defensiva
keylogger
malware
spyware

Qué es un keylogger: tipos, cómo funciona y cómo protegerse

Qué es un keylogger, tipos (software, hardware, web, acústico), cómo se distribuye, cómo se detecta con EDR y antivirus, y medidas de protección.

Secra10 de mayo de 202614 min de lectura

Un keylogger es un programa o dispositivo que registra todas las pulsaciones de teclado de un equipo. Versiones más completas capturan también pantallazos, posición del ratón y portapapeles. La traducción literal del inglés es "registrador de teclas". Se usa tanto en contextos legítimos (auditoría parental con consentimiento, investigación judicial autorizada, control empresarial declarado) como, mucho más a menudo, en contextos maliciosos: robo de credenciales, captura de datos bancarios, vigilancia ilícita y control remoto vía troyanos.

Esta guía explica qué es exactamente un keylogger, los seis tipos que se ven en investigaciones forenses (software puro, hardware, BIOS/firmware, web, acústico/electromagnético y stalkerware móvil), cómo se distribuye, cómo lo detectan los controles defensivos modernos, qué marco legal aplica en España y, sobre todo, qué medidas de protección tienen impacto real frente al ataque.

Qué es un keylogger

Un keylogger es un componente de software o hardware cuya función central es interceptar y almacenar las pulsaciones de teclado de un usuario, normalmente acompañadas de metadatos (timestamp, aplicación activa, título de ventana). La salida puede quedarse en local o exfiltrarse a un servidor controlado por el atacante mediante HTTP/S, SMTP, DNS tunneling o canal C2 propio.

Lo que aporta al atacante:

  • Credenciales en claro, sin necesidad de romper hashes ni interceptar tráfico cifrado.
  • Contexto de la víctima: bancos usados, plataformas corporativas, comunicaciones internas.
  • Información de apoyo a movimiento lateral: comandos PowerShell tecleados por el sysadmin, contraseñas escritas para conexiones RDP, claves SSH copiadas.
  • Material para extorsión: conversaciones privadas, búsquedas, mensajes.
  • Persistencia silenciosa: el keylogger bien implementado puede vivir meses sin detección si el usuario no usa MFA ni rota contraseñas.

Los keyloggers existen desde antes que internet doméstica: el primero documentado fue un programa soviético de los años 70 que monitorizaba máquinas IBM Selectric. Hoy la mayoría se distribuyen como módulo dentro de un troyano o RAT y la diferencia entre "keylogger" puro y spyware es difusa.

Tipos de keylogger

Seis variantes principales aparecen en investigaciones forenses.

Keyloggers software (los más comunes)

Programas que se instalan en el sistema operativo de la víctima e interceptan eventos de teclado vía API del sistema. Subtipos según dónde se enganchen:

  • API hooking en user-mode. Usan SetWindowsHookEx (Windows) o equivalentes en macOS/Linux para registrar callbacks que reciben cada tecla. Es la implementación más sencilla y la que usan la mayoría de troyanos comerciales.
  • Keyloggers en kernel-mode. Drivers o módulos cargados a nivel de kernel que interceptan a más bajo nivel. Mucho más sigilosos y difíciles de detectar, pero requieren privilegios elevados para instalarse y un certificado válido para cargar el driver en sistemas modernos.
  • Form-grabbing en navegador. No interceptan teclado del SO sino formularios HTML antes de que se envíen cifrados. Esquivan el HTTPS porque actúan en cliente. Muy usado por la familia Zeus y derivados (Citadel, ICEDID).
  • Screen scraping. Hacen capturas de pantalla periódicas o cuando hay click. Útil contra teclados virtuales que algunos bancos usan precisamente para evitar keylogging clásico.

Keyloggers hardware

Dispositivos físicos colocados entre el teclado y el equipo. Tres modalidades:

  • USB inline. Pequeño dongle de pocos centímetros que se intercala entre el cable del teclado USB y el puerto del PC. Almacena pulsaciones en memoria flash interna y, en modelos recientes, las exfiltra por Wi-Fi. No requiere instalación de software, no lo detecta el antivirus.
  • PS/2 inline. Variante para teclados PS/2 antiguos. Sigue apareciendo en entornos industriales.
  • Wireless sniffer. Capta el tráfico radio entre teclado inalámbrico y receptor. Modelos antiguos sin cifrado o con cifrado roto (KeySweeper de Samy Kamkar, 2015) se interceptan a metros de distancia.

El factor común es que ningún software defensivo en el endpoint puede detectarlos. Solo inspección física periódica.

Keyloggers en BIOS/firmware

Implantados en el firmware UEFI, en el firmware del propio teclado (rarísimo pero documentado en investigaciones de equipos comprometidos en supply chain) o en el firmware de un dispositivo en la cadena (KVM, hub USB malicioso).

Persisten a través de reinstalaciones de sistema operativo. Son típicamente actor-nación o supply chain comprometido. Para una pyme española es vector irrelevante; para una entidad de defensa o energía bajo amenaza estatal, sí lo es.

Keyloggers web (JavaScript inyectado)

Código JavaScript inyectado en una página comprometida que captura keydown, paste y eventos de formulario. Lo más visto: ataques de e-skimming tipo Magecart contra sitios de e-commerce, donde el atacante inyecta script en una página de checkout y captura número de tarjeta y CVV antes de que se envíe al backend.

No requiere infectar el endpoint del usuario. Vive en el navegador mientras el usuario está en la página comprometida. Detección desde el lado del propietario del sitio: monitorización de integridad de scripts (CSP, Subresource Integrity), revisión de proveedores third-party.

Keyloggers acústicos y electromagnéticos

Investigación académica, no malware operacional habitual:

  • Acústico. Modelos ML que diferencian la huella sonora de cada tecla a partir de la grabación de un micrófono cercano. Funciona en condiciones controladas; degrada en oficinas reales con ruido de fondo.
  • Electromagnético. Capta emanaciones electromagnéticas del cable del teclado a varios metros. Demostrado por Vuagnoux y Pasini (2008). Defensa: jaulas de Faraday, distancias mínimas, teclados blindados (sólo aplica en entornos de máxima seguridad).
  • Análisis de vídeo. Cámara grabando manos del usuario. Funciona muy bien con teclados virtuales mostrados en pantalla y combinable con OCR.

Stalkerware móvil

Aplicaciones que se instalan en Android o iOS mediante acceso físico al dispositivo y registran teclado, mensajes, ubicación, audio. Comercializados como "control parental" o "monitorización conyugal", su uso real masivo es vigilancia íntima ilegal. Familias documentadas: mSpy, FlexiSpy, Cocospy. La Coalition Against Stalkerware mantiene un listado actualizado y trabaja con fabricantes de antivirus para clasificarlos como spyware.

Cómo se distribuyen

Los vectores realistas en España, ordenados por frecuencia en investigaciones de incidentes:

  • Phishing con adjunto malicioso o enlace. Documentos Office con macros, ejecutables ofuscados, archivos comprimidos protegidos con contraseña en el cuerpo del email. Sigue siendo el vector número uno.
  • Cracks de software, claves piratas, "cheats". El usuario ejecuta voluntariamente el binario y el keylogger viene como módulo dentro.
  • Compromiso de cadena de suministro. Un proveedor distribuye un instalador con un módulo añadido. Casos documentados: M.E.Doc en NotPetya, SolarWinds.
  • Acceso físico (poco frecuente pero real). El atacante con acceso físico de minutos puede instalar un keylogger hardware o un software con persistencia en USB.
  • Drive-by download. Página web comprometida que aprovecha vulnerabilidad del navegador para soltar malware sin interacción del usuario. Reducido en 2026 frente a años pasados gracias a sandboxing moderno, pero no extinguido.
  • MDM o políticas corporativas mal usadas. En entornos donde el departamento de IT tiene la capacidad técnica de instalar keylogger como parte de DLP, abusos puntuales por encargado interno con motivación personal.

Familias de malware clásicas que incluyen keylogger como módulo: Agent Tesla, FormBook, AsyncRAT, RedLine Stealer, NjRat, Vidar Stealer, Lokibot. La mayoría se compra en mercados underground por suscripción mensual.

Cómo se detectan

Los controles defensivos modernos atacan el problema desde varios frentes.

Antivirus tradicional. Detecta firmas de familias conocidas. Eficaz contra keylogger commodity sin ofuscar; ineficaz contra variantes recientes o con ofuscación específica para el target.

EDR / XDR. Detecta el comportamiento. Patrones que disparan alerta: proceso desconocido leyendo del clipboard, hooks SetWindowsHookEx en aplicaciones que no deberían instalarlos, exfiltración a IPs sin reputación, screen capture continuado. Detalle en la guía de qué es un EDR.

Sandbox de adjuntos. Antes de entregar el correo, el adjunto se ejecuta en sandbox y se observa comportamiento. Detecta lo que las firmas no ven.

Network monitoring. Tráfico DNS anómalo (DNS tunneling para exfil), conexiones HTTPS a dominios recién registrados, picos de upload a horas raras. Detectable con SIEM bien configurado.

Monitorización de identidad. Logins anómalos que indican credenciales comprometidas: geolocalización, hora, dispositivo. Servicios como Microsoft Defender for Identity o módulos de identidad en EDRs detectan este patrón aunque el keylogger en sí no se haya visto.

Inspección física. Para keyloggers hardware: revisión periódica de puertos USB de máquinas críticas, especialmente en entornos compartidos (universidades, espacios coworking, recepciones). Marca de seguridad o etiqueta tamper-evident en el cable.

Threat hunting. La caza proactiva de patrones de keylogging cuando no han disparado alerta es parte del trabajo de threat hunting maduro.

Cómo protegerse

Las medidas que cierran realmente la puerta, ordenadas por impacto.

  • MFA universal. La autenticación de dos factores reduce drásticamente el daño aunque el keylogger capture la contraseña: el atacante necesita además el segundo factor. Idealmente FIDO2/WebAuthn (resistente a phishing); en su defecto, TOTP en app dedicada (no SMS).
  • Gestor de contraseñas. Las contraseñas no se teclean, se autocompletan desde el gestor. Un keylogger software clásico no captura contraseñas que no pasan por el teclado.
  • EDR moderno en endpoints. Cubre la mayoría de keyloggers software incluyendo variantes nuevas vía detección comportamental.
  • Hardening de privilegios. Usuarios sin permiso de administrador no pueden instalar la mayoría de keyloggers en kernel-mode. La mayor parte de malware doméstico se cae aquí.
  • Actualizaciones. Sistema operativo, navegador, aplicaciones de oficina al día. Reduce drive-by y exploits.
  • Política antiscript. Bloqueo de macros Office, ejecución restringida de PowerShell para usuarios estándar, protección AMSI activada.
  • Política de software. AppLocker, Windows Defender Application Control o equivalentes para evitar ejecución de binarios no autorizados.
  • DNS filtering. Cortar resolución de dominios sospechosos antes de que el keylogger contacte con su C2.
  • Concienciación. Formación regular y específica del rol. Un CFO que entiende cómo viaja un keylogger en un PDF de "factura urgente" abre menos.
  • Inspección física periódica de máquinas críticas, en oficinas con acceso de visitantes.
  • Monitorización de leaks (Have I Been Pwned, dark web monitoring) por si las credenciales aparecen tras un compromiso silencioso.

Ningún control único cierra el problema. La defensa es por capas y la pieza más subestimada suele ser MFA universal: aún en 2026 hay organizaciones grandes con cuentas privilegiadas sin MFA, y un keylogger en cualquier endpoint del usuario equivale a Domain Admin.

Instalar un keylogger sobre el equipo de otra persona sin su consentimiento puede constituir varios delitos, según las circunstancias:

  • Artículo 197 del Código Penal: descubrimiento y revelación de secretos. Penado con prisión de uno a cuatro años. Captar comunicaciones privadas o datos personales reservados sin autorización entra aquí.
  • Artículo 197 bis: intrusión informática. Acceso a sistema informático ajeno sin autorización.
  • Artículo 197 ter: producción y comercialización de programas para cometer los delitos anteriores. Aplicable a desarrolladores y distribuidores de stalkerware.
  • Ley Orgánica 3/2018 (LOPD-GDD) y RGPD: tratamiento ilícito de datos personales con sanciones administrativas que pueden llegar a millones de euros.
  • Estatuto de los Trabajadores y jurisprudencia laboral: el control empresarial sobre el equipo informático del trabajador requiere información previa específica, política escrita comunicada y test de proporcionalidad. Sentencias del Tribunal Supremo y del TC marcan los límites.

Casos legítimos:

  • Padre o madre con consentimiento del menor en su propio dispositivo, dentro de un marco proporcional.
  • Empresa con política expresa, comunicación previa al empleado, instalación sobre equipo corporativo y uso para fin proporcionado y necesario. La sentencia López Ribalda contra España (2019, TEDH) marcó el estándar europeo.
  • Investigación judicial con autorización de juez instructor.
  • Investigación de seguridad ofensiva sobre infraestructura propia o autorizada (auditorías de Red Team, pentesting).

Cualquier uso fuera de esos marcos es ilegal incluso si la motivación se presenta como benigna. La Agencia Española de Protección de Datos sanciona regularmente despliegues de keylogging sobre empleados sin información previa adecuada.

Encaje con compliance

Para empresas españolas bajo regulación, gestionar el riesgo de keylogging entra en varios marcos:

  • NIS2 (artículo 21). Medidas de control de acceso, autenticación, gestión de incidentes. MFA y EDR no son opcionales.
  • DORA (artículo 9). Medidas técnicas y organizativas para proteger sistemas ICT financieros. Incluye protección frente a malware con módulo keylogger.
  • ISO 27001:2022 (controles 8.7, 8.5, 5.18). Protección frente a malware, autenticación segura, gestión de privilegios.
  • ENS Real Decreto 311/2022. Medidas op.exp.6 (protección frente a código dañino), op.acc (control de acceso).
  • PCI DSS v4.0. Protección de datos de tarjeta (req. 5 antimalware, req. 8 autenticación fuerte).

Preguntas frecuentes

¿Cómo sé si tengo un keylogger en mi equipo?

Los signos más fiables son indirectos: cuentas accedidas desde ubicaciones extrañas, contraseñas cambiadas que no recuerdas haber cambiado, transacciones bancarias no reconocidas, fricción en aplicaciones que no estaba antes. Los antivirus modernos detectan la mayoría de variantes commodity. Si sospechas, escanea con un antivirus de segundo proveedor (Malwarebytes, ESET, ClamAV en Linux) y revisa procesos en ejecución y conexiones de red. En entornos corporativos, contacta directamente con tu equipo de seguridad antes de manipular el equipo.

¿Un teclado virtual protege contra un keylogger?

Solo contra el subtipo más básico (interceptación API de teclado físico). Los keyloggers modernos hacen screen scraping y form-grabbing, que capturan también lo introducido con teclado virtual. Por eso los bancos sustituyeron casi todos los teclados virtuales por MFA y dispositivos out-of-band.

¿Linux o macOS son inmunes?

No. Hay keyloggers para los tres sistemas operativos principales. La diferencia es que la base instalada en Windows hace que los atacantes inviertan más allí, y la separación de privilegios estricta en macOS y Linux moderno hace algo más difícil instalar keylogger en kernel-mode. Pero un keylogger user-mode en macOS captura igual de bien lo que tecleas si el atacante consigue ejecución.

¿Un VPN protege contra keyloggers?

No. El keylogger captura las pulsaciones antes de que entren en cualquier conexión cifrada. La VPN protege el tráfico en tránsito, lo que es útil contra otros vectores pero irrelevante contra un keylogger ya instalado.

¿Mi empresa puede instalarme legalmente un keylogger?

Solo en condiciones muy concretas: política escrita comunicada previamente al empleado, equipo corporativo (no personal), proporcionalidad del control, idoneidad y necesidad del medio, finalidad legítima documentada. Sin esos requisitos la instalación constituye intrusión y deriva en sanciones para la empresa. La jurisprudencia laboral española es estricta en este punto.

¿Para qué se usa un keylogger en un Red Team profesional?

Una vez ganado acceso a un endpoint del cliente, el operador puede desplegar un keylogger limitado en alcance y tiempo para validar si el SOC y EDR del cliente lo detectan. El objetivo del ejercicio es la detección, no extraer credenciales reales. La autorización contractual lo cubre y los datos se borran al cierre del proyecto. Detalle en la guía de Red Team para empresas.

¿Un keylogger se puede instalar solo con visitar una página?

Hoy es muy poco probable en navegadores actualizados. Las páginas pueden inyectar JavaScript que captura formularios (form-grabbing), pero eso no instala un keylogger persistente en el sistema. Para infectar el endpoint hace falta una vulnerabilidad del navegador y un sandbox-escape, combinación rara en 2026 sin un 0-day caro.

Recursos relacionados

Defensa frente a keyloggers en Secra

En Secra evaluamos la exposición real de las organizaciones frente a keyloggers en dos frentes: por un lado, ejercicios de Red Team que validan si el SOC y los controles defensivos detectan keylogging real en endpoints del cliente; por otro, auditorías de configuración de EDR, política de privilegios, despliegue MFA y formación al usuario para dejar el escenario "credencial comprometida en un endpoint" lo más contenido posible. El entregable habitual es un mapa de riesgos por usuario y máquina con prioridades concretas. Si quieres entender cuánto durarías frente a una campaña que combine phishing y keylogger contra tu plantilla, escríbenos a través de contacto o consulta nuestros servicios gestionados.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Qué es MITRE ATT&CK: tácticas, técnicas y uso en SOC y Red Team

Qué es MITRE ATT&CK, cómo se organiza en tácticas, técnicas y sub-técnicas, las 14 tácticas Enterprise y cómo lo usan SOC, Red Team y threat hunting.

2026-05-1013 min
defensiva

Qué es pharming: tipos, diferencias con phishing y cómo protegerse

Qué es pharming, tipos (DNS local, servidor DNS, BGP hijacking), diferencias con phishing, casos reales y cómo protegerse con DNSSEC, MFA y EDR.

2026-05-1013 min
defensiva

Qué es un troyano: tipos, ejemplos reales y cómo eliminarlo

Qué es un troyano informático, tipos (RAT, banker, downloader, dropper, info-stealer), ejemplos reales (Emotet, Trickbot, Agent Tesla) y pasos de eliminación.

2026-05-1013 min