Skip to main

Rootkit: una definición

Un rootkit es un tipo de software malicioso diseñado para darle a un hacker la capacidad de introducirse en un dispositivo y hacerse con el control del mismo. Por lo general, los rootkits afectan el software o el sistema operativo del dispositivo que infectan, pero algunos pueden actuar sobre su hardware o firmware. Los rootkits operan en segundo plano, sin dar muestras de que están activos.

Tras introducirse en un equipo, el rootkit permite al ciberdelincuente robar datos personales o financieros, instalar otras aplicaciones maliciosas o unir el equipo a una botnet para propagar spam o para sumarse a un ataque distribuido de denegación de servicio (DDoS).

El término “rootkit” tiene su origen en los sistemas operativos Unix y Linux, en los que la cuenta de administración con más privilegios lleva el nombre de “root”. El “kit”, por su parte, se refiere a las aplicaciones que facilitan el acceso no autorizado de nivel administrativo (es decir, de nivel “root”) al dispositivo.

¿Qué son los rootkits?

Los rootkits son un tipo de software que los delincuentes utilizan para hacerse con el mando de una computadora o incluso de una red. Aunque aparenten ser una sola aplicación, la mayoría de los rootkits se compone de varias herramientas que, usadas en conjunto, permiten obtener acceso privilegiado a un dispositivo.

Los hackers pueden usar distintos métodos para instalar un rootkit:

  1. El método más usual es el phishing (u otro tipo de ataque de ingeniería social). La víctima descarga e instala un programa malicioso sin percatarse de ello. El programa se ejecuta, se oculta en otro proceso y le da al hacker el mando de casi todos los aspectos del sistema operativo.
  2. Otra vía posible son las vulnerabilidades que suelen estar presentes en el software desactualizado. Si el hacker sabe que la víctima utiliza una aplicación o un sistema operativo con alguna debilidad, puede explotar esa falencia para introducir el rootkit.
  3. Una tercera posibilidad es que el rootkit venga combinado con otro archivo, como un PDF infectado, una copia ilegal de una película o una app publicada en una tienda sospechosa.

Los rootkits operan cerca o dentro del núcleo del sistema operativo. Debido a ello, son capaces de ejecutar comandos en el equipo. Ningún dispositivo o artefacto con sistema operativo está exento de sufrir una infección; en la medida en que la Internet de las cosas se vuelva cotidiana, puede que surjan rootkits para termostatos y refrigeradores.

Algunos rootkits contienen registradores de pulsaciones de teclas, pequeñas aplicaciones que capturan todo lo que la víctima escribe con el teclado. Son una de las herramientas favoritas de los delincuentes: les facilita enormemente la tarea de robar números de tarjetas de crédito, datos bancarios y otras clases de información personal. Los rootkits también pueden usarse para realizar ataques DDoS o enviar correos masivos. Pueden incluso eliminar o deshabilitar cualquier aplicación de seguridad que la víctima haya instalado en su dispositivo.

No todos los rootkits son dañinos: algunos se usan para resolver problemas de TI a distancia o para brindar ayuda a las autoridades y fuerzas de seguridad. La realidad, sin embargo, es que la mayoría tiene fines maliciosos. Su peligro radica en que sirven de vehículo para otras aplicaciones maliciosas, algunas de las cuales pueden ocasionar alteraciones en el sistema operativo o permitirle el acceso remoto a alguien desconocido.

Tipos de rootkits

1. Rootkits para hardware o firmware

Los rootkits para hardware o firmware pueden infectar discos duros, routers o incluso la BIOS de un equipo (la BIOS es un programa especial, instalado en un microchip que forma parte de la placa base). Estos rootkits no alteran el sistema operativo; les interesa, en cambio, el firmware del dispositivo. Los rootkits de este tipo instalan aplicaciones malignas que son muy difíciles de detectar. Al estar en contacto con el hardware, pueden guardar un registro de todo lo que el usuario escribe y de todo lo que hace en Internet. Los rootkits para hardware y firmware no son tan comunes, pero son una verdadera amenaza para la seguridad en línea.

2. Rootkits para el cargador del SO

El cargador es el mecanismo que da inicio al sistema operativo. Los rootkits de esta clase atacan ese mecanismo y reemplazan el cargador original por uno modificado. Gracias a esta estrategia, pueden activarse incluso antes de que el usuario haya comenzado a usar el sistema operativo.

3. Rootkits para memoria

Los rootkits para memoria se ocultan en la RAM del dispositivo y utilizan los recursos del sistema para realizar acciones maliciosas en segundo plano. Estos rootkits afectan el rendimiento de la RAM. Viven en la memoria del equipo y no inyectan ningún tipo de código permanente, por lo que desaparecen en cuanto se reinicia el sistema (si bien una eliminación total puede llevar un poco más de trabajo). Los rootkits de esta clase son efímeros y, por ello, no se los suele considerar una gran amenaza.

4. Rootkits para aplicaciones

Los rootkits para aplicaciones sustituyen archivos del sistema por otros propios. Algunos cambian la manera en que funcionan ciertas aplicaciones comunes. Infectan aplicaciones como Paint, el Bloc de notas o los programas de Microsoft Office. Cada vez que la víctima abre uno de esos programas, les brinda a los atacantes una vía de acceso a su equipo. Detectar esta clase de rootkit no es fácil para la víctima porque los programas que utiliza se siguen ejecutando normalmente; las soluciones antivirus pueden dar con ellos porque, al igual que los rootkits, operan en el nivel de las aplicaciones.

5. Rootkits de modo núcleo o modo kernel

Estos rootkits son especialmente peligrosos porque afectan la parte más central del sistema operativo: su núcleo. Los hackers los usan no solo para acceder a los archivos almacenados en el dispositivo, sino también para incorporar código que modifique el funcionamiento del sistema operativo. 

6. Rootkits virtuales

Los rootkits virtuales se instalan por debajo del sistema operativo. Una vez allí, hacen funcionar el sistema operativo original en una máquina virtual e interceptan sus interacciones con el hardware. Los rootkits virtuales no necesitan modificar el núcleo del sistema operativo para lograr sus cometidos, lo que los hace muy difíciles de detectar.

Ejemplos de rootkits

Stuxnet

Uno de los rootkits más famosos de la historia se llama Stuxnet. Se trata de un gusano informático que se descubrió en el año 2010, pero que se cree ha existido desde 2005. Stuxnet ocasionó graves perjuicios al programa nuclear de Irán. Aunque no lo han admitido, se tiene casi por seguro que Stuxnet es una ciberarma creada por los Estados Unidos e Israel como parte de un trabajo conjunto denominado “los Juegos Olímpicos”.

Hay otros ejemplos que cabe destacar:

Flame

Flame es el nombre de un rootkit descubierto en 2012. Se lo ha utilizado sobre todo para el ciberespionaje en Oriente Medio. También conocido como Flamer, sKyWIper y Skywiper, es un rootkit que puede afectar un sistema operativo de punta a punta: le permite al atacante monitorear el tráfico que pasa por el dispositivo, crear capturas de pantalla, grabar audio e incluso registrar las teclas que presiona el usuario. Los autores de Flame siguen en el anonimato, pero se sabe que utilizaron ochenta servidores, repartidos en tres continentes, para acceder a los equipos que infectaron.

Necurs

Necurs surgió como rootkit en 2012. Ese mismo año, logró infectar al menos 83 000 equipos. Vinculado a ciberdelincuentes de élite de Europa Occidental, Necurs se destaca por su complejidad técnica y por su capacidad para evolucionar.

ZeroAccess

Descubierto en 2011, ZeroAccess es un rootkit de modo núcleo que logró infectar más de dos millones de computadoras alrededor del globo. No altera el funcionamiento de los dispositivos que infecta; lo que hace, en cambio, es descargar e instalar una aplicación maliciosa que suma el equipo de la víctima a una botnet mundial. La botnet se utiliza para llevar a cabo ataques informáticos. ZeroAccess se sigue usando al día de hoy.

TDSS

TDSS se detectó por primera vez en 2008. Este rootkit se carga y se ejecuta en las primeras etapas de inicio del sistema operativo, por lo que tiene similitudes con los que afectan el arrancador del SO y es igualmente difícil de detectar y eliminar.

Búsqueda de rootkits

Cómo detectar un rootkit

No siempre es fácil saber si hay un rootkit en un dispositivo; al fin y al cabo, se trata de una clase de malware diseñada específicamente para pasar desapercibida. Para complicar aún más la situación, los rootkits pueden deshabilitar el software de seguridad instalado por el usuario. Cuando un rootkit llega a un sistema, llega para quedarse un largo tiempo. Y, en ese tiempo, puede provocar serios daños.

¿Cómo puedes saber si hay un rootkit en tu dispositivo? Existen algunos indicios que revelan su presencia:

1. Pantallazos azules

Windows te muestra una gran cantidad de errores o de “pantallazos azules” (pantallas de fondo azul con texto en blanco) y necesitas reiniciar el equipo con mucha frecuencia.

2. Comportamientos inusuales en el navegador web

Los vínculos te redirigen a sitios extraños o encuentras marcadores que no recuerdas haber agregado.

3. Problemas de rendimiento

El dispositivo tarda mucho en iniciarse, funciona más lento que de costumbre o deja de responder a menudo. Puede suceder, asimismo, que el sistema ignore las órdenes que le des con el teclado o con el mouse.

4. Cambios no autorizados en los ajustes de Windows

Notas que, aunque no has cambiado ningún ajuste, el fondo de pantalla no es el que tú definiste, la barra de tareas se oculta automáticamente o la fecha y la hora no son las correctas.

5. Problemas de funcionamiento en las páginas web

Las páginas web o las interfaces de red funcionan esporádicamente o no dan abasto con la cantidad de tráfico.

El mejor modo de encontrar un rootkit es realizar una búsqueda o análisis antirootkits con una solución antivirus. Si sospechas que tu computadora está infectada, apágala y, para verificar la infección, analízala utilizando un sistema que sepas no esté infectado.

El análisis de comportamientos también puede dar con este tipo de malware. En este tipo de análisis, lo que se busca no es el rootkit en sí mismo, sino comportamientos que caracterizan a esta clase de software. Los análisis antirootkits son eficaces cuando ya ha habido cambios notorios en el funcionamiento del sistema; los análisis de comportamientos, en cambio, pueden revelar la presencia de un rootkit antes de que la infección se haya vuelto evidente.

Cómo eliminar un rootkit

Eliminar un rootkit es una tarea compleja. Por lo general, requiere de herramientas especiales, como la utilidad TDSSKiller de Kaspersky, que puede detectar y eliminar el rootkit TDSS. A veces, el único modo de erradicar una infección profunda es desinstalar el sistema operativo y comenzar nuevamente de cero.

Cómo eliminar un rootkit en Windows

Por lo general, el primer paso para eliminar un rootkit desde Windows es realizar un análisis. Las infecciones profundas solo pueden eliminarse reinstalando el sistema operativo. Si tienes que recurrir a esta vía, no utilices el instalador que viene incluido en Windows: utiliza un disco de instalación externo. Si la BIOS está infectada, necesitarás la ayuda de un técnico profesional. Si el profesional no logra eliminar el rootkit, es posible que debas comprar una nueva PC.

Cómo eliminar un rootkit en una Mac

Si tienes una Mac, asegúrate de usar siempre la última versión del sistema operativo. Las actualizaciones para Mac no solo incluyen nuevas funciones: también se encargan de eliminar rootkits y otras clases de malware. Los productos de Apple cuentan con protecciones especiales contra el software malicioso. Sin embargo, al no existir (a nuestro saber) detectores de rootkits para macOS, si sospechas que tu Mac está infectada, lo ideal será que reinstales el sistema operativo. Al hacerlo, eliminarás la mayoría de las aplicaciones, pero también la mayoría de los rootkits. No obstante, tal como ocurre para Windows, deberás buscar la ayuda de un profesional si el rootkit ha infectado la BIOS; si el profesional no puede eliminar el rootkit, es probable que tengas que comprar un nuevo dispositivo.

Cómo evitar los rootkits

Como los rootkits son peligrosos y difíciles de detectar, es fundamental mantener los ojos bien abiertos al descargar programas o navegar por la Web. Muchas de las medidas que pueden protegerte de una infección de virus te brindarán también un grado de protección contra los rootkits.

1. Utiliza una solución de seguridad integral

No esperes a que el daño esté hecho: instala lo antes que puedas una solución antivirus de avanzada en todos tus dispositivos. Kaspersky Total Security ofrece protección integral contra toda clase de amenazas y puede realizar búsquedas o análisis antirootkits.

2. Mantén el software actualizado

Actualiza periódicamente el software del dispositivo; es una conducta muy importante para evitar las infecciones de malware. Si el sistema operativo y las aplicaciones están al día, los rootkits no tendrán vulnerabilidades de las que aprovecharse.

3. Mantente alerta a las estafas de phishing

El phishing es un ataque de ingeniería social en el que se busca, mediante engaños, que un usuario revele sus datos financieros o descargue una aplicación maliciosa (por ejemplo, un rootkit). Si recibes un correo sospechoso o de alguien que no conoces, no lo abras; es un buen modo de impedirle el acceso a este tipo de software. Aplica el mismo criterio a los vínculos: si no tienes la certeza de que un vínculo es seguro, no hagas clic en él.

4. No descargues archivos de fuentes dudosas

Ten cuidado si vas a abrir un archivo adjunto, en especial si proviene de una fuente que no conoces. En este último caso, lo mejor será que ignores el archivo, pues podría contener un rootkit. Si necesitas una aplicación, descárgala de una fuente confiable. Y si el navegador te dice que estás por visitar un sitio inseguro, haz caso a la advertencia. 

5. Presta atención al comportamiento y al rendimiento de tu equipo

Si notas cambios de comportamiento, puede que haya un rootkit operando en segundo plano. Mantén los ojos abiertos; si te percatas de algo extraño, busca una explicación.

De todos los tipos de malware, los rootkits son quizás los más difíciles de hallar y eliminar. Es por esto, justamente, que prevenir es mejor que curar. Para mantenerte siempre a salvo, es fundamental que sigas aprendiendo sobre las distintas clases de amenazas informáticas.

Artículos relacionados:

Qué es un rootkit: definición y explicación

¿Qué son los rootkits? Los rootkits son una clase de software malicioso que los hackers utilizan para hacerse con el mando de un sistema. Aquí te explicamos qué puedes hacer para evitarlos, detectarlos y, si fuera necesario, eliminarlos.
Kaspersky Logo