Un key logger puede pasar desapercibido durante semanas, pero basta con que capture una contraseña, un código bancario o una sesión de correo para convertir un problema pequeño en un incidente serio. En este artículo explico qué es, cómo se instala, cómo suele esconderse, qué señales me hacen sospechar y qué papel real juega el antivirus en la detección y la limpieza. También aterrizo el tema en España, porque el uso de este tipo de herramientas cambia mucho según hablemos de un equipo personal, de empresa o de una situación de control laboral.
Lo esencial que conviene tener claro antes de actuar
- Un registrador de pulsaciones puede ser software, hardware o una mezcla de ambos, y su objetivo es capturar lo que escribes.
- El riesgo no se limita a contraseñas: también puede exponer correos, chats, códigos temporales y datos bancarios.
- Un antivirus moderno ayuda, pero no sustituye la revisión manual ni la inspección física cuando hay acceso al dispositivo.
- La detección más fiable combina análisis de seguridad, revisión de extensiones y procesos de inicio, y una comprobación del teclado o sus conexiones.
- En España, el control laboral de dispositivos requiere información previa, límites claros y proporcionalidad.
Qué es un keylogger y por qué sigue siendo peligroso
Yo separo este tema en dos planos. Por un lado está la definición técnica: un keylogger registra las pulsaciones del teclado para guardar lo que escribes. Por otro, está el impacto real: si captura una contraseña, un código de doble factor escrito a mano o los datos de una tarjeta, ya tiene material suficiente para abrir cuentas, secuestrar sesiones o cometer fraude.
La razón por la que sigue siendo peligroso es sencilla: muchas personas siguen escribiendo credenciales en claro, y no todas usan gestores de contraseñas o passkeys. Un registrador de pulsaciones no necesita ser espectacular para ser eficaz; le basta con esperar al momento adecuado y mandar la información al atacante sin levantar ruido. Cuando entra sin consentimiento, yo lo trato como spyware o troyano, aunque a veces aparezca disfrazado de programa legítimo.
Además, no siempre se limita al teclado. Algunos especímenes recogen también fragmentos del portapapeles, capturas de pantalla o datos de formularios. Por eso el problema no es solo “me han visto escribir”, sino “me han observado mientras accedía a mi vida digital”. Y esa diferencia importa mucho cuando pasamos de la teoría a la defensa.
Cómo funciona y qué tipos conviene distinguir
No todos los registradores de pulsaciones se comportan igual, y esa diferencia cambia por completo la respuesta defensiva. Yo suelo dividirlos en tres grandes grupos: software, hardware y variantes más profundas que se esconden en capas de sistema más difíciles de inspeccionar.
| Tipo | Cómo actúa | Qué lo delata mejor | Defensa más útil |
|---|---|---|---|
| Software | Se instala como malware, extensión maliciosa, troyano o herramienta oculta en el sistema. | Procesos extraños, extensiones sospechosas, comportamiento anómalo, tráfico de red inusual. | Análisis con antivirus, revisión de inicio, escaneo offline y limpieza manual. |
| Hardware | Se coloca entre el teclado y el equipo, o se integra en un teclado manipulado. | Inspección física, adaptadores extraños, cableado poco habitual, periféricos no autorizados. | Revisión visual, control de inventario y sustitución del periférico si hay dudas. |
| Capas bajas del sistema | Se oculta en drivers, firmware o técnicas de persistencia más agresivas. | Persistencia tras desinstalar software, reinfección y señales que no desaparecen con un escaneo simple. | Escaneo completo, modo offline y, si la sospecha se mantiene, reinstalación limpia. |
La diferencia importa porque no se limpian igual. El software se combate con detección y aislamiento; el hardware exige manos y ojos; y las variantes más persistentes suelen obligar a una revisión más dura, incluso a reinstalar. Si solo piensas en “pasar el antivirus”, te dejas fuera media película.
En la práctica, el vector más común sigue siendo el software: instaladores falsos, cracks, extensiones de navegador maliciosas, adjuntos de correo o troyanos que abren la puerta a otras cargas útiles. Cuando alguien me dice que “no ha instalado nada raro”, yo no me quedo con esa frase; reviso también descargas recientes, permisos concedidos y sesiones abiertas en otros equipos.Señales de alerta que no ignoraría
No me gusta vender síntomas como si fueran pruebas definitivas, porque no lo son. Pero sí hay señales que, combinadas, elevan bastante la sospecha. Un equipo muy lento de repente, accesos extraños a cuentas, sesiones cerradas sin motivo, notificaciones de inicio de sesión desde ubicaciones que no reconoces o extensiones que reaparecen después de borrarlas merecen atención inmediata.
- Alertas de cuenta que no has provocado tú, como cambios de contraseña o accesos desde dispositivos desconocidos.
- Procesos o programas recientes que no recuerdas haber instalado y que vuelven al reiniciar.
- Extensiones del navegador que no encajan con tu uso real, sobre todo si piden permisos excesivos.
- Tráfico de red anómalo, especialmente si el equipo envía datos cuando no lo estás usando.
- Acceso físico previo al ordenador, algo que cambia por completo la probabilidad de un keylogger de hardware.
También me fijo en los hábitos que suelen acompañar a una infección: software pirateado, instaladores de procedencia dudosa, macros en documentos, descargas desde foros poco fiables y cuentas compartidas sin control. Microsoft señala que los instaladores no oficiales y ciertos programas “de regalo” siguen siendo una vía clásica de entrada para malware, y esa observación encaja muy bien con lo que veo en incidentes reales.
Cuando aparecen varias de estas piezas a la vez, no espero a tener una confirmación perfecta. Paso a contención y luego a análisis. Esa secuencia evita que el problema siga creciendo mientras uno duda.
Cómo detectarlo y eliminarlo con antivirus sin confiar solo en él
Aquí es donde el antivirus sí aporta valor, pero no como solución mágica. Microsoft explica que Defender permite análisis rápidos, completos y offline; este último reinicia el equipo y analiza fuera de Windows, lo que dificulta que el malware persistente se esconda. Yo lo uso como parte del proceso, no como único criterio de limpieza.
| Acción | Qué aporta | Cuándo la usaría |
|---|---|---|
| Análisis rápido | Sirve para un primer filtrado de amenazas obvias. | Cuando solo quieres comprobar si hay algo evidente. |
| Análisis completo | Revisa todos los archivos y programas del equipo. | Cuando hay sospecha razonable de infección. |
| Análisis offline | Busca malware persistente sin cargar Windows durante la exploración. | Cuando el equipo se comporta mal o la reinfección vuelve tras limpiar. |
| Revisión física | Detecta adaptadores, teclados alterados o conexiones raras. | Si hubo acceso físico al dispositivo o usas periféricos externos. |
- Contengo primero: si sospecho exfiltración de datos, desconecto el equipo de Internet y trabajo desde otro dispositivo limpio para cambiar contraseñas críticas.
- Escaneo con criterio: paso un análisis completo y, si el caso lo justifica, un análisis offline. El objetivo es encontrar tanto lo visible como lo que intenta quedarse en memoria o arrancar antes que el sistema.
- Reviso el entorno: miro extensiones del navegador, programas de inicio, tareas programadas y software instalado recientemente.
- Compruebo el hardware: inspecciono teclado, cable, adaptadores USB y cualquier periférico que no debería estar ahí.
- Escalo si persiste la duda: si el comportamiento anómalo sigue o la evidencia apunta a persistencia, respaldo solo documentos fiables y preparo una reinstalación limpia.
Cómo reducir el riesgo en Windows, macOS y el navegador
La prevención efectiva no depende de una sola capa. Yo la planteo como una suma de pequeñas fricciones que, juntas, hacen que el atacante tenga mucho menos margen. No elimina todos los riesgos, pero sí reduce muchísimo la probabilidad de que un registrador de pulsaciones llegue a instalarse y permanecer invisible.
| Medida | Qué reduce | Comentario práctico |
|---|---|---|
| Actualizar sistema y navegador | Explotación de fallos y cargas iniciales de malware. | Las actualizaciones automáticas valen más que cualquier “truco” manual. |
| Usar gestor de contraseñas y passkeys | Valor de lo que el atacante puede capturar tecleando. | Si no escribes la contraseña, el atacante tiene menos que robar. |
| Evitar cracks y software pirata | Instaladores falsos y troyanos empaquetados. | Es una de las vías más baratas para el atacante y más caras para la víctima. |
| Trabajar sin privilegios de administrador | Persistencia y modificación del sistema. | Limita lo que un malware puede cambiar si entra. |
| Revisar extensiones del navegador | Captura de formularios y robo de sesión desde el propio navegador. | Solo confío en extensiones necesarias y con reputación real. |
| Bloquear el equipo al levantarte | Acceso físico oportunista. | Un minuto de pantalla abierta puede bastar para instalar hardware o software no deseado. |
Si tuviera que resumir la prevención en una sola idea, sería esta: reduce lo que el atacante puede tocar, reducir lo que puede ejecutar y reduce lo que puede leer. En un portátil personal eso significa actualizar, usar contraseñas robustas, activar MFA y desconfiar de cualquier instalación urgente o “imprescindible”. En un entorno profesional, además, hace falta control de activos y políticas claras sobre qué periféricos y software pueden entrar.
Qué dice la normativa en España sobre su uso
En España, el uso de herramientas de monitorización no se puede tratar como si fuera una simple decisión técnica. El BOE deja claro que, en el ámbito laboral, hay derecho a la intimidad sobre los dispositivos digitales facilitados por la empresa y que el empleador debe establecer criterios de uso, informar previamente y respetar la proporcionalidad. Yo me quedo con esa lectura práctica: control sí, pero no a cualquier precio ni de cualquier manera.
Eso tiene una consecuencia directa. Un keylogger oculto en un equipo de trabajo no es una “solución de supervisión” inocente; es una medida extremadamente sensible que, en la práctica, exige base jurídica, finalidad legítima, información y límites muy bien definidos. Si faltan esos elementos, el riesgo no es solo técnico o reputacional: también puede ser de cumplimiento normativo.
Para la empresa, mi consejo es no improvisar. Documentar el objetivo, delimitar el alcance, revisar quién accede a los datos, fijar tiempos de conservación y consultar con especialistas en privacidad antes de implantar cualquier control es mucho más sensato que intentar justificarlo después. Para el usuario doméstico, la lectura es aún más simple: si aparece algo que registra teclas sin permiso, trátalo como una intrusión y actúa en consecuencia.
La secuencia que yo seguiría si sospecho una infección
Si tuviera que actuar hoy mismo ante una sospecha real, seguiría un orden muy concreto. Primero aislaría el equipo, luego verificaría si el problema es software o físico, y después limpiaría con prioridad las cuentas que puedan estar expuestas. No me quedaría esperando a que “el antivirus diga algo” si ya hay síntomas consistentes.
- Desconectar el equipo de la red si hay indicios de robo de credenciales.
- Cambiar contraseñas desde otro dispositivo limpio y cerrar sesiones activas.
- Ejecutar un análisis completo y, si hace falta, un análisis offline.
- Revisar extensiones, programas de inicio y periféricos conectados.
- Si la sospecha persiste, respaldar solo documentos seguros y reinstalar desde una fuente fiable.
La idea central es simple: un registrador de pulsaciones no se derrota con una sola herramienta, sino con una secuencia bien pensada. Si juntas antivirus actualizado, revisión física, higiene de software y buenas prácticas de cuentas, el margen del atacante se estrecha mucho. Y si el síntoma ya está ahí, actuar rápido vale más que buscar una certeza perfecta que quizá llegue demasiado tarde.
