34960601530
Blog AVG Signal Seguridad Amenazas Todo lo que debe saber sobre los rootkits y cómo protegerse
What_is_a_Rootkit-Hero

Escrito por AVG Signal Team
Fecha de publicación January 30, 2020

¿Qué es un rootkit?

Un rootkit es una aplicación (o un conjunto de aplicaciones) que oculta su presencia, o la de otras tales como malware o spyware, en un dispositivo. Los rootkits se ocultan usando algunas de las capas más bajas del sistema operativo, incluyendo la función API de redireccionamiento o funciones no documentadas del sistema operativo, lo que los hace casi indetectables por el software antimalware corriente.

Este artículo contiene:

    ¿De dónde viene el término «rootkit»? En los sistemas operativos Unix y Linux, el administrador del sistema, una cuenta con plenos poderes con privilegios y acceso sin restricciones (similar a la cuenta de administrador en Windows), se conoce como «root». Las aplicaciones que permiten acceso a la raíz o nivel de administrador del dispositivo y a las áreas restringidas se conocen como el «kit».

    Junte ambos términos y tendrá «rootkit»: un programa que proporciona a alguien (con intenciones legítimas o maliciosas) acceso con privilegios a un PC o un dispositivo móvil. Esta persona puede ahora controlar el dispositivo de forma remota sin conocimiento ni consentimiento de su propietario.

    Desafortunadamente, los rootkits a menudo se diseñan para crear un acceso no autorizado a los equipos, permitiendo a los ciberdelincuentes robar datos personales e información financiera, instalar malware o usar los equipos como parte de una botnet para poner en circulación spam y participar en ataques DDoS (denegación de servicio distribuido).

    Imagine a un ladrón que desea entrar en su casa para robar. Suelen vestirse de negro para confundirse en la oscuridad y se mueven sigilosamente para no ser detectados. Pero a diferencia del ladrón que toma algo y se va, un rootkit permanece en su dispositivo, robando sus datos o manipulando su interior.

    ¿Un rootkit es un virus?

    Un rootkit no es un virus en si mismo. Un virus informático es un programa o una pieza de código diseñado para dañar su equipo corrompiendo archivos del sistema, gastando recursos, destruyendo datos o, simplemente, siendo una molestia. Una característica clave que distingue a los virus es que estos utilizan los recursos de su equipo para reproducirse y propagarse por sus archivos o a otros equipos sin el consentimiento del usuario.

    A diferencia de los virus, los rootkits no son necesariamente dañinos. Lo peligroso son las diferentes formas de malware que un rootkit puede llevar, que luego pueden manipular el sistema operativo y proporcionar acceso de administrador a usuarios remotos. Esto las convierte en herramientas populares entre los ciberdelincuentes, y es por esto que los rootkits han adquirido tan mala reputación.

    Instalar AVG AntiVirus FREE es su primera línea de defensa contra los rootkits maliciosos y muchos otros tipos de malware. Analice sus dispositivos para detectar y eliminar rootkits desde su fuente y permanezca protegido frente a cualquier malware futuro con AVG; y todo ello gratis.

    ¿Un rootkit es malware?

    Un rootkit está estrechamente asociado con el malware (contracción de «software malicioso»), un programa diseñado para infiltrarse y robar datos, dañar dispositivos, exigir un rescate y realizar otras actividades ilegales. El malware engloba virus, troyanos, spyware, gusanos, ransomware y muchos otros tipos de software.

    Los rootkits modernos actúan encubriendo los efectos nocivos del malware.

    Cómo reconocer un rootkit

    Por su diseño, los rootkits son difíciles de detectar. Son buenos camuflándose, lo que hace muy tediosa su detección. Incluso los productos disponibles comercialmente y aplicaciones aparentemente benignas de terceros pueden tener una función basada en rootkit. Un rootkit puede ocultar sus actividades e información del sistema operativo, evitando que su mal comportamiento quede expuesto.

    Me llamo rootkit y me gusta ocultarme.

    ¿Cómo? Una vez instalado, un rootkit suele cargarse al mismo tiempo que el sistema operativo de equipo o después de que comience el proceso. Hay otros rootkits que pueden cargarse antes que el sistema operativo, haciéndolos aún más difíciles de detectar.

    Blue Screen of Death is a telltale sign that a malicious rootkit might be embedded in your computer.Fuente de imagen: https://en.wikipedia.org

    Signos de un rootkit malicioso en acción:

    • Pantalla azul: Mensajes de error de Windows o pantallas azules con texto blanco y su equipo necesita reiniciarse constantemente.

    • Comportamiento extraño: comportamiento inusual del navegador web, como redireccionamiento de enlaces de Google y marcadores no reconocidos.

    • Fallos al inicio: funcionamiento lento del equipo, o el dispositivo se bloquea o no responde a cualquier tipo de entrada desde el ratón o el teclado.

    • La red social: Las páginas web o la actividades de red parecen intermitentes o funcionan de forma incorrecta debido al tráfico excesivo.

    • Fuera de la vista: la configuración de Windows cambia sin permiso. Ejemplos de esto pueden ser el cambio del protector de pantalla o la barra de tareas ocultándose.

    Cómo eliminar un rootkit

    Encontrar y eliminar rootkits no es una ciencia exacta, ya que pueden instalarse de varias formas. Incluso si limpia una máquina, el rootkit puede sobrevivir en algunos casos. La buena noticia: una herramienta antivirus con un escáner de rootkit como el de AVG contribuirá en buena medida a mantenerlo alejado del malware. Nuestra tecnología antirootkit, incluida en AVG AntiVirus FREE, detecta, previene y elimina rootkits y otras formas de software malicioso. 

    ¿De dónde vienen los rootkits y cómo se propagan?

    Existen unas pocas formas comunes en las que los ciberdelincuentes pueden introducir un rootkit en su equipo. Una es explotar una vulnerabilidad (una debilidad en el software o el sistema operativo no actualizados) forzando la entrada del rootkit al equipo. Otra forma es a través de enlaces maliciosos, que se pueden enviar a través del correo electrónico, las redes sociales o como parte de una estafa de phishing. El malware también se puede incluir en otros archivos, como PDF infectados, archivos multimedia pirateados o aplicaciones obtenidas mediante tiendas de terceros sospechosas.

    A common way to distribute malicious rootkits is thru documents (PDF) attached to emails or instant messages, or by sending an infected link.

    Así que, cuando dicen que nunca se debe confiar en un extraño, significa que nunca debería abrir documentos que algún desconocido le envía por correo electrónico o cualquier aplicación de mensajería. No instale nunca un «complemento especial» (que simula ser legítimo) para ver una web correctamente o lanzar un archivo.

    A diferencia de los virus y gusanos, los rootkits no se propagan o multiplican por su cuenta. Normalmente, los rootkits son solo un componente de lo que se denomina una amenaza combinada, que consta de tres piezas de código: un dropper, un loader y un rootkit.

    Así es como funciona:

    Normalmente, un dropper requiere la intervención humana, como hacer clic en un enlace malicioso, que, a su vez, lanza un loader. Entonces el dropper se borra a sí mismo mientras el loader provoca el desbordamiento de búfer (lo que significa que guarda más datos en un área de almacenamiento temporal de los que esta puede contener). Esto carga el rootkit en la memoria del equipo, creando una puerta trasera que permite a los malos actores (nos referimos a los ciberdelincuentes, no a Nicolas Cage) modificar archivos del sistema para que no los detecte ni el usuario ni un software antivirus básico.

    Ahora que tienen acceso remoto al sistema operativo y pueden usar el equipo en el que se han infiltrado para spamming, pharming, ataques DDoS a gran escala o para robar datos confidenciales.

    Tipos de rootkits

    Los rootkits pueden ser persistentes o no persistentes. Lo primero significa que un rootkit puede activarse a sí mismo cada vez que se inicie el equipo. Lo segundo hace referencia a un rootkit que reside en memoria y deja de existir cuando el equipo se reinicia.

    Los rootkits pueden identificarse por el área del sistema que afectan y su habilidad para ocultarse.

    1. Rootkits de modo kernel operan en el núcleo de un sistema operativo (a nivel de kernel) y causa frecuentes bloqueos del sistema. A menudo, es así como el personal de soporte de Microsoft determina que un dispositivo ha sido infectado por un rootkit.

      El atacante explota el sistema del usuario cargando malware en el kernel, que luego intercepta llamadas del sistema o añade sus propios datos, filtrando cualquier dato devuelto por el malware que pueda activar su detección. El malware en el kernel puede usarse para cubrir las huellas y ocultar amenazas tanto dentro del kernel como en los componentes en modo de usuario. Es sigiloso.

    2. Rootkits de modo usuario Se inician como un programa normal durante el inicio del sistema o son inyectadas en el mismo mediante un dropper. Proporcionan funcionalidades a los rootkits de modo kernel, como enmascaramiento y deshabilitar el acceso a archivos, pero operan a nivel de usuario. Los rootkits de modo usuario no se ocultan tanto como los de modo kernel, pero dada su simplicidad de implementación, están mucho más extendidos.

      Los rootkits en modo usuario son populares entre el malware financiero. Carberp, una de las variedades de malware financiero, fue desarrollado para robar credenciales bancarias y datos confidenciales de sus víctimas. ¡Sea cuidadoso con los correos electrónicos de spam que dicen ser recordatorios de pago o facturas!

    3. Rootkits híbridos combinan características del modo de usuario y del modo kernel. Este enfoque es uno de los más populares entre los hackers a causa de su alta tasa de éxito en introducirse en los equipos.

    4. Rootkits del gestor de arranque apuntan a los cimientos de su equipo infectando el registro de arranque maestro, una parte fundamental que indica a su equipo cómo cargar el sistema operativo.

    5. Rootkits de firmware pueden ocultarse en el firmware, como un microprocesador o un router, cuando el equipo se apaga. Luego, al reiniciarse el equipo, el rootkit se reinstala.

    6. Rootkits en una máquina virtual transportan un sistema operativo a un entorno virtual para que el rootkit, junto con ese entorno virtual, no pueda ser descubierto o sea extremadamente difícil de detectar. Un rootkit en una máquina virtual (VMBR) se carga a sí mismo bajo el sistema operativo existente, luego lo ejecuta como una máquina virtual. De esta forma, un VMBR puede permanecer sin ser detectado a menos que se utilicen herramientas especiales para buscarlo. Da vueltas y vueltas.

    Sony BMG’s infamous rootkit became a cultural phenomenon as a punchline in comic strips like Foxtrot.Fuente de imagen: https://hyperbear.blogspot.com

    Rootkits infames en la historia

    • El primer caso de un rootkit documentado fue escrito por Stevens Dake y Lane Davis en 1990 en nombre de Sun Microsystems para SunOS Unix OS.

    • En 2005, cuando los CD se encontraban aún en boga, Sony BMG Music Entertainment instaló rootkits en secreto en millones de discos de música para evitar que los compradores realizaran copias en sus PC e informar a la compañía sobre lo que hacían sus clientes. El rootkit, indetectable por los antivirus y antispyware, abriendo las compuertas para que otro malware se infiltrara en Windows sin ser visto. Se convirtió en un fenómeno cultural como remate en tiras cómicas como Foxtrot y un logo personalizado en camisetas.

    • NTRootkit (2008) Uno de los primeros rootkits maliciosos para Windows NT. Diferentes versiones hacen cosas diferentes. Uno captura las pulsaciones del teclado, lo que permite a los hackers acceder a datos como nombres de usuario y contraseñas para acceder a ciertos servicios.

    • Machiavelli (2009) Primer rootkit para Mac OS X. Crea llamadas del sistema ocultas e hilos del kernel.

    • Greek Watergate (2004-2005). Un rootkit desarrollado para las centrales telefónicas Ericsson AXE en la red griega de Vodafone, para realizar escuchas de los teléfonos de miembros de Gobierno griego.

    • Zeus (2007) Zeus es un caballo de Troya que roba credenciales, un rootkit que roba información bancaria registrando las pulsaciones del teclado y captura de formularios usando un intermediario en el navegador.

    • Stuxnet (2010) El primer rootkit conocido dirigido contra un sistema de control industrial.

    • Flame (2012)Este malware ataca a equipos con Windows y puede registrar la actividad del teclado, capturas de pantalla, audio, tráfico de red y más.

    He aquí una historia curiosa: Ganar 16,5 millones de dólares puede ser un gran golpe de suerte, ¿verdad? Otra cosa es que el jefe de seguridad de la Asociación de Lotería Multiestatal amañara la lotería. Eddie Tipton confesó haber creado un programa simple (un rootkit) llamado Quantum Vision Random Number Generator, copiado en parte de una fuente de Internet, que condujo a innumerables ganancias fraudulentas de lotería para él, sus amigos, familiares e incluso gente que conoció. Fue tan simple como insertar una memoria USB en la habitación donde se extraen los números de lotería. Hizo falta una década de investigaciones y un detective experto en informática para atrapar al ladrón.

    Cómo protegerse contra los rootkits

    A pesar de que algunos rootkit son sigilosos e insidiosos, existen formas de evitarlos. A menudo, la estrategia para evitar los rootkits es practicar hábitos saludables, que nos protegerán contra todo tipo de amenazas:

    • No abra adjuntos de correo electrónico de remitentes desconocidos 

    • No descargue archivos desconocidos

    • Asegúrese de que su sistema esté correctamente parcheado contra las vulnerabilidades conocidas

    • Permanezca vigilante al instalar software, asegúrese de que es legítimo y de que no existen señales de alerta en el EULA (Acuerdo de Licencia de Usuario Final)

    • Use unidades externas y memorias USB con precaución

    Además de los consejos de sentido común anteriores, puede montar una defensa aún mayor contra rootkits instalando un antivirus robusto. Sin embargo, algunos antivirus no son lo suficientemente sólidos para detectarlos, AVG AntiVirus FREE encontrará y eliminará incluso los rootkits más insidiosos y profundamente ocultos, a un precio tan bajo como... gratis.

    Proteja su iPhone de amenazas con AVG Mobile Security

    Instalación gratis

    Proteja su dispositivo Android de amenazas con AVG AntiVirus

    Instalación gratis
    Amenazas
    Seguridad
    AVG Signal Team
    30-01-2020