Tarea1 Quilachamin Alexis

Ingeniería en Tecnologías de la Información Seguridad Informática Docente: Ing. Sang Guun Yoo Tarea 1 Tema: Keylogger

Alumno: Quilachamín Alexis NRC: 7392 Fecha: 2021-11-17 Periodo: SII – 2021

1

OBJETIVOS • •

Comprender el concepto de un keylogger y sus principales características. Instalar y analizar un keylogger de tipo software y add-on para comprender su funcionamiento de forma práctica.

MARCO TEÓRICO SPYWARE El spyware o software espía es un tipo de software que se instala en un computador sin que el usuario tenga constancia de ello. Suele venir oculto junto a otros programas que se instalan de manera voluntaria, lo que lo hace muy difícil de detectar. Cuando ya se encuentra instalado, el spyware recopila datos para enviarla a personas externas, estos datos suelen ser de carácter personal: desde el historial de búsquedas hasta contraseñas y cuentas de correo electrónico, lo cual vulnera por completo la privacidad del usuario.

Figura 1: Ilustración de Spyware. Fuente: https://www.avantel.co/blog/tecnologia/como-puede-el-spyware-afectar-tucomputadora/

El spyware se puede dividir en dos categorías: • •

Interno: el mismo programa posee líneas de código para recolectar datos Externo: son programas independientes los que se encargan de recoger la información

Tipos de Spyware El spyware tiene usos que van más allá de supervisar en secreto, almacenar la actividad en línea y capturar datos confidenciales de las víctimas. Algunos spyware pueden introducir anuncios emergentes no deseados durante la navegación o sobrecargar el procesador del equipo o dispositivo móvil. A continuación, se resumen algunos tipos de spyware más comunes. •

Adware: el adware muestra automáticamente anuncios mientras navega por Internet o utiliza software financiado mediante publicidad. En un contexto de malware, el adware se instala de manera no supervisada en un dispositivo, espía el historial de navegación y, muestra publicidad intrusiva. 2

•

•

Infostealer: los infostealers son programas que tienen la capacidad de escanear computadoras infectadas y robar una variedad de información personal. Esta información puede incluir historiales de navegación, nombres de usuario, contraseñas, direcciones de correo electrónico, documentos personales y archivos multimedia. Keylogger: el keylogger registra las teclas que pulsa el usuario desde su computador. El mayor riesgo reside en que las contraseñas también pueden quedar registradas cuando se introducen, por ejemplo, para hacer una compra con una tarjeta de crédito.

Keylogger Los keylogger son un tipo de software de monitoreo diseñado para registrar las pulsaciones de teclas realizadas por un usuario. Es una de las formas más antiguas de amenaza cibernética, estos keylogger registran la información que ingresa en un sitio web o aplicación y la envía a un tercero. Los delincuentes utilizan keylogger para robar información personal o financiera, como datos bancarios, que luego pueden vender o utilizar con fines de lucro. Sin embargo, también tienen usos legítimos dentro de las empresas para solucionar problemas, mejorar la experiencia del usuario o monitorear a los empleados. Los organismos encargados de hacer cumplir la ley y de inteligencia también utilizan keylogger.

Figura 2: Ilustración de keylogger. Fuente: https://www.pandasecurity.com/es/mediacenter/noticias/keylogger-oculto-hp/

Tipos de Keylogger Existen dos tipos de keylogger, a nivel de software y a nivel de hardware. Un keylogger de software es un programa que se instala en un dispositivo para monitorear la actividad realizada en el dispositivo de la víctima. A su vez, los keylogger de software pueden ser subcategorizados en algunas de las siguientes categorías: •

•

Kernel: residen a nivel del kernel de la computadora, escondidos dentro del sistema operativo, haciéndolos más difícil de ser detectados en aplicaciones que funcionan a nivel usuario. API: son aquellos que utilizan funciones de las API de Windows para registrar toda la actividad realizada sobre el teclado. 3

•

•

Javascript: inyecta código Javascript sobre una página web; por ejemplo, mediante un tipo de ataque conocido como Cross-Site Scripting (XSS), y está a la escucha de eventos mediante la función addEventListener(). Inyección en Memoria: estos modifican las tablas de memoria que están vinculadas con las llamadas a funciones del sistema y los navegadores de Internet.

Por otro lado, los keylogger basados en hardware no dependen de ningún software instalado sobre el sistema operativo para ejecutarse, ya que están a nivel hardware en un computador, algunas subcategorías de estos pueden ser: •

• •

Keylogger firmware: la BIOS de la computadora puede ser modificada para registrar los eventos mientras son procesados. El software para cargar en la BIOS debe ser creado especialmente para el hardware sobre el cual va a ejecutarse. Keyboard hardware: es un dispositivo que se conecta entre el teclado y algún puerto de entrada en la computadora para registrar los eventos. Wireless keyboard sniffers: obtiene y guarda los paquetes que son enviados entre el teclado y el receptor. Es posible que la información de los paquetes vaya cifrada por motivos de seguridad.

Un usuario puede verse afectado por un keylogger de distintas maneras. Algunas de las más comunes son a través de correos de phishing que incluyen un adjunto que contiene la amenaza, mediante la descarga un software en algún sitio web de dudosa reputación al que le fue embebido el keylogger, puede estar presente en un sitio web comprometido (javascsript) o en un dispositivo USB, entre otras.

DESARROLLO Para el desarrollo de esta actividad se utilizarán dos Keylogger de tipo software adquiridos de forma voluntaria, el primero consiste en una aplicación de escritorio y el segundo será un add -on instalado en el navegador Google Chrome. En el primer caso, se utilizó Spyrix Personal Monitor, el cual funciona como un monitor de actividad de los usuarios de un computador. Puede ser descargado de su sitio web (https://spyrix.app/spyrix-personal-monitor.php). Previa a la instalación, se requiere desactivar temporalmente la protección del antivirus. Una vez instalado Spyrix, se debe agregar una exclusión del directorio en donde se instaló este Keylogger para que el antivirus no lo elimine por tener características de un spyware. En este caso, el antivirus disponible es ESET NOD32 Antivirus. Se accede a las opciones de configuración, se desactiva la protección de archivos en tiempo real, y, por último, se añade la exclusión del directorio de Spyrix.

4

Durante el desarrollo de esta actividad, Spyrix se estaba ejecutando, por lo cual se obtienen registros de las pulsaciones de teclado realizadas para la escritura de este trabajo. Así mismo, se realizaron pruebas en distintas aplicaciones para observar que registros se guardan en Spyrix.

5

En la zona izquierda de la aplicación se muestran las diferentes opciones que están disponibles para monitorear la actividad de los usuarios. Se puede elegir el usuario que se va a monitorear. Las opciones disponibles para la versión gratuita de Spyrix son: Eventos de teclado y Capturas de pantalla. La interfaz de esta herramienta ofrece información como el tipo de evento capturado, la fecha y hora en la que se realizó un evento, el nombre de la aplicación en la que se capturó el evento, el titulo dentro de la aplicación y el valor capturado. Como se puede observar, se registran; a manera de captura de pantalla, los cambios de ventanas entre aplicaciones.

Como se puede observar, el valor capturado incluye acciones propias del sistema operativo, como el caso de Windows Change, lo ocurrió al cambiar de un programa a otro. Dentro del navegador, se realizó una búsqueda, y en el segundo recuadro se puede conocer lo que se buscó.

Se puede espiar la actividad de los usuarios dentro del computador, como en este ejemplo, se observa que el usuario ha ingresado a la página web de Instagram y ha tratado de iniciar sesión con sus credenciales. La persona que monitorea la aplicación puede obtener también estas credenciales. 6

El siguiente keylogger que se empleará va a ser Fea Keylogger, el cual va a ser instalado como un complemento para el navegador Google Chrome. Para ello, se puede acceder a la Chrome Store y buscarlo por su nombre.

El monitoreo de las entradas por teclado va a ser registrada sin necesidad de crear una cuenta. Fea va a capturar toda la escritura por teclado que se realice dentro de las páginas web. Su interfaz presenta datos como: Fecha, Hora, Sitio en donde se teclea y el valor de entrada por teclado. Como se menciona en la descripción de este complemento, los datos que se van a capturar corresponderán a lo que se teclee en elementos de entrada de HTML como input, textarea, entre otros elementos de contenido editable.

7

También se capturan valores que se llenan por autocompletado. Como se puede observar en la ilustración anterior, se ha registrado los valores de campos de texto. La persona que monitorea la aplicación puede deducir que el primer registro corresponde a un mensaje de un chat en facebook.

Puesto que se tiene información sobre el sitio web en donde el usuario escribió algo, se puede así mismo determinar que el registro más reciente, corresponde a un correo electrónico enviado desde Gmail a un usuario en específico. Además se podría deducir que en algún momento un usuario entró a una red social y trató de iniciar sesión, por lo que se puede observar el media más común para iniciar sesión; correo electrónico y un valor que posiblemente corresponda a su contraseña.

CONCLUSIONES Los keylogger pueden resultar una herramienta muy útil para el caso de monitoreo de usuarios si es el caso del control parental y control de empleados dentro de una institución, con lo cual se puede sacar gran provecho para seguir las actividades, aunque deja a un lado la privacidad que debería ofrecer una computadora “personal”. Por otra parte, si se utilizan keyloggers para fines maliciosos; pueden ocasionar daños económicos al robarse las credenciales de bancos o números de tarjetas, daños emocionales al robar información íntima y que sea divulgada en un lugar tan inmenso como Internet. 8

REFERENCIAS BIBLIOGRÁFICAS Equipo de BBVA. (s.f.). Spyware: qué es, qué tipos hay y cómo se puede eliminar. Recuperado el 17 de Noviembre de 2021, de BBVA: https://www.bbva.es/finanzasvistazo/ciberseguridad/ataques-informaticos/spyware-que-es-que-tipos-hay-y-como-sepuede-eliminar.html Seguin, P. (20 de Febrero de 2020). Spyware: detección, prevención y eliminación. Obtenido de Avast: https://www.avast.com/es-es/c-spyware#topic-2 Swinhoe, D. (11 de Diciembre de 2018). What is a keylogger? How attackers can monitor everything you type. Obtenido de CSO: https://www.csoonline.com/article/3326304/what is-a-keylogger-how-attackers-can-monitor-everything-you-type.html Tavella, F. (04 de Marzo de 2021). Qué es un keylogger: una herramienta para espiar. Obtenido de WeLiveSecurity: https://www.welivesecurity.com/la-es/2021/03/04/que-es-keyloggerherramienta-para-espiar/

9