Los rootkits se encuentran entre los programas de malware más siniestros que existen. Un rootkit se define por infestar las partes más profundas del sistema del equipo («root») para obtener el control total y permitir el acceso remoto. Descubra cómo detectar los rootkits y cómo un software de seguridad especializado puede ayudarle a proteger sus dispositivos.
Un rootkit es una aplicación que se oculta en lo más profundo de su sistema de archivos y da a otra persona acceso total a su equipo sin que usted lo sepa. Los rootkits se ocultan en las capas más inferiores del sistema operativo, lo que los hace casi indetectables para los análisis antimalware comunes.
¿De dónde viene el nombre y la definición de «rootkit»? En los sistemas operativos Unix y Linux, la cuenta con plenos poderes con privilegios y acceso sin restricciones (similar a la cuenta de administrador en Windows) se denomina «root». Por lo tanto, un rootkit es un kit que concede acceso con privilegios a un equipo o dispositivo móvil. Permite a otra persona controlar su dispositivo de forma remota sin que usted lo sepa.
Los rootkits dan a los hackers acceso remoto a su equipo, lo que les permite tomar el control de su sistema y extraer toda la información posible. Con un rootkit, un hacker puede robar datos personales e información financiera, instalar malware o conectar el equipo a un botnet para hacer circular spam o participar en ataques DDoS (denegación de servicio distribuido).
Un rootkit no es un virus porque un virus propaga réplicas de sí mismo para causar daños en un sistema. Un rootkit no se replica a sí mismo; puede robar información y tomar el control sin intención de hacer daño.
Aunque un rootkit no es un virus, puede utilizar una aplicación antivirus que le ayude a detectarlos y bloquearlos. Instale AVG AntiVirus FREE como primera línea de defensa contra rootkits maliciosos y muchos otros tipos de amenazas maliciosas.
En efecto, un rootkit es un tipo de malware (abreviatura de «software malicioso») diseñado para mantener un acceso administrativo con privilegios a un sistema. Los rootkits suelen utilizarse para llevar a cabo otras actividades maliciosas, como robar datos, dañar un equipo, exigir un rescate o agotar recursos.
Otros ejemplos de malware son los virus, los troyanos, el spyware, los gusanos y el ransomware. Al igual que estos tipos de malware, los rootkits a menudo deben eliminarse manualmente.
Los rootkits proceden de archivos maliciosos que la víctima descarga inadvertidamente al hacer clic en un archivo infectado. Estos archivos contienen instrucciones ocultas que realizan cambios en el equipo. Un archivo infectado puede modificar el kernel (la parte más profunda del sistema operativo) e introducir allí un rootkit.
Un rootkit suele infiltrarse en el sistema operativo como parte de una amenaza combinada que contiene tres fragmentos de código malicioso: un dropper, un loader y el rootkit. Estos tres componentes dan a un atacante remoto acceso al PC sin que lo sepa el usuario.
A continuación, se explica en detalle cómo un rootkit consigue introducirse en un equipo:
El usuario hace clic en un vínculo infectado.
El vínculo infectado puede estar en un correo electrónico extraño o en un sitio web infectado. Aunque el usuario no guarde el archivo, este se almacena en los archivos temporales e inicia el dropper.
Hay un script malicioso incrustado en el archivo.
El dropper ejecuta el código malicioso que elude las defensas de seguridad.
El script explota las vulnerabilidades del equipo.
El dropper activa el loader y después se elimina a sí mismo. El loader inserta el rootkit en el sistema, normalmente mediante el desbordamiento del búfer, un método de ejecución que consiste en sobrecargar el equipo con instrucciones para que superen el límite y, a continuación, hacer que las instrucciones se desborden en ubicaciones específicas.
El script inserta código malicioso en zonas confidenciales.
Parte de los datos desbordados «aterriza» en las áreas críticas del sistema operativo. El desbordamiento del búfer confunde al equipo y hace que cambie valores en puntos donde no debería, lo que crea una puerta trasera para la carga útil del rootkit.
El código malicioso concede acceso remoto.
El código del rootkit ejecuta acciones de administrador sin someterlas a las comprobaciones de seguridad habituales para cambiar los permisos y conceder acceso a un usuario remoto.
Un hacker infecta un equipo con un dropper, un loader y, en última instancia, un rootkit.
Estas son algunas de las formas en que suelen propagarse los rootkits:
Vínculos sospechosos en correos electrónicos de phishing
Un troyano u otro fragmento de malware discreto
Software dañado descargado de un sitio no oficial
Software malicioso infiltrado en descargas legítimas
Medios obtenidos de manera ilegal, como películas, PDF, libros electrónicos, etc.
Plugins o complementos de navegador anunciados para añadir funciones
Si mantiene unos buenos hábitos digitales al descargar e instalar software o abrir archivos adjuntos, los rootkits no podrán infiltrarse en su equipo. Como siempre, una de las mejores defensas es el sentido común.
Ejecutar un análisis al arranque, como el de la herramienta de análisis de rootkits de AVG, es una forma eficaz de detectar rootkits. Estos análisis buscan rootkits y otro malware antes de que el sistema operativo se cargue por completo. Si observa cambios inusuales en el sistema o un aumento inexplicable del tráfico de red, puede ser conveniente realizar un análisis para comprobar si un rootkit ha infectado el equipo.
En ocasiones, los rootkits pueden eludir la detección, en particular, manteniéndose invisibles a las herramientas antimalware básicas incorporadas. Esto se debe a que los rootkits están diseñados para cambiar las funciones de seguridad fundamentales integradas en el software del equipo.
En este caso, también puede ser necesario un análisis de volcado de memoria. Un volcado de memoria es una instantánea de todos los datos que el equipo utiliza en ese momento y su análisis puede revelar comportamientos extraños, como señales de un rootkit.
Los rootkits saben cómo ocultarse bien. Por lo tanto, a veces hay que buscar señales y decidir si efectuar o no un análisis de volcado de memoria.
Estas son algunas de las señales que denotan la presencia de un rootkit:
Mensajes de error de Windows o pantallas azules frecuentes
Constantes indicaciones para reiniciar el PC
Comportamiento inusual del navegador web, como el redireccionamiento de vínculos de Google
Marcadores no reconocidos
Lentitud del equipo
Bloqueos del dispositivo o comportamiento extraño del ratón o el teclado
Mal funcionamiento de páginas web o de la actividad de la red debido a un tráfico de red excesivo
Cambios aleatorios en la configuración de Windows sin su permiso
Antes de sospechar de un rootkit y realizar análisis innecesarios, conviene descartar que el disco duro esté averiado, que el sistema de archivos esté abarrotado y que el equipo esté infectado con otro malware. Si sigue teniendo problemas, puede que tenga un rootkit después de todo.
Normalmente se necesita una herramienta especializada para eliminar un rootkit. Dado que un rootkit pone en riesgo el sistema operativo, no debería confiar en las funciones de seguridad integradas para eliminarlo. Necesitará un software de seguridad de terceros con capacidad para penetrar donde esté instalado el rootkit.
El software antivirus se basa en «firmas», patrones conocidos de comportamiento que indican la presencia de malware. Estos se actualizan constantemente a medida que surge información nueva sobre virus, por lo que recomendamos analizarlos con regularidad. Tenga en cuenta que un análisis de rootkits suele llevar más tiempo que un análisis de malware normal y que no podrá utilizar el equipo mientras se realiza el análisis.
A continuación, se explica cómo eliminar un rootkit de su PC:
Instale un antivirus de confianza, como AVG Antivirus FREE, que incluye una función de análisis de rootkits y una herramienta de eliminación.
Ejecute un análisis al arranque para buscar rootkits antes de que el sistema operativo Windows pueda cargarse.
Siga las instrucciones que aparecen en la pantalla para iniciar el proceso de eliminación del rootkit.
Si el antivirus no elimina el rootkit por completo, puede volver a formatear el disco duro. Eso implica borrar todo lo que haya en el disco duro, así que considérelo un último recurso y antes haga una copia de seguridad de todo. En casos muy excepcionales, el rootkit permanece en la BIOS se haga lo que se haga. Consulte a un experto en este caso.
Los tipos de rootkit difieren en cuanto al nivel de acceso al sistema, las áreas del sistema a las que afectan y lo bien que se ocultan de la detección. A continuación, se resumen los tipos comunes de rootkits y cómo se diferencian unos de otros:
Los rootkits de modo kernel operan en el núcleo de un sistema operativo (en el kernel) y provocan que el sistema se bloquee frecuentemente. A menudo es así como el personal de soporte de Microsoft determina que el dispositivo de una víctima está infectado con un rootkit.
El atacante introduce un exploit en el sistema del usuario cargando malware en el kernel, que luego intercepta las llamadas del sistema o añade sus propios datos, y filtra los datos devueltos por el malware que puedan activar su detección. El malware basado en el kernel puede utilizarse para cubrir huellas y ocultar amenazas dentro del kernel y en componentes del modo usuario.
Los rootkits de modo usuario se inician como un programa de la manera normal durante el arranque del sistema o se inyectan en el sistema con un dropper. Ofrecen funcionalidades similares a las de los rootkits de modo kernel, como enmascarar y deshabilitar el acceso a archivos, pero operan en el nivel de usuario. Los rootkits de modo usuario no son tan sigilosos como los de modo kernel, pero están mucho más extendidos porque son muy fáciles de implementar.
Los rootkits de modo usuario son populares en el malware financiero. Carberp, una de las cepas de malware financiero más replicadas debido a que se filtró su código fuente en internet, se desarrolló para robar las credenciales bancarias en línea y datos confidenciales de las víctimas. Tenga cuidado con los correos no deseados que se hacen pasar por recordatorios de pago o facturas.
Los rootkits híbridos combinan las características del modo usuario y del modo kernel. Este enfoque es uno de los rootkits más populares entre los hackers debido a su elevado índice de éxito al infiltrarse en equipos.
Los rootkits del gestor de arranque apuntan a los cimientos de su equipo infectando el registro de arranque maestro, una parte fundamental que indica a su equipo cómo cargar el sistema operativo.
Los rootkits de firmware son un tipo sofisticado de malware que puede ocultarse en el firmware, como un microprocesador o un router, cuando el equipo se apaga. Después, cuando el equipo se reinicia, el rootkit se reinstala.
Los rootkits basados en máquinas virtuales transportan un sistema operativo a un entorno virtual para que el rootkit, junto con el entorno virtual, no se pueda descubrir o sea extremadamente difícil de detectar. Un rootkit basado en una máquina virtual (VMBR) se carga a sí mismo por debajo del sistema operativo; a continuación, ejecuta el sistema operativo como una máquina virtual. De esta forma, un VMBR pasa inadvertido a menos que se utilicen herramientas especiales para buscarlo.
Un rootkit de aplicación modifica los archivos normales y solo se activa cuando se ejecuta una aplicación determinada. Aparentemente, la aplicación sigue funcionando con normalidad. En segundo plano, el rootkit ha obtenido los permisos del dispositivo, lo que permite a otra persona hacer lo que quiera en el equipo.
Los rootkits de memoria se instalan en la RAM, que se borra cada vez que se reinicia el equipo. Por lo tanto, estos rootkits solo son útiles durante un breve período. No obstante, tienen la misma capacidad para ocultarse y causar estragos. Pueden utilizarse para agotar recursos y propagar malware como parte de un botnet.
Estos son varios ejemplos comunes de ataques de rootkits, desde el nacimiento de los rootkits como malware hasta nuestros días:
El primer rootkit (1990): el primer caso documentado de un rootkit lo redactadaron Stevens Dake y Lane Davis en nombre de Sun Microsystems para SunOS Unix OS.
Greek Watergate (2004-2005): un rootkit que infectó las centrales telefónicas Ericsson AXE de la red griega de Vodafone. Su objetivo era intervenir los teléfonos de funcionarios del gobierno griego y altos cargos de la administración pública.
Rootkit de Sony BMG de protección contra las copias (2005): Sony BMG instaló rootkits en secreto en millones de CD para evitar que los compradores grabaran copias de CD e informar a la empresa de lo que hacían estos clientes. También abrió involuntariamente las puertas para que otros programas de malware se infiltraran en los PC con Windows pasando inadvertidos.
Zeus (2007): Zeus es un troyano que roba credenciales, un rootkit que roba información bancaria registrando las pulsaciones del teclado y capturando formularios del navegador.
NTRootkit (2008): uno de los primeros rootkits maliciosos para Windows. NTRootkit tiene varias versiones que actúan de manera diferente. Un tipo captura las pulsaciones del teclado, lo que ayuda a los hackers a robar nombres de usuario y contraseñas para acceder a servicios con información confidencial.
Machiavelli (2009): Machiavelli fue el primer rootkit para mac OS X. Crea llamadas al sistema e hilos del kernel ocultos.
Stuxnet (2010): Stuxnet fue el primer rootkit conocido dirigido contra un sistema de control industrial.
Flame (2012): el malware Flame ataca a equipos con Windows y puede registrar la actividad del teclado, capturas de pantalla, audio, tráfico de red y más.
LoJax (2018): LoJax es un rootkit de firmware que puede permanecer en un sistema incluso después de reinstalar Windows y formatear el disco duro.
Scranos (2019): este rootkit tiene como objetivo la información personal de la víctima y es capaz de extraer métodos de pago del navegador. Scranos también utiliza los recursos del equipo para conseguir clics y generar artificialmente recuentos de visitas en los vídeos de YouTube como forma de ganar dinero.
CosmicStrand (2022): este rootkit de firmware es tan difícil de detectar que los expertos en ciberseguridad no están seguros de cómo se introdujo por primera vez en un equipo. Incluso puede haber versiones de CosmicStrand que aún no se han encontrado. Se ha utilizado sobre todo contra objetivos destacados, no contra el usuario medio de un equipo.
BlackLotus (2022): BlackLotus surgió en 2022 y era capaz de burlar versiones totalmente parcheadas de Windows 11 y su función Arranque seguro.
Cronología de algunos de los ataques de rootkits más conocidos.
Para contribuir a protegerse contra los rootkits, utilice un software antivirus potente y siga los principios de seguridad de los sitios web. El sentido común en internet es algo que se desarrolla con el tiempo. Hasta entonces, hay una serie de reglas generales que pueden ayudarle a protegerse contra los rootkits y otras amenazas maliciosas:
No abra archivos adjuntos de correos electrónicos de remitentes desconocidos.
No descargue archivos desconocidos ni haga clic en vínculos sospechosos.
Asegúrese de que el software de su sistema está correctamente parcheado contra las vulnerabilidades conocidas instalando las actualizaciones de software disponibles.
Descargue e instale el nuevo software con precaución. Asegúrese de que sea legítimo y de que no haya señales de alarma en el acuerdo de licencia para el usuario final.
Utilice las unidades externas y memorias USB con precaución. No inserte unidades desconocidas.
Analice su sistema con regularidad en busca de malware.
Descargue aplicaciones y software solo de fuentes de confianza, sitios web oficiales y tiendas de aplicaciones autorizadas.
Vigile si se producen cambios inusuales de rendimiento.
Las estrategias para contribuir a evitar los rootkits son también hábitos sensatos que contribuirán a proteger su vida digital. Puede establecer una defensa aún más fuerte contra los rootkits instalando un buen antivirus como AVG AntiVirus FREE.
AVG AntiVirus FREE analiza todo el sistema en busca de malware, desde el navegador hasta las raíces del sistema operativo. Es más, le ayudará a buscar y eliminar algunos de los programas de malware más perniciosos y profundamente incrustados en su dispositivo. Y por supuesto, le proporcionará una protección avanzada para procurar evitar que un rootkit infecte su equipo.
Privacidad | Informar de una vulnerabilidad | Contactar con seguridad | Contratos de licencia | Declaración sobre la esclavitud moderna | Cookies | Declaración de accesibilidad | No vender mi información | | Todas las marcas comerciales de terceros son propiedad de sus respectivos propietarios.
