Un keylogger es un programa —o dispositivo— que graba cada pulsación de tu teclado. Contraseñas, mensajes, números de tarjeta: todo queda registrado sin que lo notes. Este tipo de registrador de teclas lleva décadas siendo una de las herramientas favoritas del cibercrimen, y el robo de contraseñas con keylogger sigue siendo un vector de ataque brutalmente eficaz. Lo peor: existen variantes de keylogger hardware que no dejan rastro en el sistema operativo, y muchos antivirus ni los detectan. Pero un buen detector de keylogger y unos hábitos básicos pueden cortarles las alas. Aquí te contamos cómo funcionan, qué tipos existen y cómo librarte de ellos.
Cómo funciona un keylogger por dentro
El concepto es simple: interceptar la señal entre tu teclado y el sistema operativo. Un keylogger de software se instala como cualquier otro malware —adjuntos de email, descargas infectadas, exploits en navegadores— y se ejecuta en segundo plano. Captura cada tecla mediante hooks del sistema (en Windows, típicamente SetWindowsHookEx) o leyendo directamente el buffer del teclado a nivel de kernel.
Los más sofisticados no se limitan a registrar teclas. Hacen capturas de pantalla periódicas, graban el contenido del portapapeles y registran qué aplicación tenías en foco en cada momento. Así el atacante sabe que esa secuencia de caracteres que capturó la tecleaste en la página de login de tu banco, no en un documento de texto.
El registrador de teclas almacena los datos localmente en un archivo cifrado o los envía periódicamente a un servidor de comando y control (C2). Algunos usan canales encubiertos: DNS tunneling, peticiones HTTP camufladas como tráfico legítimo, o incluso Telegram como canal de exfiltración. Si te interesa cómo funciona el malware con inteligencia artificial, los keyloggers modernos ya incorporan IA para filtrar y priorizar lo capturado.
Tipos de keylogger: software, hardware y más allá
No todos los keyloggers son iguales. Conocer las variantes te ayuda a saber contra qué te proteges.
| Tipo | Cómo funciona | Detección |
|---|---|---|
| Software a nivel de usuario | Se ejecuta como proceso normal. Usa API del sistema para capturar pulsaciones. | Antivirus, gestores de tareas |
| Software a nivel de kernel | Opera como driver del sistema. Acceso directo al hardware. | Herramientas anti-rootkit (GMER, Kaspersky TDSSKiller) |
| Keylogger hardware USB | Dispositivo físico entre el teclado y el PC. Parece un adaptador USB inofensivo. | Inspección visual del puerto |
| Keylogger de firmware | Modificación del firmware del teclado o BIOS/UEFI. | Verificación de integridad de firmware |
| Keylogger acústico | Analiza el sonido de cada tecla para reconstruir lo tecleado. | Investigación académica, raro en ataques reales |
| Extensiones de navegador | Captura formularios web directamente desde el DOM. | Revisar extensiones instaladas |
El keylogger hardware merece mención especial. Dispositivos como KeyGrabber o AirDrive Forensic se venden legalmente (para auditorías y control parental, según sus fabricantes) por entre 30 y 200 euros. Se enchufan entre el cable USB del teclado y el puerto del ordenador, y almacenan millones de pulsaciones en memoria interna. Ningún antivirus los detecta porque no interactúan con el sistema operativo. La única defensa es mirar físicamente tus puertos.
Señales de que tienes un keylogger instalado
Un registrador de teclas bien hecho es silencioso. Pero incluso los buenos dejan pistas si sabes dónde buscar.
- Retardo al teclear: una latencia inusual entre pulsación y carácter en pantalla puede indicar que algo intercepta la señal.
- Procesos desconocidos: revisa el Administrador de tareas (Windows) o
htop(Linux). Busca procesos con nombres genéricos que consuman recursos de forma constante. - Tráfico de red sospechoso: herramientas como Wireshark o GlassWire pueden revelar conexiones salientes a IPs desconocidas.
- Archivos de log ocultos: algunos keyloggers almacenan datos en carpetas temporales con nombres aleatorios.
- Comportamiento extraño del antivirus: si tu antivirus se desactiva solo o no puede actualizarse, algo lo está bloqueando.
Para detectar un keylogger, combina varias capas. Ejecuta un análisis con Malwarebytes, revisa las extensiones de tu navegador y comprueba los programas que arrancan con el sistema (msconfig en Windows, systemctl list-unit-files en Linux). Si sospechas un keylogger a nivel de kernel, herramientas como GMER o Kaspersky TDSSKiller pueden ayudar. Y sube cualquier archivo sospechoso a VirusTotal para un análisis multi-motor.
Mantener el software actualizado cierra muchas puertas de entrada. Si no lo tienes automatizado, echa un vistazo a por qué actualizar el software es tu mejor defensa.
Cómo protegerte del robo de contraseñas con keylogger
La protección contra el robo de contraseñas con keylogger requiere un enfoque por capas. Ninguna medida sola es suficiente.
- Autenticación en dos factores (2FA): aunque el atacante capture tu contraseña, sin el segundo factor no entra. Usa aplicaciones como Authy o llaves físicas FIDO2 (YubiKey, Google Titan). Evita el SMS como segundo factor —es vulnerable a SIM swapping.
- Gestor de contraseñas: Bitwarden, KeePassXC o 1Password rellenan credenciales sin teclearlas. Un keylogger captura pulsaciones, no el autocompletado del gestor. Solo necesitas teclear una contraseña maestra, que puedes proteger con un teclado virtual.
- Teclado virtual: para operaciones sensibles (banca online), usa el teclado en pantalla del sistema. No es infalible contra keyloggers que hacen capturas de pantalla, pero frena los que solo registran teclas.
- Cifrado de pulsaciones: herramientas como KeyScrambler cifran las pulsaciones entre el teclado y la aplicación. El keylogger captura caracteres aleatorios.
- Inspección física: si usas un ordenador compartido —biblioteca, coworking, cibercafé—, revisa los puertos USB antes de teclear nada sensible. Un keylogger hardware parece un simple adaptador.
Si trabajas desde casa, la seguridad de tu equipo es tu responsabilidad. Revisa la checklist de seguridad para teletrabajo para asegurarte de que no dejas flancos abiertos.
Casos reales: keyloggers en acción
No son amenazas teóricas. Los keyloggers tienen un historial largo de incidentes documentados.
Olympic Vision (2015-2016): un grupo de atacantes usó el keylogger HawkEye para comprometer empresas de Oriente Medio, Asia y Europa. Distribuido mediante emails de spear phishing, capturaba credenciales de correo corporativo y cuentas bancarias. El FBI y la Interpol colaboraron en la investigación.
Agent Tesla: uno de los keyloggers más persistentes del panorama actual. Funciona como Malware-as-a-Service (MaaS) con suscripciones desde 15 dólares al mes. Captura pulsaciones, portapapeles, capturas de pantalla y credenciales almacenadas en navegadores. MITRE lo cataloga bajo múltiples técnicas (T1056.001, T1115, T1555). Según informes de Check Point y Fortinet, sigue entre los malware más detectados en campañas de phishing corporativo.
Snake Keylogger (2020-presente): desarrollado en .NET, se propaga por documentos de Office con macros maliciosas y archivos PDF trampa. Exfiltra datos por SMTP, FTP o Telegram. Microsoft Defender lo detecta como Backdoor:MSIL/SnakeKeylogger. Ha sido protagonista de múltiples alertas del INCIBE en España.
Estos ataques suelen empezar con un email falso que te lleva a descargar algo. Saber identificar las señales de una URL de phishing te ahorra muchos disgustos.
Preguntas frecuentes
¿Puede un keylogger capturar lo que pego desde el portapapeles?
Sí. La mayoría de keyloggers modernos —como Agent Tesla o Snake Keylogger— monitorizan el portapapeles además de las pulsaciones. Copiar y pegar una contraseña no te protege. Usa un gestor de contraseñas con autocompletado, que inyecta las credenciales directamente en el campo del formulario sin pasar por el clipboard.
¿Los keyloggers afectan a móviles Android o iPhone?
En Android, sí: existen apps maliciosas que funcionan como registradores de teclas si consiguen permisos de accesibilidad. En iOS es mucho más difícil sin jailbreak, gracias al sandboxing de Apple. En ambos casos, instala solo apps de tiendas oficiales y revisa los permisos que concedes —especialmente "Accesibilidad" y "Administrador de dispositivo" en Android.
¿Mi antivirus detecta todos los keyloggers?
No. Los antivirus detectan la mayoría de keyloggers de software conocidos, pero fallan con variantes nuevas (zero-day), keyloggers a nivel de kernel con técnicas rootkit y, por supuesto, con keylogger hardware. Combina antivirus con herramientas anti-rootkit, monitorización de red y revisión física de puertos.
¿Es legal instalar un keylogger en un ordenador ajeno?
No. En España, el artículo 197 del Código Penal castiga con prisión de 1 a 4 años la interceptación de comunicaciones y el acceso no autorizado a datos personales. La normativa RGPD añade sanciones administrativas. Instalar un keylogger sin consentimiento en un equipo ajeno —incluso en entorno laboral— es delito. Las excepciones son muy limitadas: control parental con consentimiento informado y auditorías de seguridad autorizadas por escrito.
El siguiente paso
Abre ahora mismo el administrador de tareas de tu sistema (Ctrl+Shift+Esc en Windows, htop en Linux) y revisa los procesos en ejecución. Busca nombres que no reconozcas, ordena por uso de red y comprueba la ruta del ejecutable de cualquier proceso sospechoso. Si encuentras algo raro, súbelo a VirusTotal antes de borrarlo. Cinco minutos de revisión pueden ahorrarte meses de robo de contraseñas con keylogger. Y si quieres reducir tu huella digital en internet, empieza por ahí: cuantos menos datos expuestos, menos atractivo eres como objetivo.
