Keylogger.

Un keylogger captura la entrada del teclado y la almacena localmente o la exfiltra a un atacante. Los keyloggers de software se ejecutan como hooks en modo usuario (SetWindowsHookEx), controladores de kernel o extensiones de navegador maliciosas; los keyloggers de hardware se sitúan en línea entre el teclado y el ordenador o se ocultan dentro de periféricos modificados. Los atacantes los usan para recolectar credenciales, OTP escritos manualmente, datos bancarios, mensajes de chat y propiedad intelectual, y se distribuyen como módulos estándar de info-stealers, troyanos bancarios y kits de espionaje como Agent Tesla, HawkEye y Snake Keylogger.

El keylogging es más antiguo que el PC. En una de las operaciones más elegantes de la Guerra Fría, los soviéticos intervinieron las máquinas de escribir IBM Selectric de la Embajada de EE. UU. en Moscú aproximadamente entre 1976 y 1984: unos magnetómetros ocultos en una barra de soporte hueca detectaban la rotación y la inclinación de la "bola de golf" de impresión y, a continuación, transmitían en ráfagas las pulsaciones cifradas por radio. El Proyecto GUNMAN de la NSA finalmente descubrió los implantes después de que un técnico detectara una bobina adicional en un interruptor de alimentación, prueba de que capturar lo que la gente escribe no necesita software alguno.

Las defensas incluyen EDR con monitorización conductual, MFA resistente al phishing basada en llaves de hardware (FIDO2/WebAuthn) para que una contraseña robada resulte inútil, protecciones del sistema operativo para la entrada de credenciales, inspección física de los cables de las estaciones de trabajo y la desactivación de los puertos USB no utilizados.

flowchart LR
  K[El usuario pulsa las teclas] --> C[El keylogger captura la entrada]
  C --> S[Hook o controlador de software]
  C --> H[Dispositivo de hardware en linea]
  S --> E[Codifica y almacena en bufer]
  H --> E
  E --> X[Exfiltra al C2 del atacante]
  X --> U[Robo de credenciales o datos]