CAPTURA DE TECLADO Y PROGRAMAS ESPA

Ing. Vincenzo Mendillo

Mayo 2!2
Objetivo: Familiarizarse con las tcnicas y herramientas destinadas a capturar y registrar en forma clandestina las actividades de los
usuarios de computadoras, con el fin de conocer sus caractersticas y combatir su uso indebido con fines de espionaje.
Reuisitos: !isponer de una cuenta con privilegios de "dministrador y poder deshabilitar el antivirus.
#lataforma: $indo%s.
Secci"n A# In$%od&cci"n
&l registro de actividad 'log( es una forma muy utilizada para guardar informaci)n acerca de sucesos ue han ocurrido en un sistema.
&*isten muchos tipos de logs, pero au se tratar+ principalmente del key log, en el cual se registran las pulsaciones del usuario sobre
el teclado de la computadora. &ste tipo de log es generado por programas especiales, llamados com,nmente -eyloggers. los m+s
sofisticados tambin capturan periodicamente la pantalla de la computadora y la almacenan encriptada y comprimida. /os -eyloggers
son detectados como programa espa 'spy%are( o troyanos por los antivirus y otros mecanismos de defensa inform+tica. &sto se debe a
ue el spy%are y el ad%are se utilizan para obtener informaci)n sobre la vctima, sin ue se ella se entere. !e hecho pueden ser
instalados en sitios p,blicos 'escuelas, cibercafs( para recolectar en forma abusiva informaci)n privada, como nombres, contrase0as,
n,meros de tarjetas de crdito y dbito, cuentas bancarias, #12, etc. &n organizaciones p,blicas y privadas permiten efectuar espionaje
poltico, industrial o financiero. /a criptografa no es de ninguna utilidad para proteger la informaci)n cuando el atacante usa un
-eylogger.
3oy da se consiguen -eyloggers para distintas plataformas y sistemas operativos. "dem+s los hay en hard%are y soft%are. &n el
primer caso se trata de teclados modificados ue parecen normales, tarjetas internas #41 y dispositivos e*ternos ue se intercalan entre
el teclado y el puerto 567 o #689 en la computadora. /a informaci)n es almacenada en una memoria e*trable, ue puede ser
bloueada, de modo ue s)lo el ue lo instal) tenga acceso a esta informaci)n. :ienen la desventaja de ue pueden ser f+cilmente
desconectados si son descubiertos.
/os -eyloggers a nivel de soft%are son m+s populares y pueden ejecutarse en modo sigiloso, de manera ue no hay una forma f+cil de
detectarlos. 6e programan para ue sean invisibles en la tabla de tareas y ue no aparezca un icono en la barra de procesos activos.
:ambin se esconden de la tabla de procesos, y los ue no lo hacen, igual no tienen nombres sospechosos de modo ue es difcil
identificarlos. /os archivos de log tampoco son evidentes para el usuario, aunue a medida ue crecen pueden llegar a ser
sospechosos. &stos archivos pueden ser guardados dentro de la carpeta de sistema de $indo%s 'ej. en 6ystem;9(, de modo ue son
<9<
invisibles a,n para algunos anti<spy%are. "dem+s suelen estar encriptados, de modo ue su modificaci)n no sea trivial, y pueden ser
enviados por correo, o enviados directamente a un servidor mediante una transferencia de archivos. :ambin pueden estar protegidos
por una clave y escondidos entre los archivos del sistema.
&l -eylogger puede ser combinado con otro archivo ejecutable y enviado a la vctima como un troyano, de modo ue al abrirse este
,ltimo, se instala sin ue el usuario se percate y luego se ejecuta cada vez ue $indo%s inicie. #or lo general esta tcnica no funciona
si la vctima posee un buen antivirus.
&n $indo%s e*isten varios mtodos para capturar la informaci)n proveniente del teclado. 5no de ellos consiste en usar una
funci)n del sistema GetAsynKeyState, la cual registra si una tecla fue oprimida y si es la misma desde la ,ltima vez ue fue llamada
esta funci)n. &sta funci)n e*iste en todos los sistemas operativos $indo%s, pero se comporta de diferente manera seg,n la versi)n. &n
$indo%s e*isten unos par+metros ue determinan si la tecla fue oprimida por primera vez, si por segunda vez, o si la aplicaci)n o
proceso 'thread( ha cambiado.
Otro mtodo concierne al uso de interrupciones de hard%are y adem+s la creaci)n de funciones ue manejan esta interrupci)n. #ara
lograr esto, el sistema operativo tiene un vector de interrupciones, ue es una estructura donde est+ almacenada la informaci)n de
c)mo manejar cada interrupci)n. 4ambiar una de las interrupciones es euivalente a ordenarle al sistema operativo ue maneje un
dispositivo de hard%are de una manera diferente. &ntonces el -eylogger se vale de cambiar el procedimiento de manejo de teclado por
un procedimiento ue primero guarda la letra en el log y luego llama al procedimiento original.
#ara ue el -eylogger sea invisible, primero debe desaparecer del :as- =anager, ue es la aplicaci)n ue $indo%s utiliza para ue
el usuario pueda saber u aplicaciones esta corriendo su m+uina. #ara hacerlo invisible hay varias posibilidades. 5na es ponerle un
nombre del ue el usuario incauto no sospechara. 5na mejor soluci)n para hacer totalmente invisible la aplicaci)n es ue no se
registre ante el :as- manager. &sto se logra creando una ventana con unos par+metros especficos:
4reate$indo%&*'>,'/#4:6:R(name,??,>,>,>,>,>,3$2!@!&6A:O#,25//,h1nstance,25//(.
#ara ue el spy%are puede correr sigilosamente sin ue aparezca en la lista de procesos ' Process list(, es necesario utilizar mtodos
poco ortodo*os. 5n proceso es un programa ue est+ corriendo, pero no necesariamente por cuenta el usuario, ya el sistema operativo
tambin corre programas. #ara ue el sistema operativo registre un proceso en la lista de procesos, hace un llamado a una funci)n ue
est+ en una de las libreras de $indo%s ue hacen parte del sistema operativo. /o ue se hace para esconder el -eylogger es, primero,
como no se puede evitar el llamado a esta funci)n, modificar la funci)n en s, y esto se hace en la dll ue la contiene. #ero se debe
modificar y luego volver a cambiar a su estado original, de lo contrario el sistema operativo puede generar errores inesperados. &sta es
una operaci)n muy delicada y se debe realizar con mucho cuidado.
&n $indo%s se puede crear un controlador en modo -ernel ue intervenga la funci)n interna NtQuerySystemInformation. &n
sistemas $;9, un controlador en modo -ernel implementa los aspectos especficos de reuerimientos de &86 para un dispositivo, como
4reateFile,4lose3andle, etc. /os controladores en modo -ernel son los ,nicos ue se comunican directamente con el hard%are, a
diferencia de los controladores de dispositivo. =odo -ernel se refiere al nivel m+s privilegiado de memoria del procesador, mientras
ue modo usuario es menos privilegiado. 4uando se interviene esta funci)n por medio de un controlador en modo -ernel
personalizado para tal efecto, se puede manipular la lista de procesos eliminando la estructura del proceso deseado en la cadena de
estructuras arrojada por la funci)n NtQuerySystemInformation.
T%oyano' (anca%io'
/os -eyloggers son una amenaza muy grave, ya ue se utilizan tambin para realizar fraudes bancarios. #or tal raz)n las entidades
financieras est+n alertando a sus clientes y tomando medidas preventivas, por ejemplo mediante el teclado virtual, donde la posici)n
de las teclas es al azar, cambiando cada vez ue el usuario ingresa al sistema.
4)mo suele ocurrir cuando una medida de seguridad se generaliza, no tardaron en aparecer troyanos bancarios ue burlaban este tipo
de protecci)n. !esde auellos ue directamente se inyectaban en el navegador y capturaban el usuario y contrase0a antes de ue fuera
enviado por 3::#6 al servidor de la entidad, de manera independiente a si haba sido introducido con el teclado fsico o virtual, hasta
<;<
los ue fueron programados especficamente contra los teclados virtuales y se activan al hacer clic- con el rat)n, almacenando la
posici)n del cursor o realizando peue0as capturas de pantalla.
A')ec$o' *$ico' y legale'
&l uso de -eyloggers, spy%are y sistemas de monitoreo en general, plantea muchas aspectos polmicos, ya ue ellos pueden ser
utilizados como mecanismos de vigilancia y de seguridad. #or ejemplo, los padres podran supervisar discretamente la actividad de sus
hijos menores en 1nternet. :ambin representa es una forma de controlar el uso de los recursos inform+ticos en una empresa, ya ue si
los empleados saben ue est+n siendo monitoreados, es m+s probable ue se abstengan del uso indebido de informaci)n o recursos
'1nternet, chats, foros, e<mail(. 6i en un computador hay informaci)n confidencial, se puede registrar el acceso no autorizado. /os
spy%are son utilizados para combatir el crimen, incluyendo pornografa infantil, terrorismo y tr+fico de drogas, ya ue los logs pueden
significar una prueba contundente en casos legales 'fornsica digital(.
#ero los aspectos ticos y legales sobre los sistemas de monitoreo de actividades personales no son del todo claros y especficos.
"unue se puede argumentar ue su uso puede traer serias consecuencias para la privacidad de las personas, por otro lado permite
obtener evidencias ue de otro modo sera casi imposible. &n un caso un juez federal de &&.55. dictamin) ue el F71 no necesitaba
una orden para instalar un -eylogger en el computador de un conocido g+ngster a fin de obtener la contrase0a de un archivo cifrado. &l
abogado del acusado argument) ue el -eylogger violaba el cuarto mandamiento de la constituci)n, ya ue recolectaba informaci)n no
relevante. "dem+s argument) ue era necesario ue se e*plicara la tecnologa usada, ya ue si -eylogger interceptaba comunicaciones
telef)nicas, entonces el F71 necesitaba una orden judicial. #ero el F71 e*plic) ue el -eylogger haba sido configurado para capturar
informaci)n cuando la computadora no se encontraba transmitiendo datos por el modem y gan) el caso.
!e acuerdo a los estatutos americanos de privacidad, el -eylogger no es del todo ilegal, aunue est+ situado en una franja de
informaci)n ue no est+ cubierta por los estatutos, por lo menos no de manera e*plicita. 6e debe tener en cuenta ue la informaci)n
recopilada es capturada antes de ue sea enviada, por lo cual una orden judicial no es necesaria. 6in embargo para ue la informaci)n
sea recopilada, se debe primero instalar el -eylogger, lo cual es an+logo a la instalaci)n de un micr)fono. &s decir, al hacer el
allanamiento, se puede instalar el -eylogger y el micr)fono, lo cual es perfectamente valido ante la ley.
&n trminos generales, el usar un -eylogger sin conocimiento es considerado una actividad ilegal en muchos pases. &sto puede
verse en el !isclamer de una renombrada empresa ue vende un -eylogger: BEl fabricante no asume ninguna responsabilidad por el
uso errneo o da!o causado por nuestro producto de soft"are#hard"are Es responsabilidad del usuario final obedecer toda ley
aplicable local$ estadal y federalC.
&l aspecto legal sobre el monitoreo de actividades personales es tambin importante cuando se trata de vigilar el comportamiento
de empleados en una empresa. "l respecto tampoco hay leyes claras y a menudo las polticas de la empresa dictaminan la legalidad del
monitoreo, si bien se considera ue es un medio ue invade la privacidad. &n pocos pases e*isten leyes especiales para el monitoreo
en la oficina. =ientras tanto, aumentan los despidos por uso indebido de 1nternet y las denuncias de los empleados ue han visto
invadida su privacidad. &n &spa0a ha habido sentencias para todos los gustos, pero la tendencia es a seguir el 4)digo #enal, ue
asegura el secreto de las comunicaciones, y las directrices de la 5ni)n &uropea, ue consideran legal el monitoreo si no hay
alternativa, tiene un fin legtimo, el empleado sabe ue se le vigila, los datos recopilados no son e*cesivos y no se vigila de forma
generalizada a todo el mundo.
Duiz+s la clave del asunto est+ en el contenido de los datos recopilados. 6e puede monitorear el uso de 1nternet, la navegaci)n, el
volumen de correo y las cabeceras. #ero el contenido es privado y capturarlo sin orden judicial es un delito, como pinchar un telfono.
Otro punto importante es ue el empleado sepa ue espiarle entra en las normas de la empresa. 6eg,n #rice$ater3ouse, solo el ;E,FG
de las empresas espa0olas tienen una poltica clara sobre este tema. &n &stados 5nidos, la creaci)n de polticas empresariales sobre
monitoreo est+ estancada desde hace a0os. Hran 7reta0a, pionera en el espionaje de empleados, ha sido tambin el primer pas europeo
ue ha salido en defensa de la privacidad en horas de trabajo. &l 4omisionado de la 1nformaci)n ha publicado un c)digo para
empresas, donde se les prohbe espiar a un trabajador sin su consentimiento, e*cepto en casos criminales o pr+cticas inadecuadas. &l
=inisterio de :rabajo finlands ha publicado un borrador sobre la protecci)n de la privacidad en el trabajo, muy criticado porue,
aunue regula la video<vigilancia, permite ue la empresa revise el correo de empleados ue est+n enfermos o de vacaciones.
Secci"n +# Con,ig&%aci"n y &'o de &n -eylogge%
&n 1nternet se consigue un buen n,mero de -eyloggers, especialmente para la plataforma $indo%s. &ntre los m+s conocidos se
encuentran #erfect Aeylogger, Refog Aeylogger, "rdama* Aeylogger, &lite Aeylogger, &codsoftt Aeylogger, Free Aeylogger. &n las
e*periencias ue siguen se va a utilizar #erfect Aeylogger, ue es uno de los programas m+s antiguos y m+s populares, adem+s de ue
representa una e*celente manera para iniciarse en el mundo del spy%are y de los -eyloggers.
"dvertencia: &ste programa puede ue cause problemas serios en su m+uina, as ue no contin,e si no tiene e*perticia en c)mo
desactivar procesos, resolver fallas en computadoras y recuperaci)n del sistema. 6e recomienda efectuar una imagen o respaldo del
disco 4 del sistema antes de instalar cualuier -eylogger.
I. &n primer lugar, antes de la instalaci)n, debe desactivar temporalmente el antivirus, ya ue seguramente el -eylogger ser+ detectado
y se blouear+ su instalaci)n.
<J<
9. !esactivar temporalmente el antivirus puede ser una tarea algo difcil con ciertos productos 'ej. 2orton, 2O!;9, =c"fee(. &n el
caso de =icrosoft 6ecurity &ssentials, se puede desactivar la protecci)n en tiempo real en la pesta0a %onfiguracin.
;. #roceda entonces a instalar el -eylogger, ue se encuentra en la carpeta %aptura&Keyloggers del !K!. !urante la instalaci)n puede
escoger el nombre en clave 'key"ord( para los ejecutables, a fin de ue el programa sea m+s difcil de descubrir. #ara las siguientes
e*periencias puede dejar el nombre predeterminado bpk.
J. 4on respecto a la carpeta de instalaci)n, ponga por ahora %'&(PK) &n un caso real, podra esconder el programa en otra parte, por
ejemplo en %'&Archivos de programa&System&(PK. 1mportante: 6i no e*iste la carpeta, uiz+s deba crearla previamente. #ara el tipo de
instalaci)n, seleccione *egular installation)
F. &n la siguiente ventana, durante la instalaci)n, 2O desactive por ahora %reate folder "ith shortcuts.
<F<
L. "l finalizar la instalaci)n, mediante el &*plorador de $indo%s verifiue si se cre) la carpeta 7#A en el lugar correcto. "ll lance el
programa, haciendo doble clic con el bot)n derecho sobre el archivo bpk)e+e y seleccionando E,ecutar como administrador) 3aga
doble clic sobre el archivo help)chm para la ayuda en lnea.

M. &l programa solicita un c)digo de registro para usarlo luego de F das de prueba y para uitar otras limitaciones. #ara fines
did+cticos pruebe a utilizar name: -utsch .ietmar, 6erial: /01E2AP.*2SN3E2N43S)
E. 5na vez instalado, aparece un nuevo icono en la barra de tareas. #ulse all el bot)n derecho del rat)n y configure el -eylogger para
ocultarlo a,n m+s y activar el registro de datos 'log(.
<L<
N. #ara tal fin pulse sobre 5ptions. "parecer+ la siguiente ventana:
I>. "ctive la casilla *un on 6indo"s startup '"ctivar al inicio de $indo%s(, para ue as el -eylogger se inicie autom+ticamente cada
vez ue se enciende el euipo.
II. "dem+s active la casilla .on7t sho" program icon at startup '2o mostrar el icono del programa al inicio(, para as ocultar el icono
del -eylogger. #uede usar una combinaci)n de teclas secretas '4trl O "lt O / o las ue prefiera( junto con la tecla de $indo%s, para
ue el icono vuelva a aparecer otra vez y as tener acceso al programa. &s importante no olvidar esa combinaci)n de teclasP
I9. #ara esconder el -eylogger con el fin de ue no figure como proceso activo visible cuando se pulsa 4trl O "lt O !el, active la
casilla 0ide the program from %trl 8 Alt 8 .el.
I;. Otra manera de rastrear el -eylogger en una computadora es recurrir al Registro de $indo%s donde est+n los programas ue
arrancan al inicio. #ara impedirlo, active 9ake the program invisible in the 6indo"s startup list.
<M<
IJ. #or ,ltimo, para hacerlo totalmente invisible, active *emove program from Start 9enu and uninstall list.
IF. 6i usted ha activado todas esas opciones, entonces el -eylogger ser+ muy difcil de descubrir en el euipo donde est+ instalado.
IL. 4ontinuando con la configuraci)n, seleccione /ogging en la parte izuierda de la ventana. "parecer+ lo siguiente:
IM. #ara proteger el acceso al -eylogger con una contrase0a, pulse el bot)n Pass"ord e introduzca la contrase0a 'ej. abc:;<(, pero es
mejor no activar esta opci)n, ya ue si est+ activada tambin la funci)n para ue el -eylogger se cargue autom+ticamente en el inicio
de $indo%s, va a salir en la pantalla un cuadro para ue se introduzca la contrase0a en cuanto se encienda el euipo. 4laramente esto
no es conveniente si uiere ue el programa sea invisible.
IE. Otras opciones au son: monitorear s)lo cuando est+ conectado en lnea, activar el registro de chat, del portapapeles, de los
botones de clic, de contrase0as. "ctive las mostradas.
.
IN. "hora estamos ante la parte m+s importante del -eylogger. "l pulsar 4ie" log se tiene acceso a los registros de la actividad en el
euipo. 5n aspecto importante es ue no registra las teclas de correcci)n 'borrado de caracteres, retroceso, etc.(, lo ue hace ue la
lectura de los logs sea limpia y concisa.
<E<
9>. 2avegue a travs de los J tipos de log 'Keystrokes$ %hats$ Screenshots$ 6ebsites( y vea el contenido. 2ote ue este programa no
s)lo puede capturar las teclas pulsadas, sino ue tambin puede capturar la pantalla y otros datos m+s especficos. &n el almanaue ue
aparece en la parte superior se puede seleccionar el da de la semana ue se uiere revisar. "dem+s en el encabezado del -eylogger
aparece la ruta donde se guardan los logs.
9I. &s posible ue en $indo%s M y Kista estn vacos los logs 'e*cepto Screenshots(, ya ue por seguridad la mayora de las
aplicaciones se ejecutan con permisos limitados, a,n cuando el usuario inicia sesi)n en su euipo con privilegios de administrador. &n
el momento en ue el usuario intenta realizar una operaci)n ue reuiera permisos de administrador entra en acci)n el control de
cuenta de usuario '5"4(.
&n $indo%s Kista puede deshabilitar este mecanismo mediante Iniciar = Panel de %ontrol = %uentas de usuario = Activar o desactivar
el %ontrol de cuentas de usuario) &n $indo%s M se hace mediante Panel de %ontrol = Sistema = %entro de actividades = %ambiar
configuracin de %ontrol de cuentas de usuario) !eber+ reiniciar $indo%s para ue el cambio surta efecto. #ara m+s informaci)n
sobre 5"4, lea la informaci)n al final de esta gua 'en su versi)n electr)nica(.
<N<
99. "lgunos programas detectan ue son monitoreados y pueden dejar de funcionar. :al es el caso de 6-ype.
9;. 7ajo la opci)n Screenshoots de #erfect Aeylogger puede configurar la captura de pantalla a intervalos regulares 'ej. cada F
minutos( o cuando se pulse el rat)n. #ara tal fin debe estar activada la casilla Enable visual surveillance) &s conveniente bajar la
calidad de las im+genes para ue el log no sea muy voluminoso. &n todo caso si no hay actividad durante m+s de F minutos, no se
efect,a la captura.
9J. .O)cional/. Kamos a pasar ahora a otra secci)n muy importante del -eylogger. "l pulsar sobre E2mail aparece la ventana ue
permite configurar el envo de los archivos de log por medio del correo electr)nico. &sto es conveniente cuando no hay posibilidad de
acceso al euipo ue se uiere vigilar.
<I><
9F. /a opci)n -ry to send logs by e2mail every> es para establecer el intervalo de transmisi)n. #or ahora ponga IF minutos para poder
cheuear si funciona bien.
9L. /a opci)n /og ?ile ?ormat permite encriptar los logs a fin de ue otras personas no puedan entender su contenido. #or ahora
djelo en 3:=/.
9M. /a opci)n %lear logs after successful sending borra los logs luego de enviarlos, para ue no crezca su n,mero y tama0o en el disco
duro. "dem+s as no uedan evidencias locales. #or ahora no active esta ocpi)n, a fin de ue luego usted pueda revisar los logs.
9E. #ulse .elivery para configurar el servidor de correo. #ara las pruebas ue siguen a continuaci)n puede utilizar una cuenta gratuita.
#ero es muy posible ue algo no funcione y el log nunca llegue. #or ejemplo, el correo puede ser rechazado como spam o con error de
open relay, como se e*plica m+s adelante.
9N. 6i el 16# para ese euipo es 4"2:K, pruebe a usar mail)cantv)net) 4on ciertos tipos de cuentas gratuitas 'ej. gmail, hotmail, yahoo(
o ue usan 66/, no va a funcionar.
<II<
;>. 5se None en Authentication method, dejando 3sername y Pass"ord en banco. /uego pulse Send test para verificar ue funciona.
Duiz+s tenga ue probar con varios mtodos de autenticaci)n.
;I. 2ote en el ejemplo ue el destinatario 'vmendillo@cantv)netA se encuentra en el mismo deminio del servidor 6=:#
'mail)cantv)net(. 6i no fuese as, el e<mail sera rechazado con un error tipo *elay denied. "lgunos servidores 6=:# no verifican desde
u direcci)n electr)nica vienen los mensajes y hacia d)nde van. /a gente ue enva correo basura y spams se aprovecha de esta
debilidad para mandar mensajes de forma masiva y sin ue no los descubran. " estos servidores, se les conoce por el trmino open
relays.
"lternativamente para ue el mensaje no sea rechazado, debe provenir del mismo dominio del servidor 'lo cual es cheueado
mediante la direcci)n 1# de la fuente(. &n pocas palabras, esto significa ue un e<mail es rechazado si no es para un destinatario local o
no proviene de un remitente local. 4omo ejemplo, 5d. puede enviar un mensaje mediante mail)cantv)net a vmendillo@cantv)net pero
no a vmendillo@gmail)com, a menos ue lo haga desde un sitio conectado va modem o lnea dedicada a la red cantv)net$ es decir ue
cantv.net sea su 16#.
4omo otro ejemplo, el servidor 6=:# de correo mail)isp)com acepta mensajes para usuario@isp)com provenientes de cualuier
otro dominio, digamos de usuario@yahoo)com. :ambin acepta mensajes de usuario@isp)com dirigidos a usuario@yahoo)com. #ero
no acepta mensajes de usuario@yahoo)com dirigidos a usuario@hotmail)com.
;9. :ome en cuenta ue en el euipo donde est+ instalado el -eylogger hay un fire%all, es posible ue aparezca una alerta como la
siguiente cuando el -eylogger trate de enviar un e<mail:
;;. 6i a pesar de todos sus esfuerzos, usted no logr) ue funcionara el envo de correo, prueber a utilizar otro -eylogger, como
"rdama* Aeylogger, el cual permite utilizar una cuenta de gmail para recibir el correo. 6e encuentra en la carpeta
%aptura#Keyloggers del !K! del curso.
;J. /a opci)n ?-P de #erfect Aeylogger permite enviar los logs a un servidor F:#. &sto puede ser ,til cuando se monitorean muchos
euipos remotos. &*isten numerosos servidores F:# gratuitos en 1nternet.
<I9<
;F. /a opci)n Alerts enva una alerta por e<mail cuando se teclea alguna palabra clave.
;L. /a opci)n -argets permite monitorear una aplicaci)n en particular 'por ejemplo Faceboo- o :%itter(, en vez de todo lo ue pasa en
el #4. #or supuesto, se pueden a0adir tantas aplicaciones como se uiera.
<I;<
;M. 4omo es de suponer, 2O se debe usar un -eylogger en la m+uina de otras personas sin la debida autorizaci)n. &n ciertas
organizaciones se utiliza el -eylogger para ue los empleados se abstengan de realizar actividades indebidas en su euipo. &n tal caso
es prudente ue les aparezca un anuncio advirtiendo ue sus actividades est+n siendo monitoreadas. /a opci)n Notification de #erfect
Aeylogger muestra ese anuncio cuando se carga $indo%s.

;E. 5na vez completada la configuraci)n del -eylogger, lo ue debe hacer es verificar si se comporta como se espera. &jecute
msconfig y compruebe ue el programa bpk)e+e no aparece bajo Servicios o Inicio de 6indo"s)
;N. #ulse %trl 8 Alt 8 Supr y compruebe si bpk)e+e si aparece bajo Aplicaciones o bajo Procesos. 4on $indo%s M es posible ue
aparezca y ue no aparezca con $indo%s Q#.
<IJ<
J>. &n todo caso, con un programa m+s sofisticado como es -askInfo, podra detectar este -eylogger. :as-1nfo se encuentra en la
carpeta 4arios del !K!.
JI. " continuaci)n realice algunas actividades en 1nternet y luego revise los logs de #erfect Aeylogger. "nalice los resultados)
J9. Revise adem+s su correo electr)nico, donde debera haber reportes del -eylogger. #ero e*iste la posibilidad de ue estos correos
sean considerados spam y eliminados por alg,n filtro en el 16# o en su propia computadora por alg,n antivirus.
J;. &n los correos debera haber informaci)n como la siguiente:
Secci"n C# In'$alaci"n %e0o$a co0o $%oyano .o)cional/
6i no se tiene acceso fsico al euipo donde se uiere instalar #erfect Aeylogger, se puede usar la Bingeniera socialC para instalarlo
como un caballo de :roya 'troyano(. /a tcnica consiste en disfrazar el -eylogger, combin+ndolo con otro programa inocuo, para ue
cuando la vctima 'sin sospechar(, corra el programa combinado en su euipo, entonces el -eylogger se instala autom+tica y
sigilosamente. /os troyanos son peligrosos ya ue se instalan en una m+uina sin el conocimiento y el consentimiento del usuario
legtimo de ese euipo 'a menudo con fines ilcitos, como por ejemplo espiar la actividad del usuario(.
#ara ue pueda instalarse un troyano, una forma es enviar a la vctima un archivo ejecutable aparentemente inofensivo 'por
ejemplo un juego(. &n realidad ese programa es un caballo de :roya, es decir ue se ejecuta como una aplicaci)n inocua, pero
simult+neamente instala otro programa en alguna parte del disco duro 'por ejemplo, en 4:R$indo%s( con un nombre disfrazado 'por
ejemplo, systray)e+e(. "dicionalmente el programa puede modificar archivos como %in.ini o el registro de $indo%s a fin de ejecutarse
cada vez ue la m+uina se enciende.
Otro modalidad frecuente en las oficinas es por parte de otros empleados, los cuales aprovechan una ausencia de la victima para
implantar el troyano desde un dis-ette.
I. #ulse las teclas %trl 8 Alt 8 / 8 6indo"s para ue se muestre el cono de #erfect Aeylogger.
9. &n la barra de tareas de $indo%s, pulse con el bot)n derecho sobre el cono del -eylogger y mediante Setup, configure
apropiadamente el programa para ue vaya a ser lo m+s invisible posible en la m+uinade la vctima. 2o hay ue olvidar este paso
antes de crear el pauete para instalaci)n remota. :ambin se puede crear un pauete de desinstalaci)n para eliminar el -eylogger del
euipo remoto.
;. 4on el bot)n derecho sobre el cono del -eylogger, seleccione *emote Installation. "parecer+ una ventana nueva.
<IF<
J. &n las siguientes ventanas seleccione las opciones 1nstall ne" S Notify by email y el programa a combinar. "u puede usar puede
utilizar una foto o una meloda =#; ue se de inters para la vctima, por ejemplo %erebro),pg ue se encuentra en la carpeta de
instalaci)n de #erfect Aeylogger en el !K!. !eber+ copiar previamente ese archivo al disco duro.
F. 6i todo sale bien, debera crearse un nuevo ejecutable instB%erebro)e+e. 2ote ue su tama0o es mayor ue el archivo original. "l
correr la victima este programa, se instalar+ en la la carpeta del sistema '%'&6indo"s&System( a menos ue se preconfigure otra
ubicaci)n.
L. 4ambie al nombre del programa a uno m+s conveniente 'ej. %erebro),pg)e+e(.
M. 4ambie el cono mediante la utilidad *es0ack, ue se encuentra en la carpeta de instalaci)n de #erfect Aeylogger. #ara tal fin haga
clic sobre *es0acker)e+e, luego ?ile = 5pen = %erebro),pg)e+e. &n Actions, seleccione *eplace Icon = 5pen file "ith ne" icon. "u
escoja el cono ue uiere importar 'por ej. el de KeyGen)e+e(. /uego *eplace y finalmente ?ile = Save. 6i todo sale bien, debera
mostrarse %erebro),pg)e+e con un cono menos sospechoso.
E. #ara probar el funcionamiento de este troyano, lo mejor el correrlo en otro euipo de prueba, por ejemplo en una m+uina virtual.
5na persona incauta pensar+ ue es una imagen T#H y no un archivo &Q&, si en el &*plorador de $indo%s de la m+uina, bajo
5rganiCar = 5pciones de carpeta y bDsEueda = 4er, tiene activado 5cultar las e+tensiones de archivo para tipos de archivo conocidos)

N. "l correr el troyano es muy posible ue el antivirus blouee su instalaci)n. :ampoco se va a instalar para usuarios con cuenta de
Huest 'Invitado(. 6i finalmente usted es h+bil y logra instalarlo, vaya a a carpeta del sistema y verifiue ue all se encuentran varios
archivos ue usa el programa.
I>. /o ue debe hacer ahora es esperar alg,n tiempo y verificar ue llegue el e<mail con el log.
<IL<
Secci"n D# An$i1')y2a%e
4omo se ha visto en las e*periencias anteriores, los programas tipo spy%are pueden ser utilizados para recolectar la informaci)n
privada ue pasa por el computador, incluyendo contrase0as, n,meros de tarjetas de crdito y #12 'Personal Identification Number(,
todo esto uiz+s sin el conocimiento del usuario. #or tal raz)n es conveniente disponer de anti2spy"are ue los combatan. &n todo
caso para prevenir el monitoreo no autorizado del computador, hay ue evitar ejecutar soft%are desconocido o proveniente de fuentes
desconocidas, usar un fire%all81!6 y mantener actualizado el antivirus.
/a mayora de los anti<-eyloggers escanean el disco duro local, generando interrupciones de teclado y mientras tanto buscan
archivos de log ue estn siendo creados o modificados por el -eylogger. &sa es la raz)n por la cual mientras se corre un programa de
detecci)n de -eyloggers, es conveniente cerrar todas las dem+s aplicaciones. !e esta forma funciona, por ejemplo A/<!etector$ una
utilidad gratuita. !ado ue todos los spy%are deben generar un archivo para guardar los logs creados, los anti<spy%are pueden detectar
muchas versiones de spy%are, aun a futuro. 6in embargo e*iste la posibilidad de ue un spy%are no sea detectado, por ejemplo si
maneja los archivos de log en el UregistryV de $indo%s. "dem+s la mayora de los productos, sobre todo los gratuitos, s)lo se limita a
avisar si e*iste o no un spy%are instalado, lo cual no es muy ,til si dicho programa se encuentra escondido en el computador y no es
f+cil desactivarlo. "lgunos productos revisan bases de datos de -eyloggers conocidos, y usando la firma del programa, lo detectan y
eliminan.
I. #robablemente si activa el antivirus ue trae su euipo, el -eylogger sea detectado y bloueado. &n el caso de =icrosoft 6ecurity
&ssentials, le aparece una advertencia como la siguiente:
9. "l seleccionar 9ostrar detalles, se puede ejecutar alguna acci)n, como uitarlo.
;. Wone/abs ofrece una revisi)n en lnea de su #4 contra soft%are espa mediante su Anti2Spy"are Scanner. #ruebe su efectividad
para encontrar #erfect Aeylogger y otros eventuales spy%are en su #4.
J. =icrosoft pone a disposici)n 6indo"s .efender de forma gratuita para los usuarios lgitimos de $indo%s.
<IM<
F. &n la carpeta .efensa&SuperAntispy"are se encuentra un buen producto gratuito) #ruebe a usarlos.
L. Otra utilidad del mismo gnero es 6pybot ue se encuentra en la carpeta .efensa&Spybot. #ruebe a usarla y compare los resultados.
M. "nti<-eylogger es un soft%are muy sofisticado ue funciona en forma parecida a un 1!6 'Intrusion .etection System(, utilizando
algoritmos ue les permiten distinguir las actividades de un programa espa de otros programas ue est+n corriendo 'ej. =essenger(.
#or tal raz)n dispone de una lista de e*clusi)n. /a proteccion se activa antes de ue el usuario se loguee en el sistema y
automaticamente desactiva cualuier -eylogger ue logre detectar.
E. 5na buena utilidad es /avasoft, ue detecta y elimina muchos tipos de spy%are y ad%are. #ruebe a usarla y compare los resultados.
<IE<
N. "dem+s de los programas anteriores y muchos otros parecidos, en 1nternet se consiguen utilidades especialmente dise0adas para
detectar y eliminar troyanos, tal como Anti2-ro,an y -ro,an *emover.
Secci"n E# De'in'$alaci"n
I. 4uando hay completado las e*periencias anteriores, desinstale el troyano 'ya ue es una herramienta peligrosa para la privacidad(.
6i no lo logra hacer desde la lista de programas en $indo%s, corra el ejecutable bpkun)e+e ue se encuentra en la carpeta donde instal)
#erfect Aeylogger.
9. /uego trate de borrar el resto de los archivos ue se encuentran en esa carpeta. Duiz+s ueden algunos dll ue los podra eliminar
iniciando la computadora en el modo a prueba de fallos o s)lo con el smbolo del sistema.
;. Otra posibilidad es activar el cono de #erfect Aeylogger pulsando las teclas %trl 8 Alt 8 / 8 6indo"s o %trl 8 Alt 8 / 8 6indo"s
'a menos ue usted no hubiese desactivado esta opci)n en la configuraci)n(. /uego en 5ptions desactive 0ide %trl 8 Alt 8 .el y
finalmente BmateC el proceso.
J. &studie otras formas de desactivar o desinstalar el -eylogger remoto y prubelas.
F. 6i uiere estar seguro de ue en el euipo no uedaron -eyloggers como consecuencia de esta pr+ctica o de actvidades previas,
reinstale $indo%s de forma BlimpiaC, pero se perder+n todos los programas instalados. "lternativamente use una herramienta como
9acrium *eflect para reinstalar una imagen BsanaC de la partici)n 4, previamente salvada. &l uso de esa herramienta se e*plica en la
gua sobre Respaldo y Restauraci)n de !atos ue se encuentra en la carpeta Practicas del !K!.
Secci"n 3# In,o%0e
&labore un informe de no menos de E p+ginas donde se reportan las e*periencias m+s relevantes, se analizan los resultados obtenidos,
finalizando con conclusiones y eventuales recomendaciones.
&n particular, discuta el uso de los spy%are y -eyloggers en Kenezuela a la luz de la /ey sobre !elitos 1nform+ticos, ue entr) en
vigencia el ;> de noviembre de 9>>I 'ver ane*o(.
&l informe debe ser redactado con palabras propias. no se debe repetir el te*to del material ue se encuentra en esta gua, en el
!K! o en otras fuentes.
/os informes deben enviarse regularmente al profesor a lo largo del curso, mediante el correo electr)nico. 6er+n penalizadas las
entregas retrasadas y no se aceptar+n entregas muy retrasadas. "dem+s 2O se aceptar+n entregados todos juntos los ,ltimos das de
finalizaci)n del curso.
<IN<
Mi$o' y leyenda'# UAC U'e% Acco&n$ Con$%ol 1 e'e g%an inco0)%endido
3ispasec < 2oviembre 9>>N < http:88%%%.hispasec.com
5na de las tecnologas ue =icrosoft introdujo en Kista, el 5"4 '3ser Account %ontrol(, ha sido especialmente criticada y rechazada
por la mayora de los usuarios. 6in embargo, si se presta un poco de atenci)n, se puede usar 5"4 como un gran adelanto en la
seguridad y comodidad de $indo%s. =icrosoft ha dado un paso interesante en la direcci)n correcta con 5"4, pero los usuarios ue se
empe0an en usar el administrador no han sabido valorarlo. 5"4 es un incomprendido porue en realidad, hay ue entenderlo como
una bendici)n para los ue usan una cuenta limitada en Kista y M. 5n complemento ideal para lo ue sigue siendo la mejor defensa:
evitar el uso de la cuenta de administrador.
El 4&* y el )o%4&* del UAC
=icrosoft no tena ning,n control de usuario real para su gama de escritorio hasta $indo%s Q#. 6u introducci)n supuso un enorme
paso adelante para la seguridad. 5tilizar $indo%s Q# en modo usuario est+ndar era, por fin, el mejor antdoto contra el mal%are y
todo tipo de amenazas. #ero de nada sirvi). #or miedo a ue los usuarios 'despus de a0os de =6<!O6, ;.II y N*( no supieran lidiar
con 2:F6, permisos, derechos y privilegios, decidi) ue usar la cuenta de administrador todo el tiempo era lo ?menos malo?.
6acrificaron todas las mejoras ue ellos mismos haban introducido con tal de ue se entendiera su flamante sistema operativo. /os
programadores se relajaron entonces, y dieron por hecho ue el usuario deba ser administrador, y no se preocuparon por comprobar
d)nde podan escribir, a u zonas del sistema podan acceder, etc. !e hecho, pocos son los virus ue se preocupan hoy en da de si
pueden escribir o no en ?system;9?, zona favorita donde se esconde la inmensa mayora del mal%are actual. 6i el usuario no fuese
administrador, esa inmensa mayora del mal%are no sera hoy efectiva, porue no seran capaces de escribir archivos donde
presuponen ue pueden.
"s ue Q# permita protegerse con la cuenta de usuario est+ndar, pero muchos lo ignoraban y adem+s era inc)modo. =icrosoft no
ofreca ninguna herramienta realmente c)moda para ue un ?loco? ue decidiera usar su $indo%s como debe ser, desde una cuenta sin
privilegios, pudiera administrar de forma sencilla su euipo. :odo tipo de trabas en los programas y en la propia interfaz haca ue
muchos de los intentos por migrar hacia un usuario raso fracasaran. "lgo haba ue hacer, y con la introducci)n de Kista era el
momento adecuado.
Un ca0(io a 0edia'
4on Kista, $indo%s podra haber tomado un rumbo radicalmente distinto 'y a la vez, igual a la de cualuier otro sistema operativo(:
obligar a ue la primera cuenta de usuario creada cuando se instala el sistema 'la ue todo el mundo usa habitualmente( fuera de
usuario raso. #ero no. 6era demasiado chocante, as ue decidi) introducir un paso intermedio, el 5"4. &n pocas palabras, se trata de
una pantalla de protecci)n contra las acciones potencialmente peligrosas para el usuario, incluso si eres el administrador. :cnicamente
hablando, es un concepto e*tra0o.
&n Q#, un usuario ue se presenta en el sistema, tiene un to-en de seguridad. &ste to-en puede ser b+sicamente de administrador
'puede hacer lo ue uiera( o de usuario est+ndar 'se ve limitado para escribir en ciertas zonas del sistema, o para realizar ciertos
cambios(. &n Kista por el contrario, cuando un administrador inicia sesi)n se le conceden dos: uno de administrador real y otro de
usuario est+ndar 's, aunue sea administrador(. #or defecto, se usa el to-en de usuario est+ndar para arrancar la mayora de
programas, y esto es estupendo desde el punto de vista de la seguridad. #ara realizar las acciones ue reuieren elevar privilegios, se
usa el to-en de administrador, y es en este paso donde interpone el 5"4. &l usuario es consciente de cu+ndo se est+n realizando
acciones peligrosas y debe o bien proporcionar consentimiento o bien introducir sus credenciales.
O sea, Kista pr+cticamente obliga al usuario a tener pocos privilegios aunue pertenezca al grupo de administradores. #ero a
muchos usuarios les gusta ser ?poderosos?, no les apetece responder constantemente a preguntas de si realmente uieren o no realizar
tal o cual acci)n, as ue ante la incomodidad terminan por desistir. &l usuario echa de menos al todopoderoso administrador del Q#, y
por eso 5"4 ha resultado un estorbo para la mayora.
6in embargo, 5"4 es una herramienta e*celente para uien usa Kista como usuario est+ndar. 5"4 es lo ue todo usuario de Q#
ue lo utilizaba con una cuenta limitada estaba esperando: una forma c)moda de mantener el sistema protegido.
/a potencia del 5"4 se muestra realmente cuando se utiliza una cuenta con privilegios limitados. 4on 5"4 bien configurado,
$indo%s se comporta de forma parecida a otros sistemas operativos ue llevan a0os obligando al usuario 'con *ito( a utilizar cuentas
de usuario est+ndar: H258/inu* y =ac O6.
#or defecto, el primer usuario creado cuando se instala Kista es una cuenta de administrador en ?modo de aprobaci)n?. &n este
modo de 5"4 no se piden credenciales, sino ue simplemente, ante una acci)n potencialmente peligrosa, se pregunta si realmente se
uiere hacer. /o ue ha dado mala fama al 5"4 y probablemente un gran error de $indo%s Kista 'corregido al parecer en $indo%s
M( ha sido obligar a responder preguntas de si realmente se uiere realizar una acci)n a un usuario ue ya de por s es administrador.
#ara usar de forma ,til el 5"4 el usuario debe ser usuario raso y preferiblemente, configurarlo para ue pida las credenciales. &n
Q#, cada vez ue se uera elevar privilegios para realizar tareas de administrador, haba ue utilizar herramientas inc)modas como
?runas? o realizar ciertos trucos para ue el proceso ?e*plorer.e*e? heredara el to-en de administrador. &sto era un suplicio. 4on 5"4,
cada vez ue el usuario desee realizar una acci)n como administrador, el di+logo aparecer+ m+gicamente, y s)lo ser+ necesario aprobar
<9><
la acci)n o introducir las credenciales. :odo es mucho m+s c)modo. #ero para conseguir esto, hay ue manipular y entender algunos
aspectos del 5"4.
La )an$alla g%i'
" muchos usuarios les molesta ue la pantalla se oscurezca cuando aparece el di+logo del 5"4. 1ncluso, algunas tarjetas gr+ficas no lo
soportan y se obtienen resultados e*tra0os cuando 5"4 se interpone en su camino. &sto no es un capricho de =icrosoft, de hecho, es
bastante ,til.
7+sicamente, el di+logo del 5"4 se ejecuta en otro conte*to al ue el fondo de escritorio normal, ?no puede llegar?. 6i no fuera
as, un mal%are alojado en el sistema, podra acceder a esa pantalla de di+logo y aprobar por l mismo las acciones sin ue el usuario
pudiese evitarlo. 4laro est+ ue para ue esto ocurriera, el sistema debera, ya de por s, estar infectado, pero no est+ de m+s prevenir.
&s una medida interesante y ,til. "un as, es posible deshabilitarla.
A)%o(ando $odo el %a$o
4omo comentamos, si un usuario uiere usar Kista como Q# bajo su cuenta y riesgo, es f+cil deshabilitar el 5"4 para la cuenta de
administrador. " muchos choca ue, aun siendo administrador, se le pregunte si uiere realizar ciertas acciones. 6implemente hay ue
desactivar el ?=odo de aprobaci)n de administrador? para la cuenta de "dministrador.
&sto se configura con el ?comportamiento del indicador de elevaci)n para los usuarios est+ndar?. 6i se configura para pedir
credenciales, cada vez ue un usuario est+ndar necesite realizar una acci)n con privilegios deber+ introducir la contrase0a de un
administrador. &specialmente ,til para no tener ue realizar los viejos trucos de Q# con el fin de elevar privilegios. &sto, unido a la
capacidad de detectar u programas reuieren privilegios y cu+les no, es lo ue acerca a Kista y M al mundo de gesti)n multiusuario
de =ac O6 o H258/inu*.
:odos estos cambios pueden realizarse en el registro o desde la consola de modificaci)n de polticas, y ayudan a aprovechar
realmente 5"4.
$indo%s M, tras la desastrosa e*periencia, ha limitado el n,mero de acciones ue necesitan de elevaci)n de privilegios, y adem+s,
eliminado el modo de aprobaci)n para el primer usuario, en un intento de contentar a todo sus clientes.
6i bien 5"4 no es ninguna panacea 'como no lo es ninguna soluci)n de seguridad por s misma( usado junto a un usuario est+ndar,
resulta muy ,til. =icrosoft no se atreve todava a dar el salto y a obligar al uso de cuentas limitadas, sin embargo, parece ue tarde o
temprano tendr+ ue hacerlo. X solo entonces los usuarios deber+n aprender a moverse en el entorno limitado en el ue siempre
debieron hacerlo.
La ley del 05ni0o )%i6ilegio
5"4 se puede entender como una forma de llevar la ley del mnimo privilegio al e*tremo. "unue tcnicamente es un gran avance,
esta radicalizaci)n del concepto ha podido ser mal entendida por los usuarios. &s una de las piedras angulares de la seguridad: realiza
las tareas ue necesites con los mnimos privilegios, as cualuier falla, accidente o vulnerabilidad tendr+n tambin un impacto
mnimo. 5"4 consiste en respetar esta ley al m+*imo. 4uando un administrador inicia sesi)n, para el sistema ser+ en realidad un
usuario est+ndar 'mnimo privilegio( hasta ue necesite su ?poder?. 4uando esto ocurra, se interpone el 5"4.
5n error com,n es entender el 5"4 como recordatorio innecesario de una acci)n ue el administrador 'ya sabe ue( desea realizar
'las ilustradas con un escudo(. 2o es un recordatorio banal. 6e trata de un aviso de ue se est+n usando unos privilegios elevados y ue
cualuier acci)n derivada de ese uso podr+ tener un impacto considerable en el sistema. /o ue en realidad se le recuerda al
administrador es ue sus acciones pueden tener consecuencias graves.
2ing,n otro sistema operativo funciona de esta forma. &n sistemas basados en el -ernel de /inu*, cuando alguien se presenta en el
sistema como ?root?, es ?root? con todas las consecuencias desde el momento en el ue se presenta como tal. 4on 5"4 en $indo%s,
se evita ue se usen los privilegios elevados si no son absolutamente necesarios y cuando lo son, lo advierte. Respeta al m+*imo la ley
de mnimo privilegio.
5"4 es la tecnologa ue consigue ue los privilegios elevados estn en segundo plano listos para ser usados cuando se necesiten.
#ermite ue un usuario administrador trabaje como usuario raso sin tener ue cambiar de cuenta, al alcance de un clic. #ero esto, a
veces y seg,n el usuario, no es buena idea. :cnicamente, 5"4 funciona. 6eg,n la percepci)n de usuario no concienciado con la
seguridad, probablemente no. /o ue ha perjudicado al 5"4 es la mala interpretaci)n de este concepto.
7E' lo 0i'0o 'e% &'&a%io e'$8nda% 4&e )e%$enece% al g%&)o de ad0ini'$%ado%e'9
6, pr+cticamente. #ero =icrosoft encontr) as en el 5"4 una forma de evitar un cambio radical de la filosofa ue hist)ricamente
vena arrastrando 'incentivar el uso de todos los privilegios( y a la vez intentar proteger al usuario. 4on 5"4, el usuario pertenece al
grupo de administradores 'como siempre( pero internamente se usan los permisos de usuario raso 'como debera ser(.
UAC o no UAC
6iempre es recomendable el uso de los mnimos privilegios. Xa sea con un uso ?responsable? de 5"4 o con la utilizaci)n de un
usuario ue pertenezca al grupo de usuarios est+ndar. /a elecci)n uiz+s dependa de c)mo se est acostumbrado a interactuar con el
sistema. 5suarios ue hist)ricamente han utilizado Q# y 9>>> en modo administrador, encontrar+n toda recomendaci)n sobre
seguridad como una traba y uiz+s acepten mejor 5"4 como mtodo para estar protegidos... o no, y terminen desactiv+ndolo.
=icrosoft nunca pens) ue alguien uerra desactivar el 5"4, y no incluy) herramienta gr+fica para llevarlo a cabo en Kista 'en
<9I<
$indo%s M, sin embargo, ha facilitado la tarea de desactivarlo(. /os usuarios ue han usado siempre cuentas limitadas, se sentir+n m+s
c)modos si sus usuarios pertenecen al grupo de usuarios est+ndar, y 5"4 no les aportar+ mucho. /o ue est+ claro, es ue los
problemas de seguridad han llegado a un punto en el ue la protecci)n cl+sica no es suficiente. 6e impone el uso del mnimo
privilegio. $indo%s, ue llevaba a0os de retraso en este aspecto, ha encontrado en 5"4 una buena soluci)n.
<99<
Ley e')ecial con$%a lo' deli$o' in,o%08$ico'
Gace$a O,icial de la Re):(lica +oli6a%iana de Venez&ela
Ca%aca'; 0a%$e' < de oc$&(%e de 2! 1 =:0e%o <>.<!<
A'a0(lea =acional
/a "samblea 2acional de la Rep,blica 7olivariana de Kenezuela decreta la siguiente /ey especial contra los delitos informFticos:
T5$&lo I
Di')o'icione' gene%ale'
A%$5c&lo !. Objeto de la ley. /a presente ley tiene por objeto la protecci)n integral de los sistemas ue utilicen tecnologas de
informaci)n, as como la prevenci)n y sanci)n de los delitos cometidos contra tales sistemas o cualuiera de sus componentes, o de los
delitos cometidos mediante el uso de dichas tecnologas, en los trminos previstos en esta ley.
A%$5c&lo 2. !efiniciones. " efectos de la presente ley, y cumpliendo con lo previsto en el artculo N de la 4onstituci)n de la Rep,blica
7olivariana de Kenezuela, se entiende por:
a. :ecnologa de 1nformaci)n: rama de la tecnologa ue se dedica al estudio, aplicaci)n y procesamiento de datos, lo cual involucra la
obtenci)n, creaci)n, almacenamiento, administraci)n, modificaci)n, manejo, movimiento, control, visualizaci)n, transmisi)n o
recepci)n de informaci)n en forma autom+tica, as como el desarrollo y uso del hard%are, firm%are, soft%are, cualesuiera de sus
componentes y todos los procedimientos asociados con el procesamiento de datos.
b. 6istema: cualuier arreglo organizado de recursos y procedimientos dise0ados para el uso de tecnologas de informaci)n, unidos y
regulados por interacci)n o interdependencia para cumplir una serie de funciones especficas, as como la combinaci)n de dos o m+s
componentes interrelacionados, organizados en un pauete funcional, de manera ue estn en capacidad de realizar una funci)n
operacional o satisfacer un reuerimiento dentro de unas especificaciones previstas.
c. !ata 'datos(: hechos, conceptos, instrucciones o caracteres representados de una manera apropiada para ue sean comunicados,
transmitidos o procesados por seres humanos o por medios autom+ticos y a los cuales se les asigna o se les puede asignar un
significado.
d. 1nformaci)n: significado ue el ser humano le asigna a la data utilizando las convenciones conocidas y generalmente aceptadas.
e. !ocumento: registro incorporado en un sistema en forma de escrito, video, audio o cualuier otro medio, ue contiene data o
informaci)n acerca de un hecho o acto capaces de causar efectos jurdicos.
f. 4omputador: dispositivo o unidad funcional ue acepta data, la procesa de acuerdo con un programa guardado y genera resultados,
incluidas operaciones aritmticas o l)gicas.
g. 3ard%are: euipos o dispositivos fsicos considerados en forma independiente de su capacidad o funci)n, ue conforman un
computador o sus componentes perifricos, de manera ue pueden incluir herramientas, implementos, instrumentos, cone*iones,
ensamblajes, componentes y partes.
h. Firm%are: programa o segmento de programa incorporado de manera permanente en alg,n componente del hard%are.
i. 6oft%are: informaci)n organizada en forma de programas de computaci)n, procedimientos y documentaci)n asociados, concebidos
para realizar la operaci)n de un sistema, de manera ue pueda proveer de instrucciones a los computadores as como de data e*presada
en cualuier forma, con el objeto de ue los computadores realicen funciones especficas.
j. #rograma: plan, rutina o secuencia de instrucciones utilizados para realizar un trabajo en particular o resolver un problema dado a
travs de un computador.
-. #rocesamiento de datos o de informaci)n: realizaci)n sistem+tica de operaciones sobre data o sobre informaci)n, tales como
manejo, fusi)n, organizaci)n o c)mputo.
<9;<
l. 6eguridad: condici)n ue resulta del establecimiento y mantenimiento de medidas de protecci)n, ue garanticen un estado de
inviolabilidad de influencias o de actos hostiles especficos, ue puedan propiciar el acceso a la data de personas no autorizadas, o ue
afecten la operatividad de las funciones de un sistema de computaci)n.
m. Kirus: programa o segmento de programa indeseado ue se desarrolla incontroladamente y ue genera efectos destructivos o
perturbadores en un programa o componente del sistema.
n. :arjeta inteligente: r)tulo, cdula o carnet ue se utiliza como instrumento de identificaci)n, de acceso a un sistema, de pago o de
crdito, y ue contiene data, informaci)n o ambas, de uso restringido sobre el usuario autorizado para portarla.
0. 4ontrase0a 'pass%ord(: secuencia alfabtica, numrica o combinaci)n de ambas, protegida por reglas de confidencialidad, utilizada
para verificar la autenticidad de la autorizaci)n e*pedida a un usuario para acceder a la data o a la informaci)n contenidas en un
sistema.
o. =ensaje de datos: cualuier pensamiento, idea, imagen, audio, data o informaci)n, e*presados en un lenguaje conocido ue puede
ser e*plcito o secreto 'encriptado(, preparados dentro de un formato adecuado para ser transmitido por un sistema de comunicaciones.
A%$5c&lo <. &*traterritorialidad. 4uando alguno de los delitos previstos en la presente ley se cometa fuera del territorio de la
Rep,blica, el sujeto activo uedar+ sometido a sus disposiciones si dentro del territorio de la Rep,blica se hubieren producido efectos
del hecho punible, y el responsable no ha sido juzgado por el mismo hecho o ha evadido el juzgamiento o la condena por tribunales
e*tranjeros.
A%$5c&lo ?. 6anciones. /as sanciones por los delitos previstos en esta ley ser+n principales y accesorias.
/as sanciones principales concurrir+n con las penas accesorias y ambas podr+n tambin concurrir entre s, de acuerdo con las
circunstancias particulares del delito del cual se trate, en los trminos indicados en la presente ley.
A%$5c&lo @. Responsabilidad de las personas jurdicas. 4uando los delitos previstos en esta ley fuesen cometidos por los gerentes,
administradores, directores o dependientes de una persona jurdica, actuando en su nombre o representaci)n, stos responder+n de
acuerdo con su participaci)n culpable.
/a persona jurdica ser+ sancionada en los trminos previstos en esta ley, en los casos en ue el hecho punible haya sido cometido por
decisi)n de sus )rganos, en el +mbito de su actividad, con sus recursos sociales o en su inters e*clusivo o preferente.
T5$&lo II
De lo' deli$o'
Ca)5$&lo I
De lo' deli$o' con$%a lo' 'i'$e0a' 4&e &$ilizan $ecnolog5a' de in,o%0aci"n
A%$5c&lo A. "cceso indebido. :oda persona ue sin la debida autorizaci)n o e*cediendo la ue hubiere obtenido, acceda, intercepte,
interfiera o use un sistema ue utilice tecnologas de informaci)n, ser+ penado con prisi)n de uno a cinco a0os y multa de diez a
cincuenta unidades tributarias.
A%$5c&lo >. 6abotaje o da0o a sistemas. :odo auel ue con intenci)n destruya, da0e, modifiue o realice cualuier acto ue altere el
funcionamiento o inutilice un sistema ue utilice tecnologas de informaci)n o cualesuiera de los componentes ue lo conforman,
ser+ penado con prisi)n de cuatro a ocho a0os y multa de cuatrocientas a ochocientas unidades tributarias.
1ncurrir+ en la misma pena uien destruya, da0e, modifiue o inutilice la data o la informaci)n contenida en cualuier sistema ue
utilice tecnologas de informaci)n o en cualesuiera de sus componentes.
/a pena ser+ de cinco a diez a0os de prisi)n y multa de uinientas a mil unidades tributarias, si los efectos indicados en el presente
artculo se realizaren mediante la creaci)n, introducci)n o transmisi)n intencional, por cualuier medio, de un virus o programa
an+logo.
A%$5c&lo B. Favorecimiento culposo del sabotaje o da0o. 6i el delito previsto en el artculo anterior se cometiere por imprudencia,
negligencia, impericia o inobservancia de las normas establecidas, se aplicar+ la pena correspondiente seg,n el caso, con una
reducci)n entre la mitad y dos tercios.
<9J<
A%$5c&lo C. "cceso indebido o sabotaje a sistemas protegidos. /as penas previstas en los artculos anteriores se aumentar+n entre una
tercera parte y la mitad, cuando los hechos all previstos o sus efectos recaigan sobre cualesuiera de los componentes de un sistema
ue utilice tecnologas de informaci)n protegido por medidas de seguridad, ue est destinado a funciones p,blicas o ue contenga
informaci)n personal o patrimonial de personas naturales o jurdicas.
A%$5c&lo !. #osesi)n de euipos o prestaci)n de servicios de sabotaje. Duien importe, fabriue, distribuya, venda o utilice euipos,
dispositivos o programas, con el prop)sito de destinarlos a vulnerar o eliminar la seguridad de cualuier sistema ue utilice tecnologas
de informaci)n. o el ue ofrezca o preste servicios destinados a cumplir los mismos fines, ser+ penado con prisi)n de tres a seis a0os y
multa de trescientas a seiscientas unidades tributarias.
A%$5c&lo !!. &spionaje inform+tico. :oda persona ue indebidamente obtenga, revele o difunda la data o informaci)n contenidas en un
sistema ue utilice tecnologas de informaci)n o en cualesuiera de sus componentes, ser+ penada con prisi)n de tres a seis a0os y
multa de trescientas a seiscientas unidades tributarias.
/a pena se aumentar+ de un tercio a la mitad, si el delito previsto en el presente artculo se cometiere con el fin de obtener alg,n
tipo de beneficio para s o para otro.
&l aumento ser+ de la mitad a dos tercios, si se pusiere en peligro la seguridad del &stado, la confiabilidad de la operaci)n de las
instituciones afectadas o resultare alg,n da0o para las personas naturales o jurdicas, como consecuencia de la revelaci)n de las
informaciones de car+cter reservado.

A%$5c&lo !2. Falsificaci)n de documentos. Duien, a travs de cualuier medio, cree, modifiue o elimine un documento ue se
encuentre incorporado a un sistema ue utilice tecnologas de informaci)n. o cree, modifiue o elimine datos del mismo. o incorpore a
dicho sistema un documento ine*istente, ser+ penado con prisi)n de tres a seis a0os y multa de trescientas a seiscientas unidades
tributarias.
4uando el agente hubiere actuado con el fin de procurar para s o para otro alg,n tipo de beneficio, la pena se aumentar+ entre un
tercio y la mitad.
&l aumento ser+ de la mitad a dos tercios si del hecho resultare un perjuicio para otro.
Ca)5$&lo II
De lo' deli$o' con$%a la )%o)iedad
A%$5c&lo !<. 3urto. Duien a travs del uso de tecnologas de informaci)n, acceda, intercepte, interfiera, manipule o use de cualuier
forma un sistema o medio de comunicaci)n para apoderarse de bienes o valores tangibles o intangibles de car+cter patrimonial
sustrayndolos a su tenedor, con el fin de procurarse un provecho econ)mico para s o para otro, ser+ sancionado con prisi)n de dos a
seis a0os y multa de doscientas a seiscientas unidades tributarias.
A%$5c&lo !?. Fraude. :odo auel ue, a travs del uso indebido de tecnologas de informaci)n, valindose de cualuier manipulaci)n
en sistemas o cualuiera de sus componentes, o en la data o informaci)n en ellos contenida, consiga insertar instrucciones falsas o
fraudulentas, ue produzcan un resultado ue permita obtener un provecho injusto en perjuicio ajeno, ser+ penado con prisi)n de tres a
siete a0os y multa de trescientas a setecientas unidades tributarias.
A%$5c&lo !@. Obtenci)n indebida de bienes o servicios. Duien, sin autorizaci)n para portarlos, utilice una tarjeta inteligente ajena o
instrumento destinado a los mismos fines, o el ue utilice indebidamente tecnologas de informaci)n para reuerir la obtenci)n de
cualuier efecto, bien o servicio. o para proveer su pago sin erogar o asumir el compromiso de pago de la contraprestaci)n debida, ser+
castigado con prisi)n de dos a seis a0os y multa de doscientas a seiscientas unidades tributarias.
A%$5c&lo !A. =anejo fraudulento de tarjetas inteligentes o instrumentos an+logos. :oda persona ue por cualuier medio cree, capture,
grabe, copie, altere, dupliue o elimine la data o informaci)n contenidas en una tarjeta inteligente o en cualuier instrumento destinado
a los mismos fines. o la persona ue, mediante cualuier uso indebido de tecnologas de informaci)n, cree, capture, dupliue o altere
la data o informaci)n en un sistema, con el objeto de incorporar usuarios, cuentas, registros o consumos ine*istentes o modifiue la
cuanta de stos, ser+ penada con prisi)n de cinco a diez a0os y multa de uinientas a mil unidades tributarias.
&n la misma pena incurrir+ uien, sin haber tomado parte en los hechos anteriores, aduiera, comercialice, posea, distribuya, venda
o realice cualuier tipo de intermediaci)n de tarjetas inteligentes o instrumentos destinados al mismo fin, o de la data o informaci)n
contenidas en ellos o en un sistema.
A%$5c&lo !>. "propiaci)n de tarjetas inteligentes o instrumentos an+logos. Duien se apropie de una tarjeta inteligente o instrumento
destinado a los mismos fines, ue se haya perdido, e*traviado o ue haya sido entregado por euivocaci)n, con el fin de retenerlo,
<9F<
usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, ser+ penado con prisi)n de uno a cinco
a0os y multa de diez a cincuenta unidades tributarias.
/a misma pena se impondr+ a uien aduiera o reciba la tarjeta o instrumento a ue se refiere el presente artculo.
A%$5c&lo !B. #rovisi)n indebida de bienes o servicios. :odo auel ue, a sabiendas de ue una tarjeta inteligente o instrumento
destinado a los mismos fines, se encuentra vencido, revocado. se haya indebidamente obtenido, retenido, falsificado, alterado. provea a
uien los presente de dinero, efectos, bienes o servicios, o cualuier otra cosa de valor econ)mico, ser+ penado con prisi)n de dos a
seis a0os y multa de doscientas a seiscientas unidades tributarias.
A%$5c&lo !C. #osesi)n de euipo para falsificaciones. :odo auel ue sin estar debidamente autorizado para emitir, fabricar o distribuir
tarjetas inteligentes o instrumentos an+logos, reciba, aduiera, posea, transfiera, comercialice, distribuya, venda, controle o custodie
cualuier euipo de fabricaci)n de tarjetas inteligentes o de instrumentos destinados a los mismos fines, o cualuier euipo o
componente ue capture, grabe, copie o transmita la data o informaci)n de dichas tarjetas o instrumentos, ser+ penado con prisi)n de
tres a seis a0os y multa de trescientas a seiscientas unidades tributarias.
Ca)5$&lo III
De lo' deli$o' con$%a la )%i6acidad de la' )e%'ona' y de la' co0&nicacione'
A%$5c&lo 2. Kiolaci)n de la privacidad de la data o informaci)n de car+cter personal. :oda persona ue intencionalmente se apodere,
utilice, modifiue o elimine por cualuier medio, sin el consentimiento de su due0o, la data o informaci)n personales de otro o sobre
las cuales tenga inters legtimo, ue estn incorporadas en un computador o sistema ue utilice tecnologas de informaci)n, ser+
penada con prisi)n de dos a seis a0os y multa de doscientas a seiscientas unidades tributarias.
/a pena se incrementar+ de un tercio a la mitad si como consecuencia de los hechos anteriores resultare un perjuicio para el titular
de la data o informaci)n o para un tercero.
A%$5c&lo 2!. Kiolaci)n de la privacidad de las comunicaciones. :oda persona ue mediante el uso de tecnologas de informaci)n
acceda, capture, intercepte, interfiera, reproduzca, modifiue, desve o elimine cualuier mensaje de datos o se0al de transmisi)n o
comunicaci)n ajena, ser+ sancionada con prisi)n de dos a seis a0os y multa de doscientas a seiscientas unidades tributarias.
A%$5c&lo 22. Revelaci)n indebida de data o informaci)n de car+cter personal. Duien revele, difunda o ceda, en todo o en parte, los
hechos descubiertos, las im+genes, el audio o, en general, la data o informaci)n obtenidos por alguno de los medios indicados en los
artculos 9> y 9I, ser+ sancionado con prisi)n de dos a seis a0os y multa de doscientas a seiscientas unidades tributarias.
6i la revelaci)n, difusi)n o cesi)n se hubieren realizado con un fin de lucro, o si resultare alg,n perjuicio para otro, la pena se
aumentar+ de un tercio a la mitad.
Ca)5$&lo IV
De lo' deli$o' con$%a niDo'; niDa' o adole'cen$e'
A%$5c&lo 2<. !ifusi)n o e*hibici)n de material pornogr+fico. :odo auel ue, por cualuier medio ue involucre el uso de tecnologas
de informaci)n, e*hiba, difunda, transmita o venda material pornogr+fico o reservado a personas adultas, sin realizar previamente las
debidas advertencias para ue el usuario restrinja el acceso a ni0os, ni0as y adolescentes, ser+ sancionado con prisi)n de dos a seis
a0os y multa de doscientas a seiscientas unidades tributarias.
A%$5c&lo 2?. &*hibici)n pornogr+fica de ni0os o adolescentes. :oda persona ue por cualuier medio ue involucre el uso de
tecnologas de informaci)n, utilice a la persona o imagen de un ni0o, ni0a o adolescente con fines e*hibicionistas o pornogr+ficos, ser+
penada con prisi)n de cuatro a ocho a0os y multa de cuatrocientas a ochocientas unidades tributarias.
Ca)5$&lo V
De lo' deli$o' con$%a el o%den econ"0ico
A%$5c&lo 2@. "propiaci)n de propiedad intelectual. Duien sin autorizaci)n de su propietario y con el fin de obtener alg,n provecho
econ)mico, reproduzca, modifiue, copie, distribuya o divulgue un soft%are u otra obra del intelecto ue haya obtenido mediante el
acceso a cualuier sistema ue utilice tecnologas de informaci)n, ser+ sancionado con prisi)n de uno a cinco a0os y multa de cien a
uinientas unidades tributarias.
<9L<
A%$5c&lo 2A. Oferta enga0osa. :oda persona ue ofrezca, comercialice o provea de bienes o servicios, mediante el uso de tecnologas
de informaci)n, y haga alegaciones falsas o atribuya caractersticas inciertas a cualuier elemento de dicha oferta, de modo ue pueda
resultar alg,n perjuicio para los consumidores, ser+ sancionada con prisi)n de uno a cinco a0os y multa de cien a uinientas unidades
tributarias, sin perjuicio de la comisi)n de un delito m+s grave.
T5$&lo III
Di')o'icione' co0&ne'
A%$5c&lo 2>. "gravantes. /a pena correspondiente a los delitos previstos en la presente ley se incrementar+ entre un tercio y la mitad:
I. 6i para la realizaci)n del hecho se hubiere hecho uso de alguna contrase0a ajena indebidamente obtenida, uitada, retenida o ue se
hubiere perdido.
9. 6i el hecho hubiere sido cometido mediante el abuso de la posici)n de acceso a data o informaci)n reservada, o al conocimiento
privilegiado de contrase0as, en raz)n del ejercicio de un cargo o funci)n.
A%$5c&lo 2B. "gravante especial. /a sanci)n aplicable a las personas jurdicas por los delitos cometidos en las condiciones se0aladas
en el artculo F de esta ley, ser+ ,nicamente de multa, pero por el doble del monto establecido para el referido delito.
A%$5c&lo 2C. #enas accesorias. "dem+s de las penas principales previstas en los captulos anteriores, se impondr+n, necesariamente
sin perjuicio de las establecidas en el 4)digo #enal, las penas accesorias siguientes:
I. &l comiso de euipos, dispositivos, instrumentos, materiales, ,tiles, herramientas y cualuier otro objeto ue hayan sido utilizados
para la comisi)n de los delitos previstos en los artculos I> y IN de la presente ley.
9. &l trabajo comunitario por el trmino de hasta tres a0os en los casos de los delitos previstos en los artculos L y E de esta ley.
;. /a inhabilitaci)n para el ejercicio de funciones o empleos p,blicos. para el ejercicio de la profesi)n, arte o industria. o para laborar
en instituciones o empresas del ramo por un perodo de hasta tres ';( a0os despus de cumplida o conmutada la sanci)n principal,
cuando el delito se haya cometido con abuso de la posici)n de acceso a data o informaci)n reservadas, o al conocimiento privilegiado
de contrase0as, en raz)n del ejercicio de un cargo o funci)n p,blicos, del ejercicio privado de una profesi)n u oficio, o del desempe0o
en una instituci)n o empresa privadas, respectivamente.
J. /a suspensi)n del permiso, registro o autorizaci)n para operar o para el ejercicio de cargos directivos y de representaci)n de
personas jurdicas vinculadas con el uso de tecnologas de informaci)n, hasta por el perodo de tres ';( a0os despus de cumplida o
conmutada la sanci)n principal, si para cometer el delito el agente se hubiere valido o hubiere hecho figurar a una persona jurdica.
A%$5c&lo <. !ivulgaci)n de la sentencia condenatoria. &l tribunal podr+ adem+s, disponer la publicaci)n o difusi)n de la sentencia
condenatoria por el medio ue considere m+s id)neo.
A%$5c&lo <!. 1ndemnizaci)n civil. &n los casos de condena por cualuiera de los delitos previstos en los captulos 11 y K de esta ley, el
juez impondr+ en la sentencia una indemnizaci)n en favor de la vctima por un monto euivalente al da0o causado.
#ara la determinaci)n del monto de la indemnizaci)n acordada, el juez reuerir+ del au*ilio de e*pertos.
T5$&lo IV
Di')o'icione' 3inale'
A%$5c&lo <2. Kigencia. /a presente ley entrar+ en vigencia, treinta das despus de su publicaci)n en la Haceta Oficial de la Rep,blica
7olivariana de Kenezuela.
A%$5c&lo <<. !erogatoria. 6e deroga cualuier disposici)n ue colida con la presente ley.
!ada, firmada y sellada en el #alacio Federal /egislativo, en 4aracas, a los cuatro das del mes de septiembre de dos mil uno. "0o
INIY de la 1ndependencia y IJ9Y de la Federaci)n.
Eillia0 La%a 1 P%e'iden$e
<9M<
#alacio de =iraflores, en 4aracas a los treinta das del mes de octubre de dos mil uno. "0o INIY de la 1ndependencia y IJ9Y de la
Federaci)n.
F&go CG86ez 3%5a' 1 P%e'iden$e de la R*)&(lica