Registro de pulsaciones de teclas - Keystroke logging

Parte de una serie sobre
Seguridad de información
Categorías de seguridad relacionadas
Seguridad automotriz Ciberdelito Tráfico de cibersexo Fraude informático Cybergeddon Terrorismo cibernético Guerra cibernética Guerra electrónica Guerra de información Seguridad de Internet Seguridad móvil Seguridad de la red Protección de copia Gestión de derechos digitales
Amenazas
Adware Amenaza Persistente Avanzada Ejecución de código arbitrario Puertas traseras Puertas traseras de hardware Inyección de código Crimeware Secuencias de comandos entre sitios Malware de criptojacking Botnets Filtración de datos Descarga drive-by objetos de ayuda del navegador Crimen informático Virus Raspado de datos Negación de servicio Escuchando a escondidas Fraude por correo electrónico Suplantación de correo electrónico Exploits Registradores de teclas Bombas lógicas Bombas de tiempo Bombas de horquilla Bombas de cremallera Marcadores fraudulentos Software malicioso Carga útil Suplantación de identidad Motor polimórfico Escalada de privilegios Secuestro de datos Rootkits Bootkits Espantapájaros Shellcode Spam Ingeniería social (seguridad) Raspado de pantalla Software espía Errores de software caballos de Troya Troyanos de hardware Troyanos de acceso remoto Vulnerabilidad Conchas web Limpiaparabrisas Gusanos inyección SQL Software de seguridad falso Zombi
Defensas
Seguridad de la aplicación Codificación segura Seguro por defecto Seguro por diseño Caso de mal uso Control de acceso informático Autenticación Autenticación multifactor Autorización Software de seguridad informática Software antivirus Sistema operativo centrado en la seguridad Seguridad centrada en datos Ofuscación de código Cifrado Cortafuegos Sistema de detección de intrusos Sistema de detección de intrusiones basado en host (HIDS) Detección de anomalías Gestión de eventos e información de seguridad (SIEM) Pasarela segura móvil Autoprotección de la aplicación en tiempo de ejecución
v t mi

El registro de pulsaciones de teclas , a menudo denominado registro de teclas o captura de teclado , es la acción de grabar (registrar) las teclas pulsadas en un teclado, generalmente de forma encubierta, de modo que una persona que usa el teclado no se da cuenta de que sus acciones están siendo monitoreadas. Luego, la persona que opera el programa de registro puede recuperar los datos. Un registrador de pulsaciones de teclas o un registrador de teclas puede ser software o hardware .

Si bien los programas en sí son legales, y muchos están diseñados para permitir que los empleadores supervisen el uso de sus computadoras, los registradores de pulsaciones de teclas se utilizan con mayor frecuencia para robar contraseñas y otra información confidencial .

El registro de teclas también se puede utilizar para estudiar la dinámica de pulsaciones de teclas o la interacción persona-computadora . Existen numerosos métodos de registro de teclas, que van desde enfoques basados ​​en hardware y software hasta el criptoanálisis acústico.

Solicitud

Registradores de pulsaciones basados ​​en software

Un ejemplo de captura de pantalla de keylogger, que contiene información potencialmente confidencial y privada. La imagen de abajo contiene el resultado de texto del keylogger correspondiente.

Un archivo de registro de un keylogger basado en software, basado en la captura de pantalla anterior

Un registrador de teclas basado en software es un programa de computadora diseñado para registrar cualquier entrada desde el teclado. Los keyloggers se utilizan en organizaciones de TI para solucionar problemas técnicos con computadoras y redes comerciales. Las familias y los empresarios utilizan los registradores de pulsaciones de teclas de forma legal para supervisar el uso de la red sin el conocimiento directo de sus usuarios. Microsoft declaró públicamente que Windows 10 tiene un keylogger integrado en su versión final "para mejorar los servicios de mecanografía y escritura". Sin embargo, las personas malintencionadas pueden usar keyloggers en computadoras públicas para robar contraseñas o información de tarjetas de crédito. La mayoría de los registradores de pulsaciones de teclas no se detienen mediante el cifrado HTTPS porque eso solo protege los datos en tránsito entre computadoras; Los registradores de teclas basados ​​en software se ejecutan en la computadora del usuario afectado y leen las entradas del teclado directamente a medida que el usuario escribe.

Desde una perspectiva técnica, hay varias categorías:

• Basado en hipervisor : teóricamente, el registrador de teclas puede residir en un hipervisor de malware que se ejecuta debajo del sistema operativo, que por lo tanto permanece intacto. Se convierte efectivamente en una máquina virtual . Blue Pill es un ejemplo conceptual.
• Basado en kernel : un programa en la máquina obtiene acceso de root para esconderse en el sistema operativo e intercepta las pulsaciones de teclas que pasan a través del kernel. Este método es difícil tanto de escribir como de combatir. Estos registradores de pulsaciones de teclas residen en el nivel del kernel , lo que los hace difíciles de detectar, especialmente para las aplicaciones en modo usuario que no tienen acceso de root. Con frecuencia se implementan como rootkits que subvierten el kernel del sistema operativo para obtener acceso no autorizado al hardware. Esto los hace muy poderosos. Un registrador de teclas que utilice este método puede actuar como un controlador de dispositivo de teclado, por ejemplo, y así obtener acceso a cualquier información escrita en el teclado a medida que llega al sistema operativo.
• Basado en API : estos registradores de teclas enlazan las API de teclado dentro de una aplicación en ejecución. El registrador de teclas registra los eventos de pulsación de teclas como si fuera una pieza normal de la aplicación en lugar de malware. El keylogger recibe un evento cada vez que el usuario presiona o suelta una tecla. El keylogger simplemente lo registra.
  • API de Windows, tales como GetAsyncKeyState(), GetForegroundWindow(), etc. se utilizan para sondear el estado del teclado o para suscribirse a eventos de teclado. Un ejemplo más reciente simplemente consulta el BIOS en busca de PIN de autenticación previos al arranque que no se hayan borrado de la memoria.
• Forman agarrar base : Formulario de acaparamiento keyloggers basados registro de formularios web presentaciones mediante el registro de los datos de la forma de presentar los acontecimientos. Esto sucede cuando el usuario completa un formulario y lo envía, generalmente haciendo clic en un botón o presionando Intro. Este tipo de registrador de teclas registra los datos del formulario antes de que se pasen a través de Internet.
• Basado en Javascript: una etiqueta de secuencia de comandos maliciosa se inyecta en una página web de destino y escucha eventos clave como onKeyUp(). Los scripts se pueden inyectar a través de una variedad de métodos, que incluyen scripts entre sitios , man-in-the-browser , man-in-the-middle o un compromiso del sitio web remoto.
• Basado en inyección de memoria: los keyloggers basados ​​en inyección de memoria ( MitB ) realizan su función de registro alterando las tablas de memoria asociadas con el navegador y otras funciones del sistema. Al parchear las tablas de memoria o inyectar directamente en la memoria, los autores de malware pueden utilizar esta técnica para evitar el UAC de Windows (Control de cuentas de usuario). Los troyanos Zeus y SpyEye utilizan este método exclusivamente. Los sistemas que no son de Windows tienen mecanismos de protección que permiten el acceso a datos registrados localmente desde una ubicación remota. La comunicación remota se puede lograr cuando se utiliza uno de estos métodos:
  • Los datos se cargan en un sitio web, una base de datos o un servidor FTP .
  • Los datos se envían periódicamente por correo electrónico a una dirección de correo electrónico predefinida .
  • Los datos se transmiten de forma inalámbrica empleando un sistema de hardware adjunto.
  • El software permite un inicio de sesión remoto en la máquina local desde Internet o la red local, para los registros de datos almacenados en la máquina de destino.

Registro de pulsaciones de teclas en la investigación del proceso de escritura

Desde 2006, el registro de pulsaciones de teclas ha sido un método de investigación establecido para el estudio de los procesos de escritura. Se han desarrollado diferentes programas para recopilar datos de procesos en línea de actividades de escritura, incluidos Inputlog , Scriptlog, Translog y GGXLog .

El registro de pulsaciones de teclas se utiliza legítimamente como un instrumento de investigación adecuado en varios contextos de escritura. Estos incluyen estudios sobre procesos de escritura cognitiva, que incluyen

• descripciones de estrategias de escritura; el desarrollo de la escritura de los niños (con y sin dificultades de escritura),
• ortografía,
• escritura en primer y segundo idioma, y
• áreas de habilidades especializadas como traducción y subtitulado.

El registro de pulsaciones de teclas se puede utilizar para investigar la escritura, específicamente. También se puede integrar en dominios educativos para el aprendizaje de un segundo idioma, habilidades de programación y habilidades de mecanografía.

Funciones relacionadas

Los registradores de teclas de software pueden ampliarse con funciones que capturan información del usuario sin depender de las pulsaciones de las teclas del teclado como única entrada. Algunas de estas características incluyen:

• Registro de portapapeles. El programa puede capturar todo lo que se haya copiado en el portapapeles .
• Registro de pantalla. Se toman capturas de pantalla para capturar información basada en gráficos. Las aplicaciones con capacidad de registro de pantalla pueden tomar capturas de pantalla de toda la pantalla, de una sola aplicación o incluso alrededor del cursor del mouse. Pueden tomar estas capturas de pantalla periódicamente o en respuesta a los comportamientos del usuario (por ejemplo, cuando un usuario hace clic con el mouse). El registro de pantalla se puede utilizar para capturar datos ingresados ​​con un teclado en pantalla.
• Capturar el texto en un control mediante programación . La API de Microsoft Windows permite a los programas solicitar el "valor" de texto en algunos controles. Esto significa que se pueden capturar algunas contraseñas, incluso si están ocultas detrás de máscaras de contraseña (generalmente asteriscos).
• La grabación de cada programa / carpeta / ventana abierta, incluida una captura de pantalla de cada sitio web visitado.
• El registro de consultas de motores de búsqueda , conversaciones de mensajería instantánea , descargas de FTP y otras actividades basadas en Internet (incluido el ancho de banda utilizado).

Registradores de teclas basados ​​en hardware

Un keylogger basado en hardware

Un registrador de teclas basado en hardware conectado

Los keyloggers basados ​​en hardware no dependen de la instalación de ningún software, ya que existen a nivel de hardware en un sistema informático.

• Basado en firmware: el firmware de nivel de BIOS que maneja los eventos del teclado se puede modificar para registrar estos eventos a medida que se procesan. Se requiere acceso físico y / o de nivel raíz a la máquina, y el software cargado en el BIOS debe crearse para el hardware específico en el que se ejecutará.
• Hardware del teclado: los keyloggers de hardware se utilizan para el registro de pulsaciones de teclas utilizando un circuito de hardware que se conecta en algún lugar entre el teclado de la computadora y la computadora, generalmente en línea con el conector del cable del teclado. También hay keyloggers de hardware basados ​​en conectores USB , así como para computadoras portátiles (la tarjeta Mini-PCI se conecta a la ranura de expansión de una computadora portátil). Se pueden instalar o integrar implementaciones más sigilosas en teclados estándar para que ningún dispositivo sea visible en el cable externo. Ambos tipos registran toda la actividad del teclado en su memoria interna , a la que se puede acceder posteriormente, por ejemplo, escribiendo una secuencia de teclas secretas. Los keyloggers de hardware no requieren que se instale ningún software en la computadora de un usuario de destino, por lo tanto, no interfieren con el funcionamiento de la computadora y es menos probable que sean detectados por el software que se ejecuta en ella. Sin embargo, su presencia física puede detectarse si, por ejemplo, se instala fuera de la carcasa como un dispositivo en línea entre la computadora y el teclado. Algunas de estas implementaciones se pueden controlar y monitorear de forma remota utilizando un estándar de comunicación inalámbrica.
• Detectores inalámbricos de teclado y mouse: estos detectores pasivos recopilan paquetes de datos que se transfieren desde un teclado inalámbrico y su receptor. Como el cifrado se puede utilizar para asegurar las comunicaciones inalámbricas entre los dos dispositivos, es posible que sea necesario descifrarlo de antemano si se van a leer las transmisiones. En algunos casos, esto permite a un atacante escribir comandos arbitrarios en la computadora de la víctima.
• Superposiciones de teclado: se sabe que los delincuentes utilizan superposiciones de teclado en los cajeros automáticos para capturar los PIN de las personas. Cada pulsación de tecla es registrada por el teclado del cajero automático, así como por el teclado del delincuente que se coloca sobre él. El dispositivo está diseñado para parecerse a una parte integrada de la máquina para que los clientes del banco no se den cuenta de su presencia.
• Registradores de teclas acústicos: el criptoanálisis acústico se puede utilizar para monitorear el sonido creado por alguien que escribe en una computadora. Cada tecla del teclado produce una firma acústica sutilmente diferente cuando se toca. Entonces es posible identificar qué firma de pulsación de tecla se relaciona con qué carácter del teclado a través de métodos estadísticos como el análisis de frecuencia . La frecuencia de repetición de firmas de pulsaciones de teclas acústicas similares, los tiempos entre las diferentes pulsaciones del teclado y otra información de contexto, como el idioma probable en el que está escribiendo el usuario, se utilizan en este análisis para asignar sonidos a letras. Se requiere una grabación bastante larga (1000 o más pulsaciones de teclas) para recolectar una muestra lo suficientemente grande .
• Emisiones electromagnéticas: es posible capturar las emisiones electromagnéticas de un teclado cableado desde una distancia de hasta 20 metros (66 pies), sin estar físicamente conectado a él. En 2009, investigadores suizos probaron 11 teclados USB , PS / 2 y portátiles diferentes en una cámara semianecoica y los encontraron todos vulnerables, principalmente debido al costo prohibitivo de agregar blindaje durante la fabricación. Los investigadores utilizaron un receptor de banda ancha para sintonizar la frecuencia específica de las emisiones radiadas por los teclados.
• Vigilancia óptica: la vigilancia óptica, aunque no es un keylogger en el sentido clásico, es un enfoque que se puede utilizar para capturar contraseñas o PIN. Una cámara colocada estratégicamente, como una cámara de vigilancia oculta en un cajero automático , puede permitir que un delincuente observe cómo se ingresa un PIN o una contraseña.
• Evidencia física: Para un teclado que se usa solo para ingresar un código de seguridad, las teclas que están en uso real tendrán evidencia de uso de muchas huellas dactilares. Un código de acceso de cuatro dígitos, si se conocen las cuatro dígitos en cuestión, se reduce de 10.000 posibilidades a sólo 24 posibilidades (10 ⁴ frente a 4! [ Factoriales de 4]). Estos podrían utilizarse en ocasiones distintas para un "ataque de fuerza bruta" manual.
• Sensores de teléfonos inteligentes: los investigadores han demostrado que es posible capturar las pulsaciones de los teclados de computadoras cercanas utilizando solo el acelerómetro básico que se encuentra en los teléfonos inteligentes. El ataque es posible al colocar un teléfono inteligente cerca de un teclado en el mismo escritorio. El acelerómetro del teléfono inteligente puede detectar las vibraciones creadas al escribir en el teclado y luego traducir esta señal del acelerómetro sin procesar en oraciones legibles con una precisión de hasta el 80 por ciento. La técnica implica trabajar a través de la probabilidad mediante la detección de pares de pulsaciones de teclas, en lugar de teclas individuales. Modela "eventos de teclado" en pares y luego determina si el par de teclas presionadas está en el lado izquierdo o derecho del teclado y si están muy juntas o muy separadas en el teclado QWERTY. Una vez que ha resuelto esto, compara los resultados con un diccionario precargado donde cada palabra se ha desglosado de la misma manera. También se ha demostrado que técnicas similares son efectivas para capturar las pulsaciones de teclas en los teclados de pantalla táctil, mientras que en algunos casos, en combinación con el giroscopio o con el sensor de luz ambiental.
• Registradores de pulsaciones corporales: los registradores de pulsaciones corporales rastrean y analizan los movimientos corporales para determinar qué teclas se presionaron. El atacante debe estar familiarizado con la distribución de las teclas del teclado con seguimiento para correlacionar entre los movimientos del cuerpo y la posición de las teclas. El seguimiento de las señales audibles de la interfaz del usuario (por ejemplo, un sonido que produce el dispositivo para informar al usuario de que se registró una pulsación de tecla) puede reducir la complejidad de los algoritmos de registro de teclas corporales, ya que marca el momento en el que se pulsó una tecla.

Historia

A mediados de la década de 1970, la Unión Soviética desarrolló e implementó un registrador de teclas de hardware dirigido a las máquinas de escribir . Denominado el "error selectric", medía los movimientos del cabezal de impresión de las máquinas de escribir IBM Selectric a través de influencias sutiles en el campo magnético regional causado por la rotación y los movimientos del cabezal de impresión. Perry Kivolowitz escribió uno de los primeros keylogger y lo publicó en el grupo de noticias de Usenet net.unix-wizards, net.sources el 17 de noviembre de 1983. La publicación parece ser un factor motivador para restringir el acceso a / dev / kmem en sistemas Unix . El programa en modo de usuario operaba localizando y volcando listas de caracteres (clientes) a medida que se ensamblaban en el kernel de Unix.

En la década de 1970, los espías instalaron registradores de pulsaciones de teclas en los edificios de la embajada y el consulado de Estados Unidos en Moscú . Instalaron los errores en las máquinas de escribir eléctricas Selectric II y Selectric III.

Las embajadas soviéticas utilizaron máquinas de escribir manuales, en lugar de máquinas de escribir eléctricas, para obtener información clasificada, aparentemente porque son inmunes a esos errores. A partir de 2013, los servicios especiales rusos todavía utilizan máquinas de escribir.

Agrietamiento

Escribir aplicaciones de software simples para el registro de teclas puede ser trivial y, como cualquier programa informático nefasto, puede distribuirse como un caballo de Troya o como parte de un virus . Lo que no es trivial para un atacante, sin embargo, es instalar un registrador de pulsaciones de teclas encubierto sin ser atrapado y descargar datos que se han registrado sin ser rastreados. Un atacante que se conecta manualmente a una máquina host para descargar las pulsaciones de teclas registradas corre el riesgo de ser rastreado. Un troyano que envía datos de keylogged a una dirección de correo electrónico fija o una dirección IP corre el riesgo de exponer al atacante.

Troyanos

Los investigadores Adam Young y Moti Yung discutieron varios métodos para enviar registros de pulsaciones de teclas. Presentaron un ataque de robo de contraseña negable en el que el troyano de registro de pulsaciones de teclas se instala mediante un virus o gusano . Un atacante que sea atrapado con el virus o gusano puede presumir de ser una víctima. El criptotroyano encripta asimétricamente los pares de nombre de usuario / contraseña robados utilizando la clave pública del autor del troyano y transmite de forma encubierta el texto cifrado resultante . Mencionaron que el texto cifrado se puede codificar esteganográficamente y publicar en un tablón de anuncios público como Usenet .

Uso por la policía

En 2000, el FBI usó FlashCrest iSpy para obtener la contraseña PGP de Nicodemo Scarfo, Jr. , hijo del jefe de la mafia Nicodemo Scarfo . También en 2000, el FBI atrajo a dos presuntos delincuentes cibernéticos rusos a los EE. UU. En un elaborado ardid y capturó sus nombres de usuario y contraseñas con un registrador de teclas que se instaló de forma encubierta en una máquina que usaban para acceder a sus computadoras en Rusia . Luego, el FBI usó estas credenciales para obtener acceso a las computadoras de los sospechosos en Rusia y obtener pruebas para procesarlos.

Contramedidas

La efectividad de las contramedidas varía porque los keyloggers utilizan una variedad de técnicas para capturar datos y la contramedida debe ser efectiva contra la técnica de captura de datos en particular. En el caso del keylogging de Windows 10 por Microsoft, cambiar ciertas configuraciones de privacidad puede deshabilitarlo. Un teclado en pantalla será eficaz contra los registradores de teclas de hardware; la transparencia derrotará a algunos, pero no a todos, los registradores de pantalla. Una aplicación anti-spyware que solo puede desactivar los keyloggers basados ​​en hooks no será efectiva contra los keyloggers basados ​​en kernel.

Los autores del programa Keylogger pueden actualizar el código de su programa para adaptarse a las contramedidas que han demostrado ser efectivas contra él.

Anti-keyloggers

Un anti-keylogger es un software diseñado específicamente para detectar keyloggers en una computadora, generalmente comparando todos los archivos en la computadora con una base de datos de keyloggers, buscando similitudes que puedan indicar la presencia de un keylogger oculto. Como los anti-keyloggers se han diseñado específicamente para detectar keyloggers, tienen el potencial de ser más efectivos que el software antivirus convencional; Algunos programas antivirus no consideran que los keyloggers sean malware, ya que, en algunas circunstancias, un keylogger puede considerarse una pieza de software legítima.

CD / USB en vivo

Reiniciar la computadora usando un Live CD o Live USB protegido contra escritura es una posible contramedida contra los registradores de teclas de software si el CD está libre de malware y el sistema operativo que contiene está protegido y completamente parcheado para que no se pueda infectar tan pronto como sea posible. empezado. Arrancar un sistema operativo diferente no afecta el uso de un registrador de teclas basado en hardware o BIOS.

Programas anti-spyware / antivirus

Muchas aplicaciones anti-spyware pueden detectar algunos keyloggers basados ​​en software y ponerlos en cuarentena, deshabilitarlos o eliminarlos. Sin embargo, debido a que muchos programas de keylogging son piezas de software legítimas en algunas circunstancias, el anti-spyware a menudo se niega a etiquetar los programas de keylogging como spyware o virus. Estas aplicaciones pueden detectar keyloggers basados ​​en software basados ​​en patrones en código ejecutable , heurística y comportamientos de keylogger (como el uso de hooks y ciertas API ).

Ninguna aplicación anti-spyware basada en software puede ser 100% efectiva contra todos los keyloggers. El anti-spyware basado en software no puede derrotar a los keyloggers que no son de software (por ejemplo, los keyloggers de hardware conectados a los teclados siempre recibirán pulsaciones de teclas antes que cualquier aplicación anti-spyware basada en software).

La técnica particular que utiliza la aplicación anti-spyware influirá en su eficacia potencial contra los registradores de teclas de software. Como regla general, las aplicaciones anti-spyware con mayores privilegios derrotarán a los keyloggers con menores privilegios. Por ejemplo, una aplicación anti-spyware basada en hook no puede derrotar a un keylogger basado en kernel (ya que el keylogger recibirá los mensajes de pulsación de teclas antes que la aplicación anti-spyware), pero podría potencialmente derrotar a los keyloggers basados ​​en API y hook-hook.

Monitores de red

Los monitores de red (también conocidos como firewalls inversos) se pueden utilizar para alertar al usuario cada vez que una aplicación intenta establecer una conexión de red. Esto le da al usuario la oportunidad de evitar que el registrador de teclas " llame a casa " con su información escrita.

Programas de llenado automático de formularios

Los programas de llenado automático de formularios pueden evitar el registro de teclas al eliminar el requisito de que un usuario ingrese datos personales y contraseñas usando el teclado. Los rellenos de formularios están diseñados principalmente para que los navegadores web llenen las páginas de pago e inicien la sesión de los usuarios en sus cuentas. Una vez que la información de la cuenta y la tarjeta de crédito del usuario se haya ingresado en el programa, se ingresará automáticamente en los formularios sin usar el teclado o el portapapeles , lo que reduce la posibilidad de que se registren datos privados. Sin embargo, es posible que alguien con acceso físico a la máquina aún pueda instalar software que pueda interceptar esta información en otra parte del sistema operativo o mientras está en tránsito en la red. ( Transport Layer Security (TLS) reduce el riesgo de que los rastreadores de red y las herramientas de proxy puedan interceptar los datos en tránsito ).

Contraseñas de un solo uso (OTP)

El uso de contraseñas de un solo uso puede evitar el acceso no autorizado a una cuenta cuyos datos de inicio de sesión han sido expuestos a un atacante a través de un keylogger, ya que cada contraseña se invalida tan pronto como se utiliza. Esta solución puede resultar útil para alguien que utilice una computadora pública. Sin embargo, un atacante que tiene control remoto sobre una computadora de este tipo puede simplemente esperar a que la víctima ingrese sus credenciales antes de realizar transacciones no autorizadas en su nombre mientras su sesión está activa.

Tokens de seguridad

El uso de tarjetas inteligentes u otros tokens de seguridad puede mejorar la seguridad contra ataques de reproducción ante un ataque exitoso de registro de teclas, ya que para acceder a la información protegida se requeriría tanto el token de seguridad (hardware) como la contraseña / frase de contraseña adecuada. Conocer las pulsaciones de teclas, las acciones del mouse, la pantalla, el portapapeles, etc. utilizados en una computadora no ayudará posteriormente a un atacante a obtener acceso al recurso protegido. Algunos tokens de seguridad funcionan como un tipo de sistema de contraseñas de un solo uso asistido por hardware, y otros implementan una autenticación de desafío-respuesta criptográfico , que puede mejorar la seguridad de una manera conceptualmente similar a las contraseñas de un solo uso. Los lectores de tarjetas inteligentes y sus teclados asociados para la entrada de PIN pueden ser vulnerables al registro de pulsaciones de teclas a través de un llamado ataque a la cadena de suministro en el que un atacante sustituye el hardware de entrada de PIN / lector de tarjetas por uno que registra el PIN del usuario.

Teclados en pantalla

La mayoría de los teclados en pantalla (como el teclado en pantalla que viene con Windows XP ) envían mensajes de eventos de teclado normales al programa de destino externo para escribir texto. Los registradores de claves de software pueden registrar estos caracteres escritos enviados de un programa a otro.

Software de interferencia de pulsaciones de teclas

El software de interferencia de pulsaciones también está disponible. Estos programas intentan engañar a los keyloggers introduciendo pulsaciones de teclas aleatorias, aunque esto simplemente da como resultado que el keylogger registre más información de la que necesita. Un atacante tiene la tarea de extraer las pulsaciones de teclas de interés; la seguridad de este mecanismo, específicamente qué tan bien resiste el criptoanálisis , no está clara.

Reconocimiento de voz

De manera similar a los teclados en pantalla, el software de conversión de voz a texto también se puede usar contra los registradores de teclas, ya que no implica escribir ni mover el mouse. El punto más débil del uso de software de reconocimiento de voz puede ser cómo el software envía el texto reconocido al software de destino después de que se ha procesado la voz del usuario.

Reconocimiento de escritura a mano y gestos del mouse

Muchas PDA y últimamente tabletas PC ya pueden convertir con éxito los movimientos del lápiz (también llamado lápiz) en sus pantallas táctiles en texto comprensible por computadora. Los gestos del mouse utilizan este principio mediante movimientos del mouse en lugar de un lápiz óptico. Los programas de gestos del mouse convierten estos trazos en acciones definibles por el usuario, como escribir texto. De manera similar, se pueden usar tabletas gráficas y bolígrafos de luz para ingresar estos gestos, sin embargo, estos se están volviendo menos comunes.

La misma debilidad potencial del reconocimiento de voz también se aplica a esta técnica.

Grabadores / expansores de macros

Con la ayuda de muchos programas, un texto aparentemente sin sentido se puede expandir a un texto significativo y la mayoría de las veces de manera sensible al contexto, por ejemplo, "en.wikipedia.org" se puede expandir cuando una ventana del navegador web tiene el foco. La mayor debilidad de esta técnica es que estos programas envían sus pulsaciones de teclas directamente al programa de destino. Sin embargo, esto se puede superar mediante el uso de la técnica de 'alternancia' que se describe a continuación , es decir, enviando clics del mouse a áreas que no responden del programa de destino, enviando teclas sin sentido, enviando otro clic del mouse al área de destino (por ejemplo, campo de contraseña) y retrocediendo -y adelante.

Mecanografía engañosa

Alternar entre escribir las credenciales de inicio de sesión y escribir caracteres en otro lugar de la ventana de enfoque puede hacer que un registrador de teclas registre más información de la que necesita, pero un atacante podría filtrarla fácilmente. De manera similar, un usuario puede mover su cursor usando el mouse mientras escribe, lo que hace que las pulsaciones de teclas registradas estén en el orden incorrecto, por ejemplo, escribiendo una contraseña que comienza con la última letra y luego usando el mouse para mover el cursor para cada letra subsiguiente. Por último, alguien también puede usar menús contextuales para eliminar, cortar, copiar y pegar partes del texto escrito sin usar el teclado. Un atacante que puede capturar solo partes de una contraseña tendrá un espacio clave más grande para atacar si elige ejecutar un ataque de fuerza bruta .

Otra técnica muy similar utiliza el hecho de que cualquier parte de texto seleccionada se reemplaza por la siguiente tecla que se escribe. por ejemplo, si la contraseña es "secreta", se podría escribir "s", luego algunas claves ficticias "asdf". Estos caracteres ficticios podrían seleccionarse con el mouse y teclear el siguiente carácter de la contraseña "e", que reemplaza a los caracteres ficticios "asdf".

Estas técnicas asumen incorrectamente que el software de registro de pulsaciones de teclas no puede supervisar directamente el portapapeles, el texto seleccionado en un formulario o tomar una captura de pantalla cada vez que se produce una pulsación de tecla o un clic del mouse. Sin embargo, pueden ser efectivos contra algunos registradores de pulsaciones de teclas de hardware.

Ver también

• Anti-keylogger
• Criptoanálisis de bolsa negra
• Vigilancia por computadora
• Huella digital
• Registrador de teclas de hardware
• Conexión inversa
• Reproducción de sesión
• Software espía
• caballo de Troya
• Teclado virtual
• Seguimiento web

Referencias

enlaces externos

• Registradores de teclas en Curlie