Qué es un rootkit: definición y explicación

Rootkit: definición y explicación

Un rootkit es un tipo de malware diseñado para dar a los piratas informáticos acceso y control sobre un dispositivo objetivo. Aunque la mayoría de los rootkits afectan al software y al sistema operativo, algunos también pueden infectar el hardware y el firmware del equipo. Los rootkits operan ocultos en segundo plano, sin dar muestras de que están activos.

Una vez que se ha introducido en un ordenador, el rootkit permite al ciberdelincuente robar datos personales o financieros, instalar malware o unir el equipo a un botnet para propagar spam o contribuir a un ataque distribuido de denegación de servicio (DDoS).

El término «rootkit» tiene su origen en Unix y Linux; en estos sistemas operativos, la cuenta de administración con más privilegios tiene el nombre de «root». El «kit», en este caso, son las aplicaciones que facilitan el acceso no autorizado de nivel administrativo (es decir, de nivel «root») al dispositivo.

¿Qué es un rootkit?

Los rootkits son un tipo de software que los delincuentes utilizan para obtener el control de redes y ordenadores. A veces parecen ser una sola aplicación, pero los rootkits normalmente consisten en una colección de herramientas que permiten a los piratas informáticos controlar el dispositivo de destino a nivel de administrador.

Los piratas informáticos instalan rootkits en las máquinas objetivo de varias formas:

1. El método más común es el phishing u otro tipo de ataque de ingeniería social. Sin saberlo, la víctima descarga e instala malware que, al ejecutarse, se oculta en otros procesos y le da al pirata informático el control de casi todos los aspectos del sistema operativo.
2. Otra forma son las vulnerabilidades de las aplicaciones desactualizadas: si el pirata informático conoce una debilidad del sistema operativo o de una de las aplicaciones instaladas, puede explotarla para introducir el rootkit en el equipo.
3. El malware también puede incluirse con otro archivo, como un PDF infectado, una copia ilegal de una película o una aplicación descargada de una tienda sospechosa.

Los rootkits operan cerca o dentro del kernel del sistema operativo, lo que les ofrece la posibilidad de iniciar comandos en el ordenador. Ningún aparato con sistema operativo está exento de una infección; a medida que el Internet de las cosas se vuelve más común, puede que surjan rootkits para tu termostato o tu nevera.

Los rootkits pueden contener keyloggers ocultos, que son aplicaciones que capturan sin tu consentimiento todo lo que escribes con el teclado. Les facilitan enormemente a los ciberdelincuentes la tarea de robar números de tarjetas de crédito, datos bancarios y otras clases de información personal. Los piratas informáticos también emplean los rootkits para realizar ataques de DDoS o enviar correos electrónicos no deseados. Pueden incluso desactivar o eliminar el software de seguridad instalado en el dispositivo.

Algunos rootkits se utilizan con fines legítimos, por ejemplo, para resolver problemas de TI a distancia o para ofrecer ayuda a las autoridades. La realidad, sin embargo, es que la mayoría tiene fines maliciosos. Su peligro radica sobre todo en que pueden introducir distintas clases de malware en el equipo, aplicaciones que, a su vez, pueden ocasionar alteraciones en el sistema operativo y ofrecer acceso remoto como administradores a desconocidos.

Tipos de rootkits

1. Rootkits para hardware o firmware

Los rootkits para hardware o para firmware pueden afectar a discos duros, routers o incluso la BIOS de un sistema (la BIOS es un programa especial instalado en un microchip que forma parte de la placa base del ordenador). Estos rootkits no buscan alterar el sistema operativo; lo que hacen, en cambio, es instalar malware en el firmware, donde se vuelven mucho más difíciles de detectar. Como afectan al hardware, permiten a los piratas informáticos guardar un registro de todo lo que escribes y de todo lo que haces en Internet. Este tipo de rootkit no es tan común, pero representa una grave amenaza para la seguridad online.

2. Rootkits para el cargador del SO

El cargador es el mecanismo que da inicio al sistema operativo de un ordenador. Los rootkits para el cargador del SO atacan este sistema y reemplazan el cargador del SO legítimo de tu equipo por uno pirateado. Esto permite que rootkit se active incluso antes de que el sistema operativo se haya cargado completamente.

3. Rootkits para la memoria

Los rootkits para la memoria se ocultan en la memoria de acceso aleatorio (RAM) del ordenador y utilizan los recursos del sistema para realizar acciones maliciosas en segundo plano. Este tipo de rootkit afecta el rendimiento de la RAM del equipo. Como residen en la RAM y no inyectan ningún tipo de código permanente, los rootkits de esta clase desaparecen en cuanto se reinicia el sistema (aunque, en ocasiones, se necesita algo de trabajo extra para eliminarlos por completo). Al ser efímeros, no se los suele considerar una gran amenaza.

4. Rootkits para aplicaciones

Los rootkits para aplicaciones sustituyen archivos estándar del ordenador por otros propios. También pueden provocar cambios en el funcionamiento de aplicaciones comunes. Esta clase de rootkit infecta programas como Microsoft Office, el Bloc de notas o Paint. Cada vez que la víctima abre uno de estos programas, les da a los atacantes una vía de acceso a su equipo. Detectar estos rootkits no resulta sencillo para el usuario porque los programas infectados siguen funcionando normalmente; no obstante, los antivirus pueden detectarlos porque operan en el nivel de las aplicaciones como los rootkits.

5. Rootkits de modo kernel

Los rootkits de este tipo son especialmente peligrosos porque afectan la parte más central del sistema operativo: el kernel. Los piratas informáticos pueden usarlos no solo para acceder a los archivos almacenados en tu ordenador, sino también para incorporar código que modifique el funcionamiento del sistema operativo.

6. Rootkits virtuales

Los rootkits virtuales se instalan por debajo del sistema operativo del ordenador. Una vez allí, hacen funcionar el sistema operativo original en una máquina virtual, lo que les permite interceptar sus interacciones con el hardware. Estos rootkits pueden ser muy difíciles de detectar y no necesitan modificar el kernel del sistema operativo para lograr sus fines.

Ejemplos de rootkits

Stuxnet

Uno de los rootkits más famosos de la historia es Stuxnet. Se trata de un gusano informático malicioso que se descubrió en el año 2010, pero que se cree ha existido desde 2005. Stuxnet ocasionó graves perjuicios al programa nuclear de Irán. Aunque no lo han admitido, está muy extendida la opinión de que Stuxnet es una ciberarma creada por los Estados Unidos e Israel como parte de un trabajo conjunto denominado los Juegos Olímpicos.

Hay otros ejemplos de rootkits que merece la pena destacar:

Flame

Flame es el nombre de un rootkit descubierto en 2012, que se ha utilizado sobre todo para realizar actividades de ciberespionaje en Oriente Medio. Este rootkit, que también se conoce como Flamer, sKyWIper y Skywiper, está diseñado para afectar el sistema operativo en su totalidad; el atacante obtiene la capacidad de supervisar el tráfico del dispositivo, grabar audio, hacer capturas de pantalla y registrar las pulsaciones del teclado. No se supo quienes fueron los autores de Flame, pero se pudo determinar que utilizaron ochenta servidores, repartidos en tres continentes, para acceder a los equipos que infectaron.

Necurs

Necurs surgió como rootkit en 2012, y fue detectado en 83 000 equipos infectados ese año. Vinculado a ciberdelincuentes de élite de Europa Oriental, Necurs destaca por su complejidad técnica y por su capacidad para evolucionar.

ZeroAccess

ZeroAccess fue descubierto en 2011. Se trata de un rootkit de modo kernel que infectó más de dos millones de ordenadores en todo el planeta. ZeroAccess no altera el funcionamiento de los dispositivos que infecta; lo que hace es descargar e instalar malware diseñado para unir el equipo a un botnet mundial utilizad por los piratas informáticos para llevar a cabo ciberataques. ZeroAccess se sigue utilizando en la actualidad.

TDSS

El rootkit TDSS se detectó por primera vez en 2008. Se carga y se ejecuta en las primeras etapas de inicio del sistema operativo, por lo que tiene similitudes con los rootkits que afectan el arrancador del SO, y es igualmente difícil de detectar y eliminar.

Cómo detectar los rootkits

No siempre es fácil saber si hay un rootkit en un dispositivo, ya que este tipo de malware está diseñado para pasar desapercibido. Además, los rootkits pueden desactivar el software de seguridad, lo que hace su detección aún más compleja. En definitiva, una vez que han accedido a un sistema, los rootkits pueden quedarse durante mucho tiempo y ocasionar daños graves.

Existen algunas señales que revelan la presencia de malware de rootkit:

1. Pantallazos azules

Windows muestra una gran cantidad de errores o de «pantallazos azules de la muerte» (pantallas de fondo azul con texto en blanco) y necesitas reiniciar el equipo a menudo.

2. Comportamientos inusuales en el navegador web

Los enlaces te redirigen a sitios diferentes o encuentras marcadores que no recuerdas haber añadido.

3. Rendimiento lento del dispositivo

El dispositivo tarda mucho en iniciarse, funciona lento o se bloquea a menudo. También puedes notar que el sistema ignora las órdenes del teclado o del ratón.

4. Cambios no autorizados en la configuración de Windows

Por ejemplo, sin que hayas tocado nada, el fondo de pantalla se puede haber cambiado por otro, la barra de tareas puede empezar a ocultarse automáticamente o la fecha y la hora pueden no ser las correctas.

5. Problemas de funcionamiento en las páginas web

Las páginas web o las actividades de red funcionan de forma intermitente o no dan abasto con la cantidad de tráfico.

El mejor modo de detectar la infección de un rootkit es hacer un análisis antirootkits con una aplicación antivirus. Si sospechas que tu equipo está infectado con un rootkit y quieres verificarlo, apágalo y analízalo utilizando un sistema que ya hayas comprobado que no está infectado.

Para detectar un rootkit, también puede ser útil el análisis de comportamientos. En este tipo de análisis, lo que se busca no es el rootkit en sí, sino comportamientos característicos de esta clase de software. Mientras que los análisis dirigidos funcionan bien si sabes que el sistema se está comportando de forma extraña, un análisis de comportamiento puede avisarte de que hay un rootkit antes de que te des cuenta de que te están atacando.

Cómo eliminar un rootkit

Eliminar un rootkit es un proceso complejo. Por lo general, requiere de herramientas especiales, como la utilidad TDSSKiller de Kaspersky, diseñada para detectar y eliminar el rootkit TDSS. A veces, el único modo de erradicar un rootkit bien oculto consiste en desinstalar el sistema operativo del equipo y comenzar de cero.

Cómo eliminar un rootkit en Windows

Por lo general, para eliminar un rootkit en Windows, el primer paso es iniciar un análisis. Las infecciones profundas solo pueden eliminarse reinstalando el sistema operativo. Si tienes que recurrir a esta vía, no utilices el instalador que viene incluido en Windows: lo recomendable es utilizar un soporte de instalación externo. Algunos rootkits infectan la BIOS y, de ser así, tendrá que repararla un especialista para solucionar el problema. Si el especialista no logra eliminar el rootkit, tal vez tengas que comprar un ordenador nuevo.

Cómo eliminar un rootkit en un Mac

Si tienes un Mac, mantén actualizado el sistema operativo. Las actualizaciones de Mac no solo incluyen nuevas funciones: también eliminan rootkits y otras clases de malware. Los productos de Apple cuentan con protecciones especiales contra el malware. Sin embargo, al no haber detectores de rootkits conocidos para macOS, si sospechas que tu Mac puede estar infectado, deberías reinstalar el sistema operativo. Al hacerlo, eliminarás la mayoría de las aplicaciones y rootkits de tu equipo. No obstante, tal como ocurre con Windows, si el rootkit ha infectado la BIOS, tendrás que buscar la ayuda de un especialista; si este no es capaz de eliminar el rootkit, es posible que tengas que comprar un dispositivo nuevo.

Cómo evitar los rootkits

Como los rootkits son peligrosos y difíciles de detectar, es muy importante mantenerse alerta al navegar por la Web o descargar programas. Muchas de las medidas de protección ante los virus te brindarán también un grado de protección contra los rootkits:

1. Utiliza una solución de ciberseguridad integral

Mantén una actitud proactiva en la protección de tus dispositivos e instala una solución antivirus integral avanzada. Kaspersky Total Security ofrece protección integral contra toda clase de ciberamenazas y puede realizar búsquedas de rootkits.

2. Mantén el software actualizado

Una conducta fundamental para evitar las infecciones de malware consiste en actualizar periódicamente el software del dispositivo. Si el sistema operativo y los programas están al día, los rootkits no tendrán vulnerabilidades de las que aprovecharse para atacar.

3. Mantente alerta a las estafas de phishing

El phishing es un tipo de ataque de ingeniería social en el que, mediante engaños, los estafadores busca que un usuario descargue una aplicación maliciosa (por ejemplo, un rootkit) o revele sus datos financieros. Si recibes un correo sospechoso o de alguien que no conoces, no lo abras; así evitarás que entren rootkits en tu ordenador. Actúa del mismo modo con los enlaces: si no tienes la certeza de que sea seguro, no hagas clic en él.

4. Descarga archivos únicamente de fuentes de confianza

Presta atención al abrir archivos adjuntos y no abras archivos de personas que no conozcas para evitar que se pueda instalar un rootkit en tu ordenador. Si necesitas un programa, descárgalo solo de una fuente fiable. Si el navegador te dice que estás a punto de acceder a un sitio no seguro, no ignores la advertencia. 

5. Presta atención al comportamiento y al rendimiento de tu equipo

Si notas cambios de comportamiento, puede que haya un rootkit funcionando en segundo plano. Mantente alerta y, si notas algo extraño, investiga por qué sucede.

De todos los tipos de malware, los rootkits son de los más difíciles de encontrar y eliminar. Por eso precisamente, es mejor prevenir que curar. Para mantenerte siempre a salvo, te recomendamos que sigas aprendiendo sobre las amenazas más recientes a la ciberseguridad.

Artículos relacionados:

• ¿Qué es una estafa de phishing?
• Tipos de malware
• ¿Quién crea el malware?
• ¿Qué es un virus troyano?