realizar transacciones no autorizadas en su nombre mientras su sesión está activa.

Fichas de seguridad

El uso de tarjetas inteligentes u otros tokens de seguridad puede mejorar la seguridad contra los ataques de reproducción ante un ataque de registro de teclas exitoso, ya que acceder a la información protegida requeriría tanto el token de seguridad (hardware) como la contraseña/frase de acceso adecuada. Conocer las pulsaciones de teclas, las acciones del mouse, la pantalla, el portapapeles, etc. que se usan en una computadora no ayudará posteriormente a que un atacante obtenga acceso al recurso protegido. Algunos tokens de seguridad funcionan como un tipo de sistema de contraseña de un solo uso asistido por hardware, y otros implementan una autenticación criptográfica de desafío-respuesta, que puede mejorar la seguridad de una manera conceptualmente similar a las contraseñas de un solo uso. Los lectores de tarjetas inteligentes y sus teclados asociados para la entrada de PIN pueden ser vulnerables al registro de pulsaciones de teclas a través del llamado ataque a la cadena de suministro en el que un atacante sustituye el hardware de entrada de PIN/lector de tarjetas por uno que registra el PIN del usuario.

Teclados en pantalla

La mayoría de los teclados en pantalla (como el teclado en pantalla que viene con Windows XP) envían mensajes de eventos de teclado normales al programa de destino externo para escribir texto. Los registradores de teclas de software pueden registrar estos caracteres escritos enviados de un programa a otro.

Software de interferencia de pulsaciones de teclas

El software de interferencia de pulsaciones de teclas también está disponible. Estos programas intentan engañar a los registradores de teclas introduciendo pulsaciones de teclas aleatorias, aunque esto simplemente hace que el registrador de teclas registre más información de la que necesita. Un atacante tiene la tarea de extraer las pulsaciones de teclas de interés; la seguridad de este mecanismo, específicamente qué tan bien resiste el criptoanálisis, no está clara.

Reconocimiento de voz

De forma similar a los teclados en pantalla, el software de conversión de voz a texto también se puede utilizar contra los registradores de pulsaciones de teclas, ya que no hay que escribir ni mover el ratón. El punto más débil del uso del software de reconocimiento de voz puede ser cómo el software envía el texto reconocido al software de destino después de que se haya procesado el habla del usuario.

Reconocimiento de escritura a mano y gestos del ratón

Muchas PDA y, últimamente, tabletas PC ya pueden convertir correctamente los movimientos del lápiz (también llamado lápiz óptico) en sus pantallas táctiles en texto comprensible para la computadora. Los gestos del mouse usan este principio al usar movimientos del mouse en lugar de un lápiz óptico. Los programas de gestos del mouse convierten estos trazos en acciones definibles por el usuario, como escribir texto. De manera similar, se pueden usar tabletas gráficas y lápices ópticos para ingresar estos gestos, sin embargo, estos son cada vez menos comunes.

La misma debilidad potencial del reconocimiento de voz también se aplica a esta técnica.

Macro expansores / grabadoras