Un keylogger es una amenaza que parece discreta, pero puede comprometer correo, banca online, redes sociales y credenciales de trabajo sin dar apenas señales. Aquí explico qué es, cómo actúa dentro de un ordenador o un móvil, qué diferencia hay entre variantes legítimas y maliciosas, cómo lo detecta un antivirus y qué haría yo para responder si sospecho una infección.
Lo esencial para entender el riesgo sin perder tiempo
- Un keylogger registra pulsaciones de teclado y, a veces, también portapapeles, formularios o capturas de pantalla.
- Puede ser software o hardware, y no todos los casos son malware: algunos se usan con fines de control o supervisión.
- La variante maliciosa suele esconderse dentro de troyanos, spyware o instaladores falsos.
- El antivirus ayuda mucho, pero no es una barrera perfecta frente a dispositivos físicos o amenazas muy discretas.
- Si hay sospecha real, conviene actuar desde un equipo limpio y cambiar primero las credenciales más sensibles.
Qué es un keylogger y por qué sigue siendo una amenaza real
Un keylogger es, en esencia, un registrador de pulsaciones: una herramienta capaz de capturar todo lo que tecleas. Eso incluye contraseñas, mensajes, búsquedas, números de tarjeta, respuestas a preguntas de seguridad y, en muchos casos, parte de lo que copias y pegas. La parte peligrosa no es solo el registro en sí, sino su discreción: puede permanecer activo durante días o semanas sin levantar sospechas.
Yo separo este tema en dos planos. Por un lado están los usos legítimos, como controles parentales o sistemas de supervisión en entornos corporativos con consentimiento y políticas claras. Por otro, está el uso malicioso, que es el que interesa en ciberseguridad: ahí el keylogger funciona como spyware o como parte de un troyano más amplio para robar datos y monetizarlos después. Con esa base, la siguiente pregunta lógica es cómo consigue ver todo lo que escribes sin que lo notes.
Cómo funciona en la práctica
La forma más habitual es la del software keylogger. Suele entrar en el equipo disfrazado de instalador, crack, actualización falsa, extensión de navegador o adjunto malicioso. Una vez dentro, se engancha a la ruta por la que viajan las pulsaciones del teclado antes de que lleguen a la aplicación que estás usando. Ese “enganche” es, dicho de forma simple, una pieza de código que intercepta eventos del sistema.
Después registra la información en local y la prepara para enviarla fuera. A veces lo hace por conexiones HTTP o HTTPS aparentemente normales; otras, mediante correo, servicios en la nube o módulos integrados en un malware mayor. Los mejores ejemplares no se limitan al teclado: también miran el portapapeles, capturan formularios web y toman pantallas para reconstruir mejor lo que haces.
La otra cara es el hardware keylogger, que no depende tanto del sistema operativo. Puede aparecer como un adaptador entre teclado y puerto USB, como un componente oculto en el propio periférico o como un dispositivo añadido en una cadena de conexión. En ese caso, el antivirus del ordenador puede no ver nada extraño porque el problema no vive dentro del sistema. La diferencia entre ambos tipos marca por completo la estrategia de detección.
Los tipos que conviene distinguir
Yo suelo agruparlos en tres categorías porque cada una exige una defensa distinta: software malicioso, hardware físico y herramientas de monitorización legítimas. Mezclarlos lleva a errores de diagnóstico y a falsas seguridades.
| Tipo | Dónde actúa | Qué tan fácil es detectarlo | Riesgo práctico |
|---|---|---|---|
| Software malicioso | Dentro del sistema operativo, procesos, navegador o drivers | Media, si el antivirus está actualizado y el comportamiento es anómalo | Muy alto, porque puede robar credenciales y otros datos sensibles |
| Hardware físico | Entre el teclado y el equipo, o integrado en el periférico | Baja desde el punto de vista del software | Alto, sobre todo en entornos compartidos o con acceso físico al equipo |
| Herramienta legítima | Aplicación instalada con consentimiento y políticas claras | Variable, pero no debería ocultarse | Depende del uso, de la legalidad y del control interno |
La distinción importante es esta: que algo registre teclas no lo convierte automáticamente en malware, pero sí lo convierte en una herramienta delicada. En manos equivocadas, el mismo mecanismo sirve para vaciar cuentas, suplantar identidades o entrar en servicios corporativos. Por eso, más que fijarse solo en el nombre, yo miro el contexto, el método de instalación y la forma en que se comunica con el exterior. Esa lectura ayuda a entender por qué los síntomas no siempre son evidentes.
Las señales que de verdad merecen atención
Un keylogger rara vez se delata con un único síntoma claro. Lo normal es ver un conjunto pequeño de pistas, y ninguna por sí sola basta para confirmar nada. Aun así, hay señales que yo sí revisaría de inmediato:
- Inicios de sesión sospechosos en correo, banca o servicios que usas a diario.
- Alertas de seguridad o peticiones de cambio de contraseña que no has iniciado tú.
- Extensiones de navegador desconocidas o cambios raros en la página de inicio.
- Procesos o programas que reaparecen tras eliminarlos.
- Tráfico de red extraño, sobre todo si el equipo se conecta a destinos que no reconoces.
- En hardware, adaptadores, dongles o cables que no recuerdas haber conectado.
Lo que yo no haría es asumir que un equipo lento ya está infectado. Un keylogger puede pasar desapercibido y consumir muy pocos recursos; de hecho, cuanto menos ruido haga, más peligroso es. Por eso conviene mirar el cuadro completo y no quedarse con una sola pista. Con esa cautela, el siguiente paso es entender qué puede y qué no puede hacer un antivirus.
Cómo lo detecta y lo frena un antivirus
Un antivirus moderno no se limita a comparar archivos con una lista de firmas. También usa reglas de comportamiento, heurísticas y análisis en la nube para detectar actividad sospechosa aunque el archivo sea nuevo o haya sido modificado. Esa combinación es la que permite bloquear muchos keyloggers antes de que empiecen a exfiltrar datos.
| Método | Qué busca | Cuándo sirve mejor | Límite principal |
|---|---|---|---|
| Escaneo rápido | Ubicaciones y procesos habituales de infección | Primer filtro cuando notas algo raro | Puede no encontrar amenazas escondidas en profundidad |
| Escaneo completo | Todo el sistema, incluidas rutas menos obvias | Cuando quieres una revisión más seria | Tarda más y no siempre atrapa malware muy sigiloso |
| Escaneo sin conexión | Persistencia y malware que se defiende mientras Windows está activo | Si sospechas que el equipo está muy comprometido | Requiere reinicio y no sustituye una limpieza manual |
| Análisis por comportamiento | Procesos que leen teclas, capturan datos o abren conexiones anómalas | Para variantes nuevas o disfrazadas | Puede producir falsos positivos |
| Inspección física | Adaptadores, dongles y dispositivos intermedios | Cuando sospechas un keylogger hardware | No lo resuelve el software por sí solo |
Mi lectura es bastante clara: el antivirus es imprescindible, pero no es omnipotente. Puede detectar y eliminar muchos keyloggers de software, pero no va a “ver” un dispositivo físico colocado entre el teclado y el ordenador. En esos casos, la defensa necesita también revisión manual, control del entorno y, si hace falta, restauración del equipo. Con eso en mente, lo importante pasa a ser la respuesta.
Qué hacer si sospechas que tu equipo está comprometido
Si yo tuviera una sospecha razonable, actuaría en este orden:
- Desconectar el equipo de internet para cortar posibles fugas de datos.
- Lanzar un escaneo completo y, si el sistema lo permite, un análisis sin conexión.
- Revisar extensiones del navegador, programas de inicio, tareas programadas y software reciente.
- Desde otro dispositivo limpio, cambiar primero la contraseña del correo principal, de la banca y del gestor de contraseñas.
- Activar o reforzar la autenticación en dos factores en todas las cuentas críticas.
- Revocar sesiones abiertas, tokens y accesos desde dispositivos que no reconozcas.
- Si sospechas un componente físico, revisar puertos, cables, hubs, docks y periféricos con calma.
Hay un punto que mucha gente pasa por alto: cambiar contraseñas desde el mismo equipo que sospechas comprometido reduce mucho el valor de la medida. Si el keylogger sigue activo, le estás entregando la nueva clave igual que la anterior. Por eso yo prefiero separar la limpieza técnica de la recuperación de cuentas, usando siempre un dispositivo limpio para la segunda parte. Esa disciplina marca la diferencia.
Lo que conviene recordar para no confiarse de más
La idea más útil que me llevo de este tema es sencilla: un keylogger no es solo un “programa que graba teclas”. Puede ser parte de una cadena de ataque más amplia, mezclada con phishing, troyanos, robo de sesiones y persistencia silenciosa. Cuando eso ocurre, el problema no es únicamente la pérdida de una contraseña, sino el acceso continuado a la identidad digital de la víctima.
Si quieres reducir el riesgo de forma realista, yo combinaría tres capas: hábitos prudentes al instalar software y abrir adjuntos, un antivirus con protección en tiempo real y análisis sin conexión cuando haga falta, y una respuesta rápida desde un equipo limpio si ves señales raras. Esa mezcla no promete invulnerabilidad, pero sí baja muchísimo la probabilidad de que un registrador de pulsaciones termine convirtiéndose en una filtración grave.