¿Qué es un Rootkit? Prevención y Eliminación

Un Rootkit es uno de los tipos de malware más avanzados que existen actualmente en el mercado. Durante años, las soluciones de seguridad han tenido dificultades para su detección y eliminación, sobre todo porque los rootkits comprometen el sistema operativo a tal nivel, que pueden ocultar su presencia tanto de las soluciones anti-malware como del propio sistema operativo.

 

¿Qué es un Rootkit y cómo funciona?

El término Rootkit es una concatenación de las palabras "root", el usuario con más privilegios en un sistema operativo basado en Unix, y "kit", el conjunto de herramientas de software que conforman el rootkit. Los rootkits se remontan a principios de los años 90, cuando se centraban en Sun y Linux, pero la aparición de nuevos sistemas operativos llevó al desarrollo de rootkits para Windows en 1999 y para Mac en 2009.

A diferencia del malware clásico, los rootkits introducen un fallo fundamental en el ordenador que infectan. No comprometen archivos o carpetas. En su lugar, alteran todo lo que el sistema operativo le informa de acuerdo con los objetivos de su creador.

un rootkit

Los rootkits se dividen en 2 categorías principales, dependiendo de su ámbito de acción: rootkits en modo usuario y rootkits en modo kernel.

Para entender cómo comprometen un sistema operativo, primero tenemos que entender cómo funciona un sistema operativo. Todas las aplicaciones de su ordenador se comunican a través de llamadas a funciones que pasan por la API (interfaz de programación de aplicaciones) del sistema operativo. Un controlador en modo usuario engancha la tabla de direcciones de importación (una lista de todas las direcciones de las API o funciones del sistema que el programa necesita que el núcleo del sistema operativo realice).

Los rootkits en modo kernel utilizan controladores del sistema que se adhieren al kernel para "intermediar" las llamadas a la API entre las aplicaciones de usuario y el propio sistema operativo. Una vez instalado, el controlador del rootkit redirige las llamadas a las funciones del sistema para que se ejecute su propio código en lugar del código del kernel. Así, cuando se abre una carpeta para ver su contenido, se suele interrogar al kernel sobre el número de archivos que residen en la carpeta correspondiente. Sin embargo, un rootkit podría interceptar su solicitud y reportar todos los archivos de la carpeta, excepto algunos que son maliciosos. Usted, su sistema operativo o su solución antimalware ni siquiera sabrán que algunos archivos han existido en la carpeta respectiva.

Al utilizar un rootkit, un hacker tiene plenos privilegios de administrador en su ordenador y en el software, accediendo cómodamente a los registros, supervisando su actividad, robando información y archivos privados y desordenando las configuraciones. Sin que usted lo sepa, todas sus contraseñas e información estarán disponibles para que las roben.

 

¿Cómo infecta un Rootkit mi ordenador?

Aunque sean unas de las amenazas más peligrosas, los rootkits no funcionan por sí solos, sino que necesitan un vector de infección para propagarse e instalarse. Los hackers utilizan Troyanos o aprovechan las vulnerabilidades del sistema operativo para plantar los rootkits. Pero una vez que han llegado al sistema, suelen albergar spyware, gusanos, keyloggers o virus informáticos que convierten el ordenador en un zombi inútil. Posteriormente, los hackers pueden utilizarlo para lanzar ataques DoS, spam y campañas de phishing a terceros, incluso a tus contactos. Al tener acceso a la raíz del sistema operativo, tu ordenador queda completamente en manos de los hackers, lo que hace que los rootkits sean difíciles de detectar inmediatamente incluso para el ojo técnico más experimentado.

Pero los rootkits no siempre son maliciosos. En algunos casos, se utilizan con fines de engaño, como para burlar la protección de derechos de autor y antirrobo. Por otro lado, Sony y Lenovo son empresas conocidas por haber insertado rootkits en los dispositivos de los usuarios para reinstalar software no deseado o como parte de la gestión de derechos digitales. Aunque se implantan con una intención inofensiva, se trata de vulnerabilidades que facilitan su explotación posterior por parte de los hackers si se descubren.

 

Detección, eliminación y prevención

La detección de los rootkits es ardua y puede resultar imposible debido al control total que ejercen sobre su ordenador, incluso sobre cualquier software que pueda elegir para eliminar una infección de rootkit. Si eres una víctima experta en tecnología, hay algunos pasos que podrías seguir, como el escaneo de firmas o el análisis de volcado de memoria, pero si el rootkit se ha apoderado de la memoria del kernel (también conocido como el cerebro de tu sistema operativo), acepta la derrota. Formatea el disco duro y reinstala tu sistema operativo.

Como ya te habrás dado cuenta, los rootkits son tan sofisticados que es posible que no puedas deshacerte de ellos sin reinstalarlos. De hecho, es probable que ni siquiera los detecte hasta que sea demasiado tarde, o que intente ejecutar un análisis antivirus y no permita que su antivirus se inicie.

Para evitar perder todos sus datos, asegúrese de desarrollar unos hábitos de navegación online adecuados:

  • Encripta tu información privada y haz copias de seguridad de tus datos en múltiples fuentes.
  • Dado que la forma más común de que un hacker entre en tu red son los troyanos, nunca abras archivos adjuntos de correo electrónico de remitentes desconocidos.
  • Si estás viendo un vídeo o quieres abrir un archivo y te piden que descargues un plugin, no lo hagas.
  • Actualice constantemente su cortafuegos y su solución de seguridad, y realice periódicamente análisis completos del sistema en Windows y en Mac.