How To Login From an Internet Café Without Worrying About Keyloggers [PDF, 120 KB] de Cormac Herley y Dinei Florêncio (Microsoft) es un interesante trabajo de un par de páginas que describe una solución de baja tecnología para evitar que un sistema de tipo keylogger capture tus contraseñas cuando estás en un ordenador ajeno.
El escenario típico es un cibercafé, bibloteca, o los ordenadores de la escuela. Tú no tienes control sobre ese ordenador y no sabes qué han instalado. Tal vez haya un keylogger funcionando, que guarda todas y cada una de las pulsaciones de las teclas y luego alguien las recoge o se le envían por Internet. Esta es una forma relativamente común de capturar contraseñas de otras personas. Como lo que hace el programa keylogger es tomar el control del ordenador e interceptar el teclado, incluso las «páginas web seguras» dejan de ser seguras: el tráfico por Internet es seguro, pero no lo que tecleaste, porque tal y como lo tecleaste, quedó capturado en «texto claro», incluyendo las contraseñas. Algunos bancos por Internet, de hecho, ofrecen junto a la ventana de entrada un «teclado gráfico virtual» para que teclees los números secretos con el ratón. Principalmente es para evitar esto.
Lo interesante es que el keylogger guarda toda la información que pasa por el teclado, sin demasiada inteligencia. Luego alguien se encarga de descifrar visualmente los textos. Por ejemplo, si tecleas una URL para ir a Hotmail y luego tu dirección de correo como nombre de usuario y luego tu contraseña, el capturador verá algo como
hotmail.compepito@hotmail.comsnoopyEstimado Señor
de donde no es difícil deducir el nombre de la cuenta y que snoopy es la contraseña. Algunos keyloggers incluso hacen esto automáticamente para capturar contraseñas de servicios comunes (Hotmail, Paypal y otros).
La solución que proponen Herley y Florêncio es tan sencilla como ingeniosa. Resulta que los keyloggers son muy buenos capturando toda la información que se teclea, pero normalmente no tienen ni idea de dónde está tecleando. Si cambias de aplicación, o de ventana, el keylogger sigue «grabando» simplemente una ristra de letras, que tú puedes hacer tan ofuscada como quieras. El sitio (ventana, caja de texto, etc.) en que estás tecleando, se suele llamar el foco. El truco es, simplemente cambiar con el ratón el foco entre letras, tecleando letras al azar entre las letras reales. Cambiar el foco es simplemente hacer un clic con el ratón en otra zona de la ventana del navegador (y da igual si esas letras se ven en pantalla o no, se pueden poner por ejemplo en la caja de búsqueda). De este modo, al ir a Hotmail y teclear la contraseña, se haría de este modo: hotmail.com pepito@hotmail.com s, clic con el ratón en otra parte, letras al azar, n, clic con el ratón en otra parte, letras al azar, o, etc. Lo que el keylogger vería entonces sería parecido a esto:
hotmail.comspqmlainsdgsosdgfsodgfdpuouuyhdg2
Y de ese modo, con este ingenioso hackeo de baja tecnología, la contraseña queda mucho más a salvo, por no decir que si se hace suficientemente compleja estará casi perfectamente protegida.
(Vía MetaFilter.)
Actualización: Daniel nos cuenta por correo que Keepass es un administrador de contraseñas (Windows, Mac OS X, Linux, gratis y open source) que puede correr desde un pen drive, y que incluye la función auto-type, que permite programar cómo se han de teclear los nombres de usuarios y contraseñas, automatizando así la pulsación (incluye comandos como Tabulador y Mayúsculas-Tabulador, para alternar el foco del formulario en cuestion y agregar al password «caracteres de distracción». En realidad hay que personalizarlo para cada página web, pero por lo menos permite automatizar un poco el truco.
Por otro lado, Dani nos recuerda que también existen keyloggers en forma de troyanos (parecidos a los virus informáticos, se instalan en tu ordenador y envían las contraseña al exterior) que son capaces de capturar tanto pulsaciones de teclado como vídeo de lo que sucede en pantalla, con lo cual la técnica del teclado número a veces también resulta vulnerable. En estos enlaces de Hispasec hay más información y una demo: Nuevo troyano bancario dirigido a entidades españolas y latinoamericanas; Troyano Captura Banesto [Flash] y Troyano bancario.
