Los keyloggers son programas o dispositivos que registran las pulsaciones del teclado para obtener información sensible. Existen diferentes tipos según su forma de instalación y funcionamiento. Conocerlos es clave para proteger tu seguridad digital.
Keyloggers de software
Son los más comunes. Se instalan como programas ocultos en el sistema operativo y registran cada pulsación del teclado. Pueden enviarse por correo electrónico, descargarse junto con otro software o aprovechar vulnerabilidades del sistema.
Keyloggers de hardware
Se conectan físicamente entre el teclado y la computadora, o se integran en dispositivos externos como memorias USB. Son difíciles de detectar porque no dependen del software del sistema, pero requieren acceso físico al equipo.
Keyloggers móviles
Diseñados para Android e iOS, registran las pulsaciones en teclados virtuales y la actividad en aplicaciones. Suelen disfrazarse como apps legítimas o aprovechar permisos excesivos para espiar mensajes, contraseñas y datos bancarios.
Keyloggers web (scripts maliciosos)
Funcionan mediante scripts insertados en páginas web. Capturan lo que el usuario escribe en formularios en línea, como credenciales de acceso o datos de pago. Son comunes en ataques de phishing y sitios comprometidos.
Otros tipos de keyloggers
- Keyloggers basados en kernel: operan a nivel del núcleo del sistema operativo, con acceso profundo y difícil detección.
- Keyloggers remotos: envían la información capturada directamente a un servidor externo.
- Keyloggers híbridos: combinan software y hardware para aumentar su efectividad.
- Keyloggers en BIOS/firmware: se instalan en el firmware del dispositivo, permaneciendo incluso tras reinstalar el sistema operativo.
Cómo protegerse
- Instalar antivirus y antimalware confiables.
- Mantener el sistema operativo y aplicaciones actualizadas.
- Evitar descargas de fuentes desconocidas.
- Revisar permisos de aplicaciones móviles.
- Usar autenticación en dos pasos (2FA) en cuentas sensibles.
- Verificar físicamente los dispositivos conectados al equipo.
Tipos de keyloggers: guía práctica para identificarlos y protegerte
Hablar de keyloggers es hablar de una de las tácticas más persistentes del cibercrimen: capturar lo que escribimos para robar credenciales, datos bancarios o información sensible. En 2026 siguen siendo relevantes porque evolucionan: ya no son solo programitas discretos; también viven en navegadores, móviles, firmware y, a veces, en pequeños adaptadores que pasan desapercibidos. En esta guía explico qué son, cómo operan y, sobre todo, cómo detectarlos y bloquearlos con pasos claros.
Qué es un keylogger y por qué importa en 2026
Un keylogger (o registrador de pulsaciones) es software o hardware diseñado para registrar lo que tecleas. Algunos guardan los datos localmente; otros los envían a un servidor remoto. Importan porque el teclado es la puerta a casi todo: inicios de sesión, formularios de pago, correos y chats de trabajo. En mi experiencia, muchos incidentes empiezan con lo básico: un adjunto de correo con ingeniería social o una descarga “bundled” que añade un componente espía silencioso. Si lo detectas tarde, ya ha exfiltrado credenciales.
Tipos de keyloggers por plataforma
Keyloggers de software (kernel, API/hooks, hipervisor, form-grabbing, man-in-the-browser, remotos)
Los de software son los más comunes y trabajan en distintas capas: a nivel de kernel (acceso profundo), API/hooks (enganchan funciones del sistema), hipervisor (bajo el SO), form-grabbing y man-in-the-browser (capturan lo que escribes en formularios) y los remotos (exfiltran continuamente). He visto instaladores que aprovecharon vulnerabilidades sin parchear y “actualizadores” falsos que agregan el logger como servicio persistente.
Keyloggers de hardware
Se intercalan físicamente entre el teclado y el equipo, o vienen integrados en teclados/microcontroladores. Algunos modelos inalámbricos capturan tráfico de teclados RF antiguos. Son difíciles de detectar porque no dependen del software del sistema, pero requieren acceso físico al equipo. Un síntoma clásico: un “adaptador” entre cable y puerto que nadie recuerda haber comprado.
Keyloggers móviles (Android y iOS)
En móviles, registran teclados virtuales y actividad de apps. Suelen disfrazarse como apps legítimas o aprovechar permisos excesivos (accesibilidad, lectura de notificaciones, superposición de pantalla). Señales: drenaje anómalo de batería/datos, un teclado nuevo “sugerido” tras instalar una app o perfiles/MDM desconocidos.
Keyloggers web y de formularios (scripts maliciosos)
Funcionan mediante scripts insertados en páginas web. Capturan lo que escribes en formularios incluso antes de enviar. Son habituales en phishing y sitios legítimos temporalmente comprometidos. Si “solo escribiste tu usuario” y ya hubo acceso no autorizado, sospecha de form-grabbing/MitB.
Keyloggers en BIOS/firmware y casos híbridos
Menos frecuentes pero críticos: residentes en BIOS/UEFI o firmware de periféricos. Sobreviven a reinstalaciones. Los casos híbridos combinan dongle físico con un componente software que facilita la exfiltración. La respuesta pasa por reflashear firmware desde fuentes confiables y verificar integridad de hardware.
Cómo operan: instalación, persistencia y exfiltración
Instalación: adjuntos de correo, descargas “gratuitas” con software incluido, macros, webs comprometidas e
instalaciones móviles con permisos abusivos (teclados o “boosters”).
Persistencia: servicios que se reinician, tareas programadas, entradas en registro, perfiles móviles o
extensiones de navegador que vuelven tras cada arranque.
Exfiltración: desde archivos locales recuperados por el atacante hasta canales cifrados que “gotean”
las pulsaciones en tiempo real. En empresas, el tráfico saliente anómalo es una gran pista.
Señales de alerta: cómo sospechar de cada tipo
- Software (hooks/kernel/MitB): procesos con nombres “parecidos” a los del sistema, DLLs inyectadas en el navegador, reglas de firewall nuevas, pérdida de foco al teclear.
- Hardware: adaptadores desconocidos entre cable y puerto, inventario que no cuadra, teclas que “repiten” sin razón.
- Móviles: aparición de un teclado virtual que no instalaste, accesibilidad activa sin motivo, consumo anómalo de batería/datos.
- Web/form-grabbing: credenciales comprometidas tras usarlas “solo en un sitio”, formularios alterados, scripts ofuscados desde dominios raros.
- Firmware/BIOS: reinfección tras limpiar el sistema, cambios que persisten después de formatear.
Detección y eliminación: pasos prácticos (PC y móvil)
En PC (Windows/macOS/Linux)
- Aísla el equipo (sin red) y escanea con antimalware actualizado desde medios confiables.
- Revisa inicio y servicios (tareas programadas, LaunchDaemons/Agents, systemd).
- Comprueba extensiones del navegador y restablece el perfil si sospechas de MitB/form-grabbing.
- Valida drivers y componentes cargados; desconfía de binarios sin firma.
- Si persiste la sospecha: respalda, reinstala limpio y restaura solo datos necesarios.
- Cambia todas las contraseñas desde un equipo limpio y habilita 2FA (TOTP o llave física).
En móviles (Android/iOS)
- Revisa permisos de accesibilidad, teclados instalados y perfiles/MDM; elimina lo desconocido.
- Analiza con herramientas de seguridad de la tienda oficial.
- Si hay dudas: restablece de fábrica y reinstala apps críticas una a una.
- Cambia credenciales y activa 2FA desde otro dispositivo confiable.
Prevención paso a paso (usuario y empresa)
- Antivirus/antimalware confiable y sistemas actualizados (SO, navegador y plugins).
- Higiene de descargas: evita fuentes desconocidas y “cracks”.
- 2FA en cuentas sensibles; mejor llaves de seguridad o TOTP.
- Usa gestor de contraseñas para teclear menos credenciales.
- Revisión de permisos móviles (accesibilidad, lectura de notificaciones, superposición).
- Verificación física de periféricos y puertos; sellos antimanipulación en entornos críticos.
- Segmentación de red y bloqueo de salidas a dominios recién registrados.
- Concienciación del equipo: reportar comportamientos extraños al teclear.
Legalidad y ética: cuándo es (y no es) lícito usar un keylogger
El uso de keyloggers está limitado por la legislación de privacidad y laboral. En el ámbito doméstico, es ilegal espiar sin consentimiento. En empresas, solo cabe con base legal, política interna clara, proporcionalidad y siempre informando a los usuarios, además de impactar mínimamente en su privacidad. En resumen: para defensa propia y pruebas de seguridad, sí; para vigilancia encubierta, no.
Tabla rápida: tipos, instalación, señales y defensa
| Tipo | Cómo se instala | Señales típicas | Defensa recomendada | Dificultad |
|---|---|---|---|---|
| Software (hooks/API) | Instalador, bundle, exploit | DLLs inyectadas, procesos “parecidos” | AV/AM, revisar inicio/servicios, hardening navegador | Media |
| Kernel | Driver malicioso, exploit | Persistencia “profunda”, anomalías de input | Análisis avanzado, reinstalación limpia | Alta |
| Form-grabbing/MitB | Extensión/script en navegador | Formularios alterados, credenciales robadas | Reset de perfil, bloquear scripts, CSP, AV | Media |
| Remoto | Igual que software + C2 | Tráfico saliente extraño | EDR, bloqueo C2, rotación credenciales | Media-Alta |
| Hardware | Inserción física | Adaptador extraño, inventario no cuadra | Inspección física, sellos, control de puertos | Alta (sin inspección) |
| Móvil | App con permisos abusivos | Teclado nuevo, accesibilidad activa | Revocar permisos, reset de fábrica | Media |
| BIOS/Firmware | Flash malicioso | Reinfecciones tras formatear | Reflasheo oficial, verificación hardware | Muy alta |
Conclusión y checklist rápido
Los keyloggers están en software, hardware, webs, móviles e incluso firmware. Si te quedas con tres ideas: parchea y usa 2FA, vigila permisos y extensiones y controla el hardware físico. Con higiene digital básica y revisiones periódicas evitarás la mayoría de incidentes.
- SO y navegador al día, AV/AM activo
- 2FA (llave/TOTP) en cuentas críticas
- Extensiones y teclados móviles auditados
- Inventario físico verificado
- Políticas de descarga y concienciación
0 Comentarios