Seguridad Informática para tod@s

Este blog esta destinado a las personas que les guste la Seguridad Informática: ¡¡Ánimate!! eres Bienvenido.

16 de marzo de 2007

Keyloggers

Este mes en el boletín de Agnitum hay un interesante artículo sobre keyloggers: programas o incluso dispositivos hardware específicos para capturar lo que teclea el usuario.
Después de una exposición técnica sobre el funcionamiento de los diferentes tipos de keyloggers, encontramos una serie de prácticas recomendaciones para protegerse de la captura de contraseñas mediante keyloggers.
La primera recomendación es drástica. No hay que utilizar ordenadores de terceros, en cibercafés o aeropuertos, en el trabajo... para acceder a sitios que nos soliciten contraseñas, ya que un keylogger en dicho equipo podría capturarla.
Seguidamente se expone un "truco" para despistar al keylogger cuando tengamos que introducir una contraseña y sea posible que haya uno actuando.
La técnica consiste en introducir algunos caracteres en el formulario, luego pinchar fuera en un sitio vacío de la página, teclear algo más al azar, volver al formulario a completar la contraseña y luego volver a repetir la operación de teclear algo al azar tras pinchar en una zona vacía.

La imagen superior (cortesía de Agnitum) muestra la secuencia de pasos del "truco". Por ejemplo, si nuestra contraseña de Paypal fuera awoe_i7586, haríamos:
1. Teclear un trozo, por ejemplo awoe en el cuadro de la contraseña.
2. Pinchar en la zona indicada y teclear algo al azar: skdfj89
3. Volver al formulario y completar la contraseña tecleando _i7586
4. Pinchar en la zona indicada y teclear algo al azar: 4635j_sudf

El keylogger capturaría: awoeskdfj89_i75864635j_sudf y la verdadera contraseña quedaría enmascarada en la secuencia al azar.

Otra recomendación es utilizar un programa de teclado en pantalla para introducir la información sensible. En Windows hay uno en Inicio > Programas > Accesorios > Accesibilidad > Teclado en pantalla. En el boletín de Agnitum recomiendan otro (al final).