Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Rootkit: Definición, propósito y características

Entre los diferentes malware, el rootkit es una de las ciberamenazas más peligrosas por sus capacidades y funciones y por los daños que puede ocasionar. En este artículo explicamos qué es un rootkit, cuáles son sus características, tipos, cómo detectarlo y prevenir una infección.

¿Qué es un rootkit?

El rootkit es un software con el que un hacker puede tener acceso remoto al ordenador de su víctima y tomar el control del mismo, mientras oculta su presencia en otros procesos del sistema.

En otras palabras, el rootkit es un tipo y forma de ataque cuyo objetivo es tomar el control del ordenador infectado y poder realizar diferentes tipos de acciones, desde instalar otros tipos de malware o software espía, robar información de todo tipo, hasta sumar la máquina a una botnet para usarla, por ejemplo, en ataques DDoS.

Aunque es habitual referirse a él como virus rootkit, realmente estamos ante una colección de herramientas que permiten al ciberatacante tomar el control del ordenador y ocultarse.

Cabe señalar que no todos los rootkit tiene un objetivo malicioso y que se pueden usar con fines lícitos, por ejemplo, para resolver problemas de TI a distancia, o ser utilizados en las investigaciones policiales, pero en esta entrada nos centraremos en la definición de rootkit para fines maliciosos.

¿Cuál es el propósito de un rootkit?

El propósito de un rootkit es ganar acceso al sistema y poder tomar el control del mismo, sin ser detectado por el usuario o las medidas de seguridad que tenga aplicadas, con alguno o varios de los siguientes objetivos:

  • Instalar otro malware en la computadora afectada.
  • Robar información importante como nombre de usuario, contraseña, información de tarjeta de crédito y otros datos confidenciales.
  • Eliminar el código del sistema operativo u otros archivos en una máquina.
  • Actividad de espionaje e interceptación de información personal.
  • Modificar la configuración del sistema, desactivar la aplicación de seguridad, etc.

tarifas proteccion datos

Características de un rootkit

Entre las principales características del rootkit destacan:

  • Su capacidad para ocultarse y trabajar en segundo plano.
  • Suele infectar los equipos recurriendo a ataques de ingeniería social, especialmente de phishing y a través de descarga de archivos infectos, como PDF.
  • Asimismo, también suele ocultarse en aplicaciones de tiendas no oficiales, películas y programas pirateados.
  • Otro de sus vectores de ataque son las vulnerabilidades presentes en software desactualizado.
  • Opera muy cerca o dentro del núcleo del sistema operativo.
  • Arranque seguro y rootkits están muchas veces relacionados, porque la gran mayoría de rootkit arrancan al mismo tiempo o antes incluso que el sistema operativo, lo que dificulta su detección y eliminación.
  • Cambia los permisos y la seguridad de las cuentas de usuario, para tener control completo del sistema.
  • Por sí solo, un rootkit no puede infectar un equipo, por lo que se debe recurrir a otra herramienta maliciosa para ello, como puede ser un dropper y un loader. El dropper se utiliza para instalar el rootkit en el ordenador de destino y loader se inicia justo después para abrir o ejecutar el archivo.
  • Es difícil de detectar y eliminar.

Tipos de rootkit y forma de ataque

Los rootkit pueden clasificarse en cinco tipos distintos: integrados en el núcleo, a nivel de aplicación, híbridos, de firmware y virtuales, en función de la forma en la que se despliega el ataque y cuál es el propósito del rootkit.

Así mismo, esta clasificación también tiene qué con qué modifica el rootkit, ya que este malware se puede instalar en diferentes sitios del ordenador y afectar a diferentes partes.

Integrados en el núcleo

También se conocen como rootkits de nivel de kernel. El kernel es el núcleo del sistema operativo y los rootkits de nivel de kernel se crean agregando código adicional o reemplazando partes del sistema operativo central, con código modificado a través de controladores de dispositivo (en Windows) o módulos de kernel cargables (Linux).

Los rootkits de nivel de kernel pueden tener un efecto grave en la estabilidad del sistema si el código del kit contiene errores. Los rootkits del kernel son difíciles de detectar porque tienen los mismos privilegios del sistema operativo y, por lo tanto, pueden interceptar o subvertir las operaciones del sistema operativo.

A nivel de aplicación

Los rootkits de nivel de aplicación operan dentro de la computadora de la víctima, cambiando los archivos de aplicación estándar con archivos de rootkit, o cambiando el comportamiento de las aplicaciones actuales con parches, código inyectado, etc.

Híbridos

En vez de funcionar desde un único sitio, estos rootkits introducen algunos de sus componentes en el nivel de usuario y otros en el kernel. De esta forma, los rootkits híbridos tienen la estabilidad de los rootkits de modo de usuario, pero también el sigilo potenciado de los rootkits del kernel. Estos rootkits híbridos de usuario/kernel son muy usados entre los ciberdelincuentes.

De firmware

Estos rootkits afectan el hardware o firmware, como enrutadores, tarjetas de red, discos duros y el software operativo de entrada básica (BIOS) del sistema.

Virtuales

Los rootkits virtuales se crean mediante la explotación de funciones de hardware como Intel VT o AMD-V (tecnologías de virtualización asistida por hardware). Estos rootkits alojan el sistema operativo de destino como una máquina virtual y, por lo tanto, pueden interceptar todas las llamadas de hardware realizadas por el sistema operativo de destino.

rootkit

¿Cómo detectar un rootkit?

Para detectar una infección de rootkit, la mejor herramienta es el análisis de rootkit, una solución que suele estar integrada en todos los antivirus actuales.

Si sospechas que un rootkit se ha instalado en tu ordenador, una de las mejores estrategias para detectarlo es ejecutar un escaneo del sistema con tu solución antivirus, puesto que esta buscará firmas conocidas de rootkit para localizarlo y ponerlo en cuarentena. Es recomendable realizar este análisis antes del arranque de Windows, porque algunos rootkit solo se detectan aquí.

Otra estrategia empleada para detectar rootkits es el análisis de comportamiento. En lugar de buscar el rootkit, busca comportamientos similares a los de un rootkit. Los análisis dirigidos funcionan bien si sabes que el sistema se comporta de manera extraña. El análisis de comportamiento te alertará de un rootkit antes de que un humano se dé cuenta de que uno de los servidores está siendo atacado.

Desde un punto de vista menos técnico, también existen algún indicio que pueden revelar la presencia de un rootkit:

  • Ocurren muchos «pantallazos azules», que obligan a reiniciar el ordenador con mucha frecuencia.
  • Detectas marcadores webs que no recuerdas haber creado tú. O los enlaces te redirigen a sitios extraños.
  • El ordenador va más lento de lo habitual, por ejemplo, tarda más en iniciarse o las órdenes de teclado y ratón no siempre tienen respuesta.
  • Detectas cambios que tú no has hecho en los ajustes de Windows.

Sin embargo, cabe señalar que detectar ciertos tipos de rootkit puede ser todo un desafío, porque suelen ocultarse muy bien y algunos pueden incluso burlar el sistema de seguridad instalado.

¿Cómo prevenir ser infectado?

Estas son algunas prácticas que puede usar para prevenir ser infectado por un rootkit:

  • Leer el correo electrónico dos veces y observar la gramática utilizada en un correo electrónico antes de hacer clic en cualquier enlace. El correo electrónico de phishing es una de las armas favoritas del atacante. El correo electrónico de suplantación de identidad hace que descargue paquetes que vienen con rootkits en tu computadora. Siempre debes verificar el encabezado y la dirección de correo electrónico del remitente antes de hacer clic en cualquier enlace. Además, debes leer el correo electrónico dos veces, ya que el correo electrónico de phishing tiene errores gramaticales.
  • Descarga los controladores de computadora autorizados. Los controladores de computadora son el punto de entrada más común de un rootkit en el sistema de destino. Por lo tanto, siempre debes usar solo un controlador de computadora autorizado.
  • Actualiza el SO, el navegador y el software de seguridad. Estos puntos pueden no verse mejor o pueden parecer ilógicos. Pero el usuario debe mantener actualizado su sistema operativo, navegador y software de seguridad anti-rootkit para evitar un ataque de rootkit.
  • No descargues aplicaciones de lugares no oficiales.
  • No descargue contenido pirateado de lugares poco fiables.

¿Qué hacer si tu equipo ya ha sido infectado por un virus rootkit?

Varios tipos de rootkits se ejecutan con un nivel de privilegio más alto que la mayoría de los programas de ciberseguridad, por lo que pueden ser muy difíciles de detectar. Para escanear los sistemas en busca de rootkits, necesitas una herramienta antimalware avanzada que tenga complementos para rootkits. Afortunadamente, las mejores herramientas de software antivirus vienen con un escáner de rootkit integrado y un eliminador, lo que te permite detectar y eliminar un rootkit fácilmente estas amenazas en línea.

El software antivirus puede tardar muchas horas en completar el proceso, dependiendo de la velocidad de tu computadora, pero también ofrece los mejores métodos para eliminar los archivos maliciosos.

También vale la pena instalar una herramienta de eliminación de malware que ayude a detectar malware como un virus rootkit y eliminarlo antes de que cause algún problema. Cada una de estas herramientas también te ayuda a detectar si rootkit ha instalado otros virus o malware para trabajar junto con él.

También puedes usar restaurar sistema para regresar a un punto anterior en tu computadora antes de que detectara el virus rootkit. Asegúrate de elegir un período de tiempo en el que sepas que definitivamente no tenías el virus en la computadora.

Dada la naturaleza nefasta de los malware rootkit, si deseas estar seguro de que lo has eliminado correctamente, puede valer la pena considerar un reformateo completo de tu computadora.

En caso de que el rootkit haya infectado la BIOS, tendrás que llevar tu ordenador a un servicio técnico profesional, aunque ni siquiera tendrás la garantía de que este pueda eliminarlo. Si no fuera capaz de hacerlo, la mejor opción será adquirir un nuevo equipo.

Ejemplos de infecciones por rootkits

A poco que busquemos podemos encontrar diferentes ejemplos de rootkit empleados a lo largo de los años y que han dejado huella en la ciberseguridad, como:

  • En 2008, redes del crimen organizado de China y Pakistán infectaron a cientos de usuarios de tarjetas de crédito destinados al mercado de Europa occidental con rootkits de firmware. Los rootkits fueron programados para registrar la información de la tarjeta de crédito de las víctimas y enviarla directamente a un servidor ubicado en Pakistán. Los piratas informáticos detrás de este complot lograron robar al menos 10 millones de libras, clonando tarjetas de crédito y retirando fondos de las cuentas de las víctimas desprevenidas.
  • En 2011, los expertos en ciberseguridad descubrieron ZeroAccess, un rootkit en modo kernel que llegó a infectar a más de 2 millones de computadoras en todo el mundo. En lugar de afectar directamente la funcionalidad de la computadora infectada, este rootkit descarga e instala silenciosamente malware en la máquina infectada y lo convierte en parte de una botnet mundial utilizada por los piratas informáticos para llevar a cabo ataques cibernéticos. A pesar de algunos intentos serios de destruirlo, ZeroAccess permanece activo hasta el día de hoy.
  • En 2012, expertos de Irán, Rusia y Hungría descubrieron Flame, un rootkit que se utilizó principalmente para el ciberespionaje en Oriente Medio. Afectando a todo el sistema operativo de la computadora, Flame tiene la capacidad de monitorizar el tráfico de la red, capturar capturas de pantalla y audio de la computadora, e incluso registrar la actividad del teclado. Aunque aún se desconocen los culpables, la investigación reveló que se utilizaron 80 servidores en tres continentes para acceder a las computadoras infectadas.

También llegaron a desarrollarse rootkit dudosamente legales, como el lanzado por Sony en 2005 para mejorar la protección contra copias de CD de audio o uno similar lanzado por Lenovo en 2015 para instalar software imborrable en sus nuevas computadoras portátiles.

Sin embargo, la mayoría de rootkits, como los de los ejemplos, fueron desarrollados por piratas informáticos desconocidos con el objetivo de comprometer las computadoras de las víctimas y obtener su información confidencial para beneficio personal (principalmente financiero) de los piratas informáticos. «Cómo hacer un rootkit» es todavía un término de búsqueda habitual en internet, por lo que es una herramienta que sigue muy en uso.

Los rootkits son uno de los tipos de amenazas de malware más peligrosos que existen. Si una memoria flash de BIOS no puede eliminar el rootkit, es posible que debas deshacerte del PC afectado y ver qué componentes de hardware, si los hay, puedes reutilizar.

El mejor tratamiento para una infección de rootkit es evitar que suceda. Empieza a tomar medidas preventivas ahora, disponiendo de un cortafuegos, ejecutando software anti-malware, utilizando discos duros autorizados, etc.