Los profesionales y entusiastas de la seguridad están al tanto de los rootkits, pero la audiencia general no sabe de este tipo de malware, diseñado específicamente para esconder su presencia y acciones dentro del sistema infectado. Pero esta amenaza merece ser conocida por el público, porque hay grandes chances de encontrarse personalmente con ella en el futuro. Los cibercriminales desarrollan constantemente nuevos métodos para ser cada vez más sigilosos y venderlos activamente entre ellos para continuar mejorándolos.
La habilidad de esconderse le permite a los malware vivir en el sistema de la víctima durante meses o hasta inclusive años, permitiendo a los hackers utilizar esa computadora para cualquier propósito. Incluso si la computadora no contiene ningún tipo de información valiosa (que no es muy factible), todavía podría ser usada para producir moneda virtual (bitcoins), envío de spam y para participar en ataques DDoS. La funcionalidad de los rootkit permite esconder la actividad maliciosa, no sólo de las herramientas con monitoreo de sistema incorporado, sino también de los sensores de antivirus y firewall. Es por eso que te sugerimos chequear tu antivirus/internet security para chequear si el mismo posee una función de anti-rootkit, y si la misma es realmente eficiente.
¿Qué es lo que hace que un rootkit sea invisible? No es tan complicado de explicar: el malware trata de integrar su código en un lugar muy profundo de la estructura del sistema operativo, e intercepta todas las peticiones standard para lectura de archivos, obtener la lista de procesos en ejecución, etc. El rootkit procesa dichas peticiones y remueve cualquier mención de archivos, procesos y otros rastros relacionados a su actividad. También se utilizan otras técnicas. Por ejemplo, un rootkit puede inyectar un código en un proceso legítimo, y usar luego la memoria de ese proceso para realizar el trabajo sucio. Eso le permite al rootkit mantenerse en la invisibilidad ante soluciones de antivirus no muy avanzadas, que no ahondan en las profundidades del sistema operativo en busca de este tipo de malwares. Si un antivirus tratara de detectar el rootkit, el malware podría tratar de desactivar la protección y eliminar componentes críticos del antivirus. Los rootkits más astutos incluso crean archivos especiales para ser detectados por el antivirus. Así, cuando el antivirus accede al archivo, el rootkit trata de desactivar el antivirus para prevenir su ejecución en el futuro.
¿Cómo detener este desastre? Primero que nada, para detectar cualquier actividad sospechosa, el antivirus debe monitorear los archivos críticos del sistema en un nivel bajo, atrapando al malware que trate de modificar las estructuras del disco duro. Es posible encontrar nuevos rootkits, aún desconocidos por el antivirus, sólo comparando la actividad de la computadora como se ve al nivel del sistema operativo con resultados de monitoreo a niveles bajos. Como segundo punto, es crucial que el antivirus tenga una protección propia suficiente, para que el malware no pueda desactivar tu producto. Y por último, pero no menos importante, un antivirus debe remover el 100% de los componentes del rootkit, inclusive aquellos que hayan sido inyectados en archivos críticos del sistema operativo. Es imposible resolver este problema simplemente eliminando manualmente archivos.
Así que asegúrate de que tu protección cumpla con todos estos requerimientos antes de decir: “Sé qué es un rootkit y estoy seguro de que mi solución de antivirus me protege efectivamente de esta amenaza”.