En el teclado de su PC puede esconderse un espí­a

En febrero de 2005, Joe López, un empresario de Florida, enjuició al Bank of America después de que unos hackers robaran 90.000 dólares de su cuenta en este banco. El dinero robado habí­a sido transferido a Latvia, una ex república soviética ubicada a orillas del mar Báltico.

Una investigación reveló que la computadora de López habí­a sido infectada con el virus conocido como Backdoor Coreflood, el cual registra cada pulsación del teclado y enví­a esta información a ciberdelincuentes ví­a Internet. Fue de esta manera que los hackers obtuvieron el nombre de usuario y la contraseña de Joe López, ya que él a menudo realizaba sus transacciones bancarias a través de Internet.

Sin embargo, el veredicto del tribunal no favoreció al demandante pues se adujo que Joe López habí­a sido negligente por no tomar precauciones al manejar su cuenta bancaria a través de Internet. Los datos del código malicioso encontrado en su sistema habí­a sido añadida a las bases de datos de casi todos los antivirus ya en 2003.

Las pérdidas de Joe López fueron causadas por una combinación de un descuido general y un programa keylogger ordinario.

Qué es un keylogger
Por sí­ mismo, el término 'keylogger' es neutral y describe una función que registra las pulsaciones de las teclas de la computadora.

La mayorí­a de las fuentes consultadas definen keylogger como un programa diseñado para monitorear y registrar en secreto cada pulsación del teclado.

Esta definición no es correcta del todo, pues un keylogger no necesariamente tiene que ser un programa, sino que también puede ser un dispositivo fí­sico.

Los dispositivos keylogger son menos conocidos que el software keylogger, pero es importante tener en cuenta la existencia de ambos cuando se habla de seguridad informática.

Los programas legí­timos pueden tener una función de keylogger que se puede utilizar (y a menudo se utiliza), para iniciar ciertos programas mediante combinaciones de teclas (‘hotkeys') o para cambiar la distribución del teclado (por ejemplo el teclado Ninja).

Se encuentra disponible un gran número de programas diseñados que permiten a los administradores rastrear las actividades diarias de los empleados en sus computadoras, o que permiten a los usuarios hacer lo mismo respecto a las actividades de terceros. Sin embargo, el lí­mite ético entre el monitoreo justificado y el espionaje delincuencial suele ser muy tenue. Sucede que a menudo los programas legí­timos son utilizados de manera deliberada para robar información confidencial del usuario, como por ejemplo sus contraseñas.

La mayorí­a de los modernos keyloggers se consideran software o hardware legí­timo y se venden abiertamente en el mercado. Los desarrolladores y vendedores ofrecen una larga lista de casos en los cuales resulta legal el uso de los keyloggers, como por ejemplo:

• Control para padres: los padres pueden rastrear las actividades de sus hijos en Internet y pueden solicitar que se les enví­e notificaciones en caso de acceso a sitios Internet con contenido para adultos.
• Las esposas o esposos celosos pueden recurrir a un keylogger para rastrear las actividades de su pareja en Internet si llegan a sospechar que están envueltos en una "relación virtual".
• Seguridad corporativa: rastreado del uso de ordenadores con propósitos extralaborales, o el uso de las estaciones fuera de las horas de trabajo.
• Seguridad corporativa: uso de keyloggers para rastrear la introducción de palabras y frases clave asociadas con información comercial que podrí­a perjudicar a la empresa (ya sea en el orden material u otro) si llegara a revelarse.
• Otro tipo de seguridad: uso de registros de keyloggers para analizar y rastrear incidentes relacionados con el uso de ordenadores personales;

Otras razones
Aunque las justificaciones mencionadas son más subjetivas que objetivas, todas las situaciones pueden resolverse mediante otros métodos. Además, cualquier programa keylogger legí­timo siempre puede ser utilizado con intenciones maliciosas o delincuenciales. Hoy los keyloggers se usan principalmente para robar información relacionada a varios sistemas de pago en lí­nea, y los desarrolladores de virus no cesan en su afán de elaborar nuevos troyanos keyloggers con tal propósito.

Muchos keyloggers se esconden en el sistema, por ejemplo, pueden camuflarse como rootkits, lo cual los convierte en programas troyanos completamente furtivos.

Considerando que los keyloggers pueden usarse para cometer actos delictivos, la detección de tales programas se ha convertido en una prioridad para las compañí­as antivirus.

El sistema clasificatorio de Kaspersky Lab tiene una categorí­a especial llamada Trojan-Spy, que resulta ser una buena definición para los keyloggers. Los troyanos-espí­a, tal como sugiere su nombre, rastrean la actividad del usuario, almacenan la información en el disco duro de la computadora del usuario y luego se la enví­an al autor o "dueño" del troyano.

La información robada incluye las teclas pulsadas por el usuario y fotografí­as de pantallas, las cuales se utilizan en el robo de información bancaria para llevar a cabo los fraudes en lí­nea.

Razones de una amenaza

A diferencia de otros tipos de programas maliciosos, los keyloggers no representan una amenaza para el sistema mismo. Sin embargo, pueden significar una seria amenaza para los usuarios ya que pueden usarse para interceptar contraseñas y otro tipo de información confidencial ingresada a través del teclado.

Como resultado, los ciberdelincuentes pueden obtener códigos PIN y números de cuentas de sistemas de pagos en lí­nea, contraseñas para cuentas de usuarios de juegos en lí­nea, direcciones de correo electrónico, nombres de usuario, contraseñas de correo electrónico, etc.

Una vez que el ciberdelincuente tiene en su poder la información confidencial del usuario, puede con toda facilidad proceder a transferir los fondos desde la cuenta del usuario o puede obtener acceso a la cuenta del usuario de juegos en lí­nea.

Por desgracia, este acceso a información personal a veces conlleva consecuencias de mayor gravedad que la pérdida de unos cuantos dólares por parte del usuario. Los keyloggers pueden ser usados como herramientas en el espionaje industrial y polí­tico, ya que se logra obtener datos que pudieran incluir información de propiedad comercial y material gubernamental clasificado que podrí­an llegar a comprometer la seguridad de organismos estatales, por ejemplo, mediante el robo de llaves privadas de cifrado.

Los keyloggers junto al phishing y a los métodos de ingenierí­a social son los principales métodos utilizados en el fraude electrónico moderno. Sin embargo, no es difí­cil para un usuario cauto protegerse. Basta ignorar aquellos correos electrónicos claramente identificados como phishing y no brindar ningún tipo de información personal a sitios Internet sospechosos. En cambio, no hay mucho que un usuario pueda hacer para prevenir el fraude cometido mediante los keyloggers, excepto recurrir a medios especializados de protección, puesto que resulta casi imposible comprobar un fraude cometido mediante un keylogger.

Según Cristine Hoepers, gerente del Equipo de Respuesta a Emergencias Informáticas del Brasil que trabaja en el marco de la Comisión sobre Internet de aquel paí­s, los keyloggers han desplazado al phishing del primer lugar en la lista de los métodos más utilizados en el robo de información confidencial. Más aún, los keyloggers se están volviendo cada vez más sofisticados pues pueden rastrear sitios Internet visitados por el usuario y sólo registrar el uso del teclado en aquellos sitios de particular interés para el ciberdelincuente.

Durante los últimos años se ha presenciado un notable crecimiento en el número de los diferentes tipos de programas maliciosos con funciones de keyloggers. Ningún usuario de Internet se libra del riesgo de caer en manos de los ciberdelincuentes, sin importar en qué parte del mundo se encuentre ni la organización para la que trabaje.

Casos concretos de robos
Uno de los últimos incidentes más conocidos en relación al uso de keyloggers fue el del robo de más de un millón de dólares de las cuentas de los clientes de uno de los mayores bancos escandinavos, el banco Nordea. En agosto de 2006, los clientes de Nordea empezaron a recibir correos electrónicos de parte del banco con ofertas para instalar un producto antispam, supuestamente adjunto al mensaje. En el momento en que el usuario trataba de abrir el archivo y descargarlo en su ordenador, este se infectaba con un conocido troyano llamado Haxdoor que se activaba cuando las ví­ctimas se registraban en el servicio en lí­nea de Nordea. El troyano lanzaba entonces una notificación de error solicitando al usuario reingresar la información provista al momento de registrarse. Luego, un keylogger que vení­a incorporado en el troyano grababa todos los datos ingresados por los clientes del banco y acto seguido procedí­a a enviar toda la información recogida al servidor del ciberdelincuente. Era de esta manera que los ciberdelincuentes accedí­an a las cuentas de los clientes y transferí­an los fondos que habí­a en ellas. Según el autor de Haxdoor, el troyano ha sido utilizado en ataques contra bancos australianos así­ como contra muchos otros.

En febrero de 2006, la policí­a brasileña arrestó a 55 personas involucradas en la propagación de programas maliciosos utilizados para robar a los usuarios su información y contraseñas para sistemas bancarios. Los keyloggers se activaban mientras los usuarios visitaban el sitio Internet de sus bancos, y en secreto rastreaban los datos sobre estas páginas para luego enviarlas a los cibercriminales. El total del dinero robado de las cuentas de 200 clientes en seis bancos en el paí­s, alcanzó los 4,7 millones de dólares.

Aumento en el uso
El hecho de que los ciberdelincuentes opten por los keyloggers de manera tan recurrente es confirmado por las compañí­as de seguridad informática.

Uno de los recientes informes de VeriSign subraya que en los últimos años la compañí­a ha notado un rápido crecimiento del número de programas maliciosos que incluyen la funcionalidad para los keyloggers.

En uno de sus informes, la empresa de seguridad informática Symantec señala que alrededor del 50 por ciento de los programas detectados por los analistas de la compañí­a durante el año pasado no representan una amenaza directa para los ordenadores, sino que en todo caso son utilizados por ciberdelincuentes para capturar datos personales del usuario.

Según una investigación realizada por John Bambenek, analista del instituto SANS, sólo en los Estados Unidos unos diez millones de ordenadores están actualmente infectados con algún programa malicioso que contiene una función de keylogger. Combinando estas cifras con el número total de usuarios estadounidenses de sistemas de pago en lí­nea, se estima que las posibles pérdidas asciendan a unos 24,3 millones de dólares.

La mayorí­a de los modernos programas maliciosos están constituidos por hí­bridos que utilizan diferentes tecnologí­as. Debido a ello, cualquier categorí­a de programa malicioso podrí­a incluir programas con funciones o subfunciones de keyloggers.

Cómo se propagan
Los keyloggers se propagan de manera muy parecida a como lo hacen otros programas maliciosos. Exceptuando aquellos casos en los que los keyloggers son adquiridos e instalados por una pareja celosa, o son usados por servicios de seguridad, por lo general se propagan mediante los siguientes métodos:

Un keylogger se puede instalar cuando:

• Un usuario abre un archivo adjunto a un mensaje de correo electrónico.
• Un archivo se ejecuta desde un directorio de acceso abierto en una red P2P.
• Una rutina de una página de Internet aprovecha una vulnerabilidad de un navegador y automáticamente ejecuta el programa cuando el usuario visita un sitio Internet infectado.
• Un programa malicioso previamente instalado entra en acción, capaz de descargar e instalar otros programas maliciosos en el sistema.

Cómo protegerse
La mayorí­a de las compañí­as antivirus ya han añadido descripciones de conocidos keyloggers a sus bases de datos, volviendo así­ la protección contra los keyloggers similar a la protección contra otros tipos de programas maliciosos: instalan un producto antivirus y mantienen actualizada su base de datos. Sin embargo, debido a que la mayorí­a de los productos antivirus clasifican a los keyloggers como potenciales programas maliciosos, los usuarios deberí­an asegurarse de que su producto antivirus detecte, con la configuración por defecto, este tipo de malware. Si no sucede así­, el producto deberí­a ser configurado apropiadamente para garantizar una protección contra los keyloggers comunes.

Puesto que el principal objetivo de los keyloggers es capturar información confidencial (números de tarjetas bancarias, contraseñas, etc.) las formas más lógicas de protegerse contra keyloggers desconocidos son las siguientes, usando:

• Contraseñas válidas por una sola vez o un proceso de autentificación de dos pasos.
• Un sistema con protección proactiva diseñada para detectar programas keyloggers.
• Un teclado virtual.

El uso de contraseñas válidas por una sola vez ayuda a minimizar las pérdidas si la contraseña ingresada es interceptada, ya que la contraseña generada puede ser utilizada una sola vez, y el periodo de tiempo durante el cual puede ser utilizada es limitado. Incluso si se llega a interceptar una contraseña de uso único, el ciberdelincuente no podrá usarla para obtener acceso a información confidencial.

Para obtener contraseñas de uso único, se puede recurrir a mecanismos especiales como:

• Un dispositivo USB (tal como Aladdin eToken NG OTP).
• Una calculadora (tal como RSA SecurID 900 Signing Token).

Se pueden otras medidas para protegerse contra los keyloggers:

• Usar un antivirus estándar que pueda ser adaptado para la detección de programas potencialmente maliciosos (opción pre configurada en muchos productos), la protección proactiva protegerá el sistema contra nuevas modificaciones de keyloggers existentes.
• Uso de un teclado virtual o de un sistema para generar contraseñas de uso único para protegerse contra programas y dispositivos keylogger.

Fuente: Karspersky Lab