Keyloggers: espionaje delincuencial o monitoreo justificado?

Bueno para empezar una breve definición no técnica de un keylogger es un software o hardware que captura los eventos tanto de teclado como de mouse e inclusive pantallasos de su sistema, toda esta información capturada es enviada al autor del keylogger o a quien lo haya instalado.

Existen empresas que se han dedicado al desarrollo de Keyloggers y son reconocidos como legales ya que defienden su posición aduciendo que los Keyloggers son usados únicamente para tener un control dentro de la empresa para que sus empleados no usen los ordenadores con fines ajenos a sus labores pertinentes a la empresa y muchas otras razones sin embargo todas se vuelven subjetivas ya que los reportes por perjuicios a causa de un keylogger nos indican que el uso malicioso de los mismos es un 79% frente al 21% restante que es de uso ético.

¿Cómo me podría perjudicar un Keylogger?

Los Keyloggers han sido usados para espionaje industrial y político, capturan información sensible y la usan para perjudicar. Otro de los típicos casos es capturar constraseñas de cuentas como PayPal, cuentas de juegos En-Línea, cuentas de descargas como RapidShare, en fin todo tipo de contraseñas de servicios através de Internet hasta pines de tarjetas de crédito y cuentas bancarias.

Los casos más sonados han sido por ejemplo el robo de 1 millón de dolares del Banco de Nordea en el 2006, los clientes de este banco empezaron a recibir en su correo la notificacion de un programa antispam y algunos de los usuarios que lo instalaron fueron infectados con un keylogger que se lanzaba cada vez que hacian una transferencia electrónica en el portal del banco. Otro de los casos fué el robo de 90 mil dólares de la cuenta bancaria de un epresario de Florida en el 2005, el empresario enjuició al banco pero el fallo fué a favor del banco ya que se demostró negligencia ya que el keylogger que lo afectó había sido ingresado en las bases de datos de la mayoría de Anti-Virus desde el 2003.

¿Cómo puedo evitar que un keylogger me perjudique?

Ahora, para un usuario convencional las recomendaciones son las mismas que si se tratara de un virus, por ejemplo:

• No abra datos adjuntos que no sean de una fuente segura o adjuntos confirmados.
• Jamás reingrese contraseñas en internet aunque la misma página le reporte un error o fallo y le pida hacerlo, en tal caso cierre el explorador y vuelva realizar todo el proceso.
• Mantenga su equipo con los últimos parches de seguridad
• Use un buen software Anti-Virus y que siempre esté actualizado.
• Use paralelamente un Fire-Wall y que de la misma manera siempre esté actualizado.
• No use ordenadores públicos.
• Verifique siempre los paquetes que estén instalados en su ordenador, si alguno le parece sospechoso indíquie de este particular al Departamento de IT de su oficina, o en caso de ser en el hogar consúltelo con un profesional del área.
• No instale software desde Internet de origen dudoso
• No ejecute (doble clic) archivos que encuentre en su ordenador si no está seguro de lo que son en realidad.
• Para actividades bancarias use una tecla USB (tal como Aladdin eToken NG OTP):
  
• Recuerde que muchas empresas, como política de seguridad, usan keyloggers para auditar las actividades de los empleados, y evitar que salga de la empresa información confindencial que pueda perjudicarla, a este tipo de procedimiento se lo clasifica como monitoreo justificado.

Recomendación para los desarrolladores:

Usen validación de constraseñas de uso único y con caducidad.

Una alternativa es que el usuario que consta en la base de datos de sistema como cliente, solo pueda realizar actividad electrónica si tiene una dirección de correo electrónico confirmada o dispositivo movil que soporte SMS. Una vez que el usuario ingresa la clave en el portal, el sistema automáticamente envia al usuario via email o via SMS un pin electrónico, el mismo solo sea vàlido para esa sesión y solo puede ser ingresado hasta despues de 60 segundos despues de ingresar la contraseña inicial. De tal manera así exista un keylogger no puede saber el pin ya que el sistema del portal genera un pin distinto por cada vez que acceda.

(David Estrella M)