¿Qué es un rootkit? La definición y los 5 ejemplos principales

Rootkit

No todas las amenazas cibernéticas son tan fáciles de detectar y eliminar como, digamos, los Caballos de Troya. De hecho, algunos son tan sibilinos, que ni siquiera su software de ciber-protección es capaz de detectarlos. Si su ordenador de repente funciona muy despacio, si su RAM es siempre baja, incluso con una sola pestaña del navegador abierta, o si la Pantalla Azul de la Muerte aparece con frecuencia, es posible que su PC haya sido infectado con una amenaza “invisible”, un rootkit.

Resumen: Un rootkit es un componente de software o una colección de programas diseñados para proporcionar a los hackers acceso y control sobre el dispositivo objetivo. Aunque la mayoría de los rootkits afectan el software y el sistema operativo, algunos también pueden infectar el hardware y el firmware (soporte lógico inalterable) de su ordenador. Siga leyendo para aprender sobre los principales tipos de rootkits y sobre la mejor manera de eliminarlos.

• ¿Qué es un rootkit?
• ¿Qué tipos de rootkits existen?
• Ejemplos de rootkit
• Cómo eliminar un rootkit

¿Qué es un rootkit (encubridor)?

Un rootkit es un software usado por los hackers para tomar control completo sobre el ordenador o la red objetivo. Aunque en ocasiones puede que se trate de un solo componente del software, es más frecuente que un rootkit esté compuesto de un compendio de herramientas que permiten al hacker acceso remoto y nivel de administrador en el equipo atacado. Aunque los rootkits pueden ser usados con fines benignos (por ejemplo apoyo técnico a distancia), normalmente se usan con propósitos malignos. Tienen una puerta de atrás que permite a los hackers introducir cambios en el sistema.

A pesar de que llevan existiendo alrededor de un cuarto de siglo, de una forma u otra, la historia de los rootkits de hoy se puede seguir hasta mediados de los años noventa, a la avalancha de los rootkits de UNIX y los virus sigilosos de DOS. Los primeros rootkits para Windows fueron detectados en el cambio de siglo, y entre los ejemplos más notables son Vanquish, que registraba las contraseñas de sus víctimas, y FU, que funcionaba en modo kernel y se usaba para modificar la estructura del sistema más que meramente para entrar en él.

Los hackers pueden instalar rootkits en el equipo objetivo de muchas maneras, pero la mayoría de ellas incluyen un ataque de phishing o algún otro modo de ingeniería social. De este modo, los propietarios descargan e instalan inconscientemente software malicioso en sus equipos y entregan el control de casi todos los aspectos del sistema operativo a los hackers. En la mayoría de los casos, los rootkits atacan aplicaciones que funcionan en modo usuario, aunque algunos principalmente atacan componentes del sistema operativo central en modo kernel e incluso el firmware del ordenador (por ejemplo BIOS).

Como hacen con otros componentes de software legítimo, los rootkits a menudo se programan para deshabilitar o eliminar totalmente cualquier software antimalware o virus que se hayan podido instalar en el ordenador infectado. Esto fue un gran problema en el pasado, cuando la gran parte de los programas antimalware eran incapaces de detectar, controlar y/o detener un ataque de rootkit. Las soluciones de seguridad cibernética han evolucionado desde entonces, así que algunos de los mejores softwares antivirus hoy en día pueden detectar y eliminar rootkits de su sistema de un modo satisfactorio.

¿Qué tipos de rootkits existen?

Hay diferentes tipos de rootkits, cada uno dirige su ataque hacia una parte distinta de su ordenador. Como regla, cuanto más cerca del centro de su ordenador están, más dañinos y más difíciles de detectar son las infecciones. Mientras que aquellos que afectan el software de su ordenador son bastante comunes y fáciles de manejar, aquellos que atacan los drivers, la memoria, así como el sistema operativo son mucho más complicados.

Los cinco tipos de rootkits más comunes son los siguientes:

1. Rootkits de Modo Usuario

Los rootkits de modo usuario son los que más lejos del core de su ordenador están y solo afectan el software en su PC. Son mucho más fáciles de detectar y eliminar que cualquier otro rootkit. Comúnmente se les llama rootkits de aplicación, reemplazan los archivos ejecutables de programas estándar como Word, Excel, Paint o Notepad. De este modo, cada vez que usted activa un archivo .exe infectado de las aplicaciones, permitirá a los hackers acceso a su ordenador, y mientras podrá seguir usando el programa en cuestión con total normalidad.

2. Rootkits de Modo Kernel

Al contrario de los rootkits de aplicación, los rootkits del modo kernel se encuentran entre los más severos tipos de esta amenaza, ya que atacan el mismo core de su sistema operativo. Los hackers los usan no solo para acceder a los archivos de su ordenador, sino también pueden cambiar el funcionamiento de su sistema operativo si añaden su propio código. Mientras que estos rootkits pueden afectar seriamente el rendimiento de su sistema, aún son más fáciles de identificar y tratar que algunos otros tipos de rootkits cuyos efectos van más allá del mero sistema operativo.

3. Rootkits de Gestor de Arranque (Bootloader)

Tal y como indica su nombre, los rootkits afectan el Registro de Arranque Principal (MBR) y/o el Registro de Volumen del Arranque (VBR) del sistema. Aunque tengan un impacto directo sobre el sistema, estos rootkits se adjuntan a los registros de arranque más que a los archivos, lo que los hace difíciles de detectar y eliminar. Además, si uno de estos rootkits inyecta código en el MBR, puede dañar su ordenador entero.

Afortunadamente, los rootkits de gestor de arranque están abocados a la extinción. Con el lanzamiento de Windows 8 y 10, la mayoría de los PC ya tienen la opción de Arranque Seguro, diseñado especialmente para proteger contra los rootkits de gestor de arranque. Sin embargo, los equipos que todavía utilizan las versiones de 32-bit o 64-bit de Windows 7 aún pueden estar en riesgo.

4. Rootkits de la Memoria

Los rootkits de la memoria se esconden en la memoria RAM (Random Access Memory) de su ordenador y consumen sus recursos informáticos para perpetrar varios procesos malignos en segundo plano. Esto significa que los rootkits de la memoria inevitablemente afectarán el rendimiento de la RAM de su ordenador. A pesar de esto, estos rootkits raramente se consideran como una gran amenaza, sobre todo porque tienen una vida útil muy corta. Ya que inhiben la RAM y no inyectan un código permanente, los rootkits de la memoria desaparecen en cuanto usted reinicia su sistema.

5. Rootkits de Firmware (Soporte Lógico Inalterable)

Aunque en comparación con los otros tipos, son muy raros, los rootkits de firmware son una amenaza seria a su seguridad online. En lugar de atacar su sistema operativo, estos rootkits se dirigen al firmware de su ordenador para instalar malware que incluso los mejores programas de antimalware no serán capaces de detectar. Los rootkits de firmware pueden infectar su disco duro, su router o la BIOS de su sistema. Como afectan el hardware, permiten a los hackers, no solo controlar su actividad online, sino también registrar sus pulsaciones en el teclado.

Ejemplos de rootkits

Durante los últimos 25 años, innumerables rootkits han dejado su huella en la ciber- seguridad. Unos cuantos de ellos eran legítimos, como los que lanzó Sony en 2005 para mejorar la protección contra las copias de los CD de audio, o uno similar, lanzado por Lenovo en 2015 para instalar software imborrable en sus nuevos ordenadores portátiles. La mayoría de los rootkits, sin embargo, fueron desarrollados por hackers desconocidos con el fin de poner en peligro los ordenadores de sus víctimas y obtener de ellos su información personal, para su beneficio propio (sobre todo económico).

Algunos de los más notables rootkits incluyen los siguientes:

• En 2008, círculos de crimen organizado de China y Pakistán infectaron cientos de lectores de tarjetas de crédito destinados para el mercado de Europa Occidental con rootkits de firmware. Los rootkits estaban programados para registrar los datos de la tarjeta de crédito de la víctima y enviarlos inmediatamente a un servidor ubicado en Pakistán. En términos generales, los hackers que estaban detrás de esta trama consiguieron robar como mínimo 10 millones de libras a través de la clonación de tarjetas de crédito y retirada de fondos de las cuentas bancarias de sus víctimas inconscientes.
• En 2011, expertos en ciber- seguridad descubrieron ZeroAccess, un rootkit de modo kernel que se expandió hasta infectar más de 2 millones de ordenadores en todo el mundo. En lugar de afectar directamente el funcionamiento de los ordenadores infectados, este rootkit descarga e instala malware en el equipo infectado y lo hace parte de un botnet mundial que usan los hackers para llevar a cabo ataques cibernéticos. A pesar de varios intentos serios de destruirlo, ZeroAccess sigue en activo hoy en día.
• En 2012, expertos de Irán, Rusia y Hungría descubrieron Flame, un rootkit que en un primer momento fue empleado para espionaje cibernético en Oriente Medio. Afecta la totalidad del sistema operativo del ordenador. Flame tiene la capacidad de controlar el tráfico en la red, extraer capturas de pantalla y archivos de audio del ordenador y hasta registrar la actividad del teclado. Aunque los responsables no se conocen todavía, las investigaciones revelaron que 80 servidores en tres continentes se usaban para acceder a los ordenadores infectados.

¿Cómo eliminar un rootkit?

Varios tipos de rootkits operan en niveles de privilegios más altos que la mayoría de los programas de ciber- seguridad, y esta puede ser la razón por la que son difíciles de detectar. Para analizar sus sistemas en busca de rootkits, usted necesita una herramienta avanzada de antimalware que tenga complementos para rootkits. Afortunadamente, los mejores programa de antivirus cuentan con un escáner de rootkits incorporado y un eliminador de rootkits, lo que le permitirá detectar y eliminar con facilidad estas amenazas de la red.

Si usted sospecha que su sistema puede estar infectado por un rootkit, debería buscar más de un indicador de la infección. Normalmente incluyen rendimiento más lento y RAM baja, hora y fecha incorrectas en la esquina inferior derecha de su pantalla, así como frecuentes apariciones de la llamada “Pantalla Azul de la Muerte”. Además de esto, algunas o todas las funciones de su programa de antivirus y/o antimalware pueden ser anuladas automáticamente en el momento del primer inicio del software infectado por el rootkit.

Aunque algunos rootkits puedan afectar su hardware, todos tienen su origen en la instalación de un software malicioso. Su mejor apuesta es usar solamente el mejor programa antivirus para MacOS que está preparado para ofrecer protección en tiempo real contra grandes amenazas, incluidos los virus, el malware y los rootkits. Asegúrese de realizar análisis de su sistema con regularidad y de actualizar las definiciones de virus a diario. Para evitar los rootkits de gestor de arranque, también se recomienda que actualice su actual sistema operativo a Windows 8 o superior.

Fuentes (en inglés)

• CS Online
• Emsisoft
• Heimdal Security
• PC World
• Schneier
• Securelist
• Sophos
• The Register
• Techopedia
• Techtarget
• Veracode
• Wikipedia (1)
• Wikipedia (2)
• Wikipedia (3)
• ZD Net