Keylogger
Software o hardware que registra todas las pulsaciones de teclado de un usuario, capturando contraseñas, mensajes y toda la actividad escrita. Su detección y análisis es común en casos de espionaje corporativo, acoso y malware.
¿Qué es un Keylogger?
Un keylogger (registrador de pulsaciones) es un tipo de software o dispositivo hardware que registra todas las teclas pulsadas en un teclado. Captura contraseñas, mensajes, emails, y cualquier texto escrito por el usuario, generalmente sin su conocimiento.
Doble Filo
Los keyloggers tienen usos legítimos (control parental, monitoreo corporativo autorizado) y maliciosos (robo de credenciales, espionaje). El contexto legal de su instalación y uso es determinante.
Tipos de Keyloggers
Software
| Tipo | Características | Detección |
|---|---|---|
| A nivel de kernel | Opera en el núcleo del sistema, muy difícil de detectar | Análisis de rootkits |
| API hooking | Intercepta llamadas del sistema | Herramientas anti-malware |
| Form grabbing | Captura datos de formularios web | Análisis de extensiones |
| Basado en JavaScript | Inyectado en páginas web | Inspección de código |
| Comercial/Parental | Instalación visible, panel de control | Revisión de programas |
Hardware
| Tipo | Descripción | Detección |
|---|---|---|
| Inline USB | Dispositivo entre teclado y PC | Inspección física |
| Teclado modificado | Chip integrado en el teclado | Difícil, análisis de firmware |
| Wireless sniffer | Captura señal de teclados inalámbricos | Análisis de radiofrecuencia |
| Cámara oculta | Graba las pulsaciones visualmente | Inspección física |
Keyloggers Hardware
Un keylogger por hardware es indetectable por antivirus ya que no deja huella en el sistema. Solo una inspección física del equipo puede descubrirlo.
Capacidades de Keyloggers Modernos
Los keyloggers avanzados van más allá de las pulsaciones:
| Función | Descripción |
|---|---|
| Captura de pantalla | Screenshots periódicos o al detectar actividad |
| Portapapeles | Todo lo copiado/pegado |
| Grabación de audio | Micrófono del dispositivo |
| Webcam | Capturas o video en vivo |
| Historial web | URLs visitadas |
| Aplicaciones | Registro de programas usados |
| Envío remoto | Logs enviados por email o a servidor |
Detección Forense
Análisis de procesos: Identificar procesos sospechosos en ejecución y sus rutas.
Revisión de autoruns: Examinar programas que inician con el sistema (registro, tareas programadas).
Análisis de tráfico: Buscar conexiones salientes a servidores desconocidos.
Escaneo de archivos: Buscar logs de keylogger (formatos comunes: .txt, .html, .dat).
Inspección física: Verificar conexiones USB y teclado para keyloggers hardware.
Análisis de memoria: Detectar hooks y procesos ocultos en RAM.
Ubicaciones Comunes de Logs
Windows:
%APPDATA%\[carpeta_oculta]\logs\
%TEMP%\[nombre_aleatorio].txt
%PROGRAMDATA%\[nombre_disfrazado]\
macOS:
~/Library/Application Support/[nombre]/
~/.hidden/[logs]
Linux:
~/.config/[nombre]/
/tmp/.[nombre_oculto]Herramientas de Detección
| Herramienta | Tipo | Capacidades |
|---|---|---|
| Malwarebytes | Antimalware | Detección de keyloggers conocidos |
| Process Monitor | Sysinternals | Análisis de actividad de procesos |
| Wireshark | Red | Detectar exfiltración de datos |
| Autoruns | Sysinternals | Ver programas de inicio |
| GMER | Anti-rootkit | Detectar hooks de kernel |
Análisis de Logs Capturados
Estructura Típica de Log
[2026-01-18 10:32:15] [Chrome - Gmail]
[email protected][TAB]contraseña123[ENTER]
[2026-01-18 10:33:42] [Word - documento.docx]
Estimado cliente,[ENTER]
Le informamos que el proyecto...
[2026-01-18 10:45:00] [WhatsApp Web]
Mensaje para Juan: Nos vemos a las 6[ENTER]Información Extraíble
- Credenciales: Usuarios y contraseñas capturadas
- Timeline de actividad: Qué hizo el usuario y cuándo
- Comunicaciones: Mensajes, emails, chats
- Documentos: Contenido escrito en procesadores de texto
- Búsquedas: Términos buscados en navegadores
Evidencia Potente
Los logs de un keylogger pueden probar definitivamente qué escribió un usuario, cuándo, y en qué aplicación. Esta evidencia es muy valiosa en casos de fuga de información o comunicaciones ilícitas.
Casos de Uso Forense
Espionaje Corporativo
Escenario: Una empresa sospecha que un empleado filtra información a la competencia.
Investigación:
- Análisis del equipo del empleado
- Detección de keylogger instalado por terceros (competidor)
- Recuperación de logs que muestran qué información fue filtrada
- Trazabilidad de cómo se instaló el keylogger
Acoso y Control Coercitivo
Escenario: Víctima de violencia de género sospecha que su pareja controla sus comunicaciones.
Investigación:
- Análisis del dispositivo de la víctima
- Detección de software de control parental/espía
- Documentación de capacidades instaladas
- Informe para orden de protección
Robo de Credenciales
Escenario: Usuario víctima de phishing tiene malware con keylogger.
Investigación:
- Identificar el keylogger y su familia de malware
- Determinar qué credenciales fueron capturadas
- Identificar servidor de exfiltración
- Timeline del compromiso
Marco Legal en España
Uso Legítimo
| Contexto | Requisitos |
|---|---|
| Control parental | Sobre menores a cargo, proporcional |
| Empresa | Política comunicada, equipos propiedad empresa |
| Investigación autorizada | Orden judicial |
Uso Ilegal
| Conducta | Delito |
|---|---|
| Instalación sin consentimiento | Art. 197 CP - Descubrimiento de secretos |
| Robo de credenciales | Art. 248 CP - Estafa |
| Espionaje corporativo | Art. 278 CP - Secretos de empresa |
| Distribución de datos | Art. 197.3 CP - Difusión |
Delito Grave
Instalar un keylogger en dispositivo ajeno sin consentimiento es delito de descubrimiento y revelación de secretos, con penas de hasta 4 años de prisión.
Protección contra Keyloggers
Medidas Preventivas
- Antimalware actualizado: Detección de keyloggers conocidos
- Teclados virtuales: Para contraseñas sensibles
- Autenticación 2FA: Mitiga robo de contraseñas
- Gestores de contraseñas: Autocompletado evita escribir
- Inspección física: Revisar conexiones USB regularmente
Para Empresas
- Políticas de uso de dispositivos
- Monitoreo de red (DLP)
- Endpoint Detection and Response (EDR)
- Auditorías periódicas de seguridad
Conclusión
Los keyloggers representan una amenaza seria a la privacidad y seguridad. Su detección y análisis forense requiere conocimiento técnico especializado para identificar tanto software oculto como dispositivos hardware. En investigaciones judiciales, los logs de keylogger pueden ser evidencia determinante, pero también la prueba de su instalación ilícita constituye delito. Un perito debe poder detectar, analizar, y documentar estos sistemas de vigilancia.
Última actualización: 18 de enero de 2026 Categoría: Seguridad Código: KLG-001
Preguntas Frecuentes
¿Es ilegal usar un keylogger?
Depende del contexto. Es legal en equipos propios para control parental o empresarial con conocimiento del empleado. Es ilegal instalarlo en dispositivos ajenos sin consentimiento o para robar credenciales.
¿Cómo saber si tengo un keylogger instalado?
Un perito puede detectarlo analizando procesos activos, archivos sospechosos, tráfico de red anómalo, y usando herramientas antimalware especializadas. Los keyloggers por hardware requieren inspección física.
¿Qué información captura un keylogger?
Todo lo que se escribe: contraseñas, emails, mensajes, búsquedas, documentos. Los avanzados también capturan portapapeles, screenshots, y audio del micrófono.
Términos Relacionados
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
Forense Móvil
Rama del análisis forense digital especializada en la extracción, preservación y análisis de evidencias almacenadas en dispositivos móviles como smartphones y tablets.
Ransomware
Malware que cifra los archivos de la víctima y exige un rescate (generalmente en criptomonedas) para proporcionar la clave de descifrado. El análisis forense de ransomware permite identificar el vector de ataque, alcance del daño, y evidencia para acciones legales.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita