Falar de privacidade de dados em plena era digital é quase impossível. Os utentes estão a dar gratuitamente (e de forma constante) muita informação pessoal a infinidad de empresas. Bom exemplo disso são as cookies, que costumam se aceitar sem nem sequer ler as condições. É tal a normalidade com a que internet guarda os dados que a cada vez são mais as brechas digitais pelas que se cuelan os ciberdelincuentes.
São muitos os ciberataques que se põem em marcha para roubar dados. Os keyloggers são um arma de duplo fio. Usam-se para descobrir todos os movimentos que faz um internauta em seu dispositivo móvel. Uma espionagem que se converte numa opção subtil para roubar senhas da vítima sem que esta se percate.
Que é um 'keylogger'?
Poderia parecer algo muito complexo por seu nome mas, em realidade, só é desconhecido. Um keylogger não é outra coisa que uma ferramenta que serve para identificar e alojar todos os movimentos que realiza uma pessoa num programa particular ou num sistema operativo. Assim o explica a Consumidor Global Pablo F. Iglesias, CEO da Consultora de Reputação On-line CyberBrainers.
Basicamente são sistemas que permitem recopilar a informação que se introduz num site ou app desde um teclado, um rato ou qualquer dispositivo electrónico. Em definitiva, os cliques, tal e como explica o experiente em ciberseguridad de Ingram Micro Javier Aguilar. Mas não sempre há um fim maquiavélico depois destes sistemas. É o caso, por exemplo, das funções de correcção de texto ou os controles parentales que são, em esencia, keyloggers.
Uma espionagem que sai barato
Mas este software também se usa para roubar credenciais de acesso ou espiar a uma vítima. Dá igual a intenção que tenha em uso, seu funcionamento sempre é o mesmo. Os keyloggers podem ser tanto um aparelho físico como um software, segundo Aguilar. Em nenhum caso são caros. "Se fazes uma pequena busca em Google, por 50 ou 60 euros tens um que possas instalar num portátil ou numa equipa", enfatiza o experiente.
Quando um keylogger se utiliza para roubar credenciais se produz um "ataque dirigido". O delinquente não lança uma isca de forma em massa para ver quem pica. Trata-se de ir fazendo um rastreamento à vítima para ir decifrando suas chaves. "Tem que processar esses dados e depois lhe dar algum tipo de valor", detalha Aguilar.
Uma infecção "legítima"
Iglesias sustenta que a "infecção" pode ser totalmente legítima. "Em Espanha, por exemplo, as empresas têm direito a instalar sistemas de supervisão e controle nos dispositivos do trabalhador usados para o trabalho", argumenta.
O experiente recalca que a uma pessoa com conhecimentos médios não levar-lhe-ia mais de cinco minutos instalar um spyware com keylogger e com controle parental incluído. Agora bem, no lado escuro destas ferramentas, se aproveitam deste tipo de vulnerabilidades. "Reduzem sensivelmente o tempo de instalação podendo enganar à vítima para que pense que está a instalar outro programa", aclara.
Como nos proteger dos 'keyloggers'
Tanto Aguilar como Iglesias coincidem num sistema que serve para limitar em boa medida os keyloggers: os teclados virtuais. Segundo explica o segundo dos experientes, muitas entidades financeiras já forçam a que seu cliente introduza um código numérico que chega ao móvel. Um código que não se pode introduzir escrevendo desde o teclado. "Tens que fazer mediante o teclado virtual que se mostra em ecrã", acrescenta.
O keylogger pode reconhecer os cliques mas não poderá emularlos porque a cada número varia de forma aleatória. Outra medida que destaca Aguilar é guardar as senhas na nuvem. Buscadores como os de Google, Firefox ou Safari (Apple) oferecem a possibilidade de alojar essas senhas. Assim, quando se volte a iniciar sessão não terá que escrever nada e, por tanto, o keylogger não poderá detectar os movimentos do teclado. Em qualquer caso, detectar estes sistemas não é nada fácil. "São ferramentas que consomem pouco e não têm um grande impacto em dispositivos modernos", aponta Iglesias.
O papel da IA nos 'keyloggers'
O verdadeiro é que unir inteligência artificial e keylogger pode chegar a ser uma combinação bastante daninha para o utente, segundo relata Aguilar. "Pode chegar a saber até teu pin do banco porque pode predizer a posição do teclado e a combinação de teclas", acrescenta o experiente em ciberseguridad.
Iglesias explica que a IA joga um papel fundamental tanto para cair na armadilha como para a evitar. Isto é, actua tanto "para optimizar as campanhas de phishing e que as vítimas sejam as que instalam estes keyloggers, como à hora de nos proteger deles". De facto, este experiente assinala que os sistemas operativos actuais que integram a cada vez mais a IA se nutrindo de keyloggers , merman a capacidade de privacidade dos utentes. "Estamos a ceder por defeito o acesso a uma máquina (e quiçá também a funcionários humanos) a conteúdos sensíveis como uma senha que nos identifica num serviço on-line", conclui. Em plena expansão da IA resulta quase impossível falar de barreiras e limites a nossa privacidade.