academy
Seguridad
Privacidad
Rendimiento
Seleccione el idioma
Avast Academy Seguridad Otras amenazas Rootkits: qué hacen, cómo funcionan y cómo eliminarlos

Rootkits: qué hacen, cómo funcionan y cómo eliminarlos

El rootkit es un sigiloso y peligroso tipo de malware que permite a los hackers acceder a su equipo sin su conocimiento. Aprenda cómo puede detectar estos programas casi invisibles con un analizador de rootkits, y cómo utilizar una herramienta antirootkit para eliminarlos de su dispositivo de una vez para siempre.

Rootkit-Hero

¿Qué es un rootkit?

Un rootkit es un paquete de software diseñado para permanecer oculto en su equipo mientras proporciona acceso y control remotos. Los hackers utilizan los rootkits para manipular un equipo sin el conocimiento ni el consentimiento del propietario.

Hamburguer menu icon

Este artículo contiene:

    Para definir qué es un rootkit, podemos descomponer la palabra. La primera parte, «root» (raíz), se refiere a la cuenta de administrador de un dispositivo. Dado que esta cuenta puede acceder a todos los aspectos del dispositivo y dispone de todos los privilegios, disfruta del nivel de control más profundo, como las raíces de una planta. Los rootkits permiten al hacker «echar raíces» en el sistema, como un árbol en busca de nutrientes.

    La parte «kit» representa el modo en que se desbloquea este acceso root: mediante un paquete (kit) de software que concede al hacker el control administrativo. El hacker crea un kit de software que le concede privilegios de nivel root sobre el sistema atacado.

    ¿Un rootkit es lo mismo que un virus?

    Los rootkits y los virus trabajan juntos con frecuencia, hasta el punto de que se reconoce un tipo de virus denominado «virus rootkit». Sin embargo, existe una clara distinción entre ambos. Los rootkits conceden acceso de nivel administrativo a un sistema, mientras que los virus se definen por su capacidad para modificar los archivos de un equipo con el fin de replicarse.

    Los hackers suelen propagar sus rootkits mediante troyanos, un tipo de malware que parece seguro, pero que en realidad intenta engañar al destinatario para que lo descargue o lo abra. Cuando lo hace, el troyano introduce el rootkit. Por este motivo, si no se protege contra todos los tipos de malware, básicamente está tendiendo una alfombra roja a los hackers y sus rootkits.

    Avast Free Antivirus proporciona una avanzada defensa contra malware e incluso lo protege de los troyanos que los ciberdelincuentes utilizan para propagar los rootkits. Ponga su confianza en la herramienta antivirus (y antirootkit) en la que confían más de 400 millones de personas.

    Vale, pero ¿el rootkit es malware?

    Los rootkits solo se clasifican como malware cuando se utilizan con propósitos siniestros o ilegales. Hay gente que opta por instalar rootkits en sus propios dispositivos como parte de un proceso conocido como «jailbreak», cuyo fin es evitar las restricciones integradas por un fabricante. En ocasiones, las autoridades y las agencias policiales emplean rootkits como parte de la investigación de actividades delictivas, algo que nosotros no consideraríamos un uso legítimo.

    «Stalkerware» es una nueva clasificación de malware que se refiere a rootkits que supervisan la actividad de alguien o controlan el contenido que consume. La publicidad del stalkerware se dirige con frecuencia a padres, empresas e incluso aquellos que quieren tener controladas a sus parejas. Tales prácticas son ilegales en muchos países.

    En sí mismo, un rootkit es simplemente una herramienta, pero, como sucede a menudo, que su uso sea legítimo o delictivo depende de lo que se haga con ella.

    ¿Qué hace un rootkit?

    Los rootkits hacen posible que otro malware se oculte en su dispositivo y pueden dificultar, incluso imposibilitar, la limpieza de la infección. Una vez que tiene un rootkit instalado en su dispositivo, le concede acceso remoto a prácticamente todas las funciones del sistema operativo, y además lo hace evitando su detección.

    Los rootkits operan en las profundidades de la programación de su equipo, desde donde son capaces de ocultar casi todo rastro de su existencia. Esta sutileza es, en buena medida, lo que los hace tan peligrosos. Algunos rootkits pueden incluso manipular o desactivar los programas de seguridad del equipo; esto dificulta mucho más su detección y eliminación.

    La mayoría de las veces, los ciberdelincuentes utilizan rootkits para robar información. Algunos hackers atacan a personas y utilizan rootkits con el fin de recabar datos personales para cometer robo de identidad o fraude. Otros van a por empresas, ya sea para espiarlas o para cometer delitos financieros.

    Los hackers pueden adaptar sus rootkits en función de lo que quieren conseguir. Algunos rootkits pueden crear en su sistema una «puerta trasera» permanente que queda abierta para que el hacker pueda regresar más adelante. Otros permiten a los hackers espiar el modo en que el usuario utiliza su equipo. Con estos rootkits, el hacker puede interceptar su tráfico de Internet, registrar las teclas que pulsa e incluso leer su correo electrónico.

    ¿Cómo puedo saber si mi equipo tiene un rootkit?

    Cuando un rootkit hace su trabajo adecuadamente, usted ni se da cuenta. Los hackers utilizan rootkits cuando quieren cometer sus ciberdelitos justo delante de sus narices sin que se dé cuenta. Si usted pudiera saber que tiene un rootkit instalado en su dispositivo, no sería de mucha utilidad para el hacker que lo puso ahí.

    Un analizador de rootkits es su mejor opción para detectarlos y eliminarlos. Una potente herramienta antimalware es el mejor modo de protegerse de rootkits y otras amenazas. Aparte de eso, hay otras formas de detectar la presencia de un rootkit en su dispositivo:

    • Su sistema actúa de forma extraña: Los rootkits permiten a los hackers manipular el sistema operativo de su equipo. Si su equipo parece estar haciendo algo que no debería, puede tratarse de un hacker que actúa por medio de un rootkit.

    • Análisis de firmas: Los ordenadores actúan mediante números. Todos los datos, todos los programas, todos los archivos, todo cuanto hay en su equipo, se almacena como una serie de números. La «firma» de un software es el conjunto de números que sirve como su representación, en argot informático. Puede analizar su equipo con una base de datos de firmas de rootkits conocidos para comprobar si se encuentra alguna de ellas.

    • Análisis del volcado de memoria: Cuando un equipo Windows se bloquea, genera lo que se conoce como un volcado de memoria o volcado de bloqueo. Un técnico habilidoso puede revisar este archivo para identificar el origen del bloqueo. Si la causa es un rootkit, este es un modo de averiguarlo.

    • Cambios en la configuración de Windows: En general, su equipo no debería estar haciendo cosas sin que se lo digan, y lo ideal es que sea usted quien decida lo que hace. El acceso remoto mediante un rootkit puede permitir a alguien trastear en sus ajustes y configuraciones. Si algo parece diferente, tal vez deba preocuparse.

    • Intermitencia en páginas web y actividades de red: Si su conexión a Internet empieza a fallar más de lo habitual, tal vez sea algo peor que un problema en el servicio. Si un hacker está utilizando un rootkit para enviar o recibir mucho tráfico desde su equipo, las actividades regulares de Internet podrían verse afectadas.

    • Búsqueda en la memoria del sistema: Su equipo utiliza la memoria del sistema para operar todos los programas y otros datos en uso. Puede rebuscar entre los contenidos de la memoria del sistema para ver si hay algo extraño. Compruebe todos los puntos de entrada en busca de señales de llamadas a procesos y rastree todas las llamadas a bibliotecas importadas desde las DLL. Algunas pueden estar enganchadas o redirigidas a otras funciones.

    Si todo esto le suena tedioso o complicado, es porque lo es. Ahórrese muchos dolores de cabeza utilizando una herramienta antimalware con un analizador de rootkits.

    Rootkits bury themselves deep into the root of your computer, avoiding detection.

    ¿De dónde provienen los rootkits? ¿Cómo se propagan?

    En el espectro de la movilidad del malware, los rootkits son del tipo menos autónomo. Al contrario que los gusanos y los virus, y al igual que los troyanos, los rootkits necesitan un poco de ayuda para llegar hasta su equipo.

    Los hackers empaquetan los rootkits junto con dos programas asociados, el «dropper» y el «loader», que colaboran para conseguir la instalación. Estos tres elementos de malware componen lo que se conoce como una «amenaza combinada». Vamos a analizarlos con más detalle:

    • Dropper: El trabajo del dropper es «soltar» (drop) o importar el rootkit en el equipo de la víctima. Más adelante veremos algunas de las técnicas más comunes que los hackers utilizan para colar los droppers en su dispositivo. El dropper es la primera fase en el proceso de instalación. Una vez que la víctima lo activa, el dropper activa a su vez a su compañero, el loader.

    • Loader: Cuando el dropper se ejecuta, el loader salta a la acción e instala el rootkit en el sistema de destino. A menudo lo hace provocando un desbordamiento de búfer. Este es un exploit habitual que permite a los hackers introducir su código en áreas por lo demás inaccesible de la memoria de un equipo.

    La dificultad para el ciberdelincuente es introducir el paquete de amenaza combinada en el equipo. Aquí hay algunas formas de superar este obstáculo:

    • Programas de mensajería: Si un hacker consigue introducir la amenaza combinada en un equipo y este tiene instalado un cliente de mensajería instantánea, la amenaza combinada puede secuestrar el cliente para propagarse. Enviará un mensaje con un vínculo malicioso a todos los contactos de la víctima y, cuando estos hagan clic en él, sus equipos quedarán igualmente infectados. Este tipo de ingeniería social ha demostrado ser un método muy eficaz de propagación de rootkits.

    • Fisgoneando en un software de confianza: Los hackers pueden insertar sus rootkits en programas y aplicaciones que parecen de confianza y, a continuación, cargar estas aplicaciones envenenadas en distintos portales de descarga. Cuando alguien instala la aplicación infectada, instala también sin saberlo el rootkit.

    • Junto a otro malware: Pueden utilizarse virus y troyanos como propagadores de rootkits, ya que son muy eficaces a la hora de colarse en su equipo. Cuando ejecuta el programa que contiene el virus, o cuando ejecuta el troyano, el rootkit se instala en su dispositivo.

    • Archivos con contenido enriquecido: Con la llegada de los archivos con contenido enriquecido, como los PDF, los hackers ya no necesitan utilizar sitios web o programas para ocultar su malware. Les basta con incrustar los rootkits en estos archivos. Cuando abre el archivo contaminado, el dropper del rootkit se ejecuta automáticamente.

    ¿Qué tipos de rootkit existen?

    Los expertos en seguridad dividen los rootkits en seis categorías, basadas principalmente en la parte del equipo infectada y la profundidad de la infección.

    Rootkits de modo de usuario

    Un rootkit de este tipo infecta la cuenta de administrador de su sistema operativo. Esta posición le concede los privilegios de máximo nivel que necesita para cambiar los protocolos de seguridad del equipo, y a la vez se oculta a sí mismo y oculta cualquier otro malware que utilice. Los rootkits de modo de usuario se inician automáticamente cada vez que arranca el equipo, así que un simple reinicio no basta para limpiar la infección.

    Los programas antimalware pueden detectar los rootkits de modo de usuario, ya que el software de detección se ejecuta en un nivel más profundo, conocido como kernel.

    Rootkits de modo kernel

    Como respuesta a los analizadores de rootkits en el nivel de kernel, los hackers crearon los rootkits de modo kernel. Residen en el mismo nivel del equipo que el propio sistema operativo y, por tanto, comprometen dicho sistema por completo. Por decirlo llanamente, si se infecta con un rootkit de modo kernel, ya no hay nada en su equipo de lo que pueda fiarse: todo está potencialmente contaminado, incluidos los resultados de cualquier análisis antirootkit.

    Por fortuna, es muy difícil crear un rootkit de modo kernel que pueda operar sin causar problemas perceptibles para la víctima. Los bloqueos del sistema frecuentes y otros problemas de funcionamiento son un indicador de infección claro y fiable.

    Rootkits híbridos

    En vez de funcionar desde un único sitio, estos rootkits ponen algunos de sus componentes en el nivel de usuario y otros en el kernel. De este modo, los rootkits híbridos disfrutan de la estabilidad de los rootkits de modo de usuario, pero con el sigilo potenciado de sus primos del kernel. Como cabía imaginar, los rootkits híbridos de usuario/kernel son muy populares entre los ciberdelincuentes.

    Rootkits de firmware

    El firmware es un tipo de software de bajo nivel que se dedica a controlar un elemento hardware del equipo. Algunos rootkits tienen la capacidad añadida de ocultarse dentro del firmware cuando el usuario apaga el equipo. Cuando vuelve a encenderlo, un rootkit de este tipo es capaz de reinstalarse y volver al trabajo. Si un analizador consigue encontrarlo y desactivarlo mientras está en funcionamiento, el rootkit de firmware reaparecerá la próxima vez que encienda el equipo. Es bastante complicado purgar un sistema informático de esta clase de rootkit.

    Bootkits

    Cuando se enciende el equipo, este consulta el registro de arranque principal (MBR, por sus siglas en inglés) para obtener instrucciones acerca de cómo debe cargar el sistema operativo. Los bootkits, también conocidos como rootkits bootloader, son una variante de modo kernel que infecta el MBR de un equipo. Cada vez que el equipo consulta el MBR, el bootkit también se carga.

    A los programas antimalware les cuesta detectar los bootkits, como sucede con todos los rootkits de modo kernel, ya que el malware no reside en el sistema operativo. A estas alturas, los bootkits han quedado obsoletos porque tanto Windows 8 como Windows 10 los contrarrestan con la función de Arranque seguro.

    Rootkits virtuales

    Una máquina virtual hospedada en un equipo físico es una emulación basada en software de un equipo independiente. Las máquinas virtuales se utilizan a menudo para poder ejecutar varios sistemas operativos en un mismo hardware, o para probar programas en un entorno aislado.

    Los rootkits virtuales, o rootkits basados en máquinas virtuales (VMBR, por sus siglas en inglés), se cargan bajo el sistema operativo original y después ponen dicho sistema operativo en una máquina virtual. Dado que se ejecutan independientemente del sistema operativo del equipo, son muy difíciles de detectar.

    Ejemplos notables de rootkits

    La aparición de un nuevo rootkit se convierte de inmediato en un problema acuciante para la comunidad de la ciberseguridad. Como es tan difícil ocuparse de ellos, la llegada de un rootkit importante puede tener graves consecuencias. Echemos un vistazo a algunos de los rootkits más conocidos de la historia. Algunos fueron creados por hackers y otros, sorprendentemente, los idearon y utilizaron grandes corporaciones.

    • 1990: Lane Davis y Steven Dake crean el primer rootkit conocido en Sun Microsystems para el sistema operativo Unix SunOS.

    • 1999: Greg Hoglund publica un artículo donde detalla cómo creó un troyano denominado NTRootkit, el primer rootkit para Windows. Es un ejemplo de virus rootkit que funciona en modo kernel.

    • 2003: Aparece el rootkit HackerDefender para Windows 2000 y Windows XP, un rootkit de modo de usuario. La llegada de HackerDefender inició un enconado juego del gato y el ratón entre el malware y la herramienta antirootkit RootkitRevealer.

    • 2004: Se utiliza un rootkit para pinchar más de 100 teléfonos móviles de la red de Vodafone en Grecia, incluido el utilizado por el primer ministro, en un ataque que se llegaría a conocer como el Watergate griego.

    • 2005: Sony BMG se ve envuelta en un gran escándalo tras distribuir CD que instalan rootkits como herramienta antipiratería sin el consentimiento previo de los consumidores.

    • 2008: El bootkit TDL-4, entonces conocido como TDL-1, impulsa el infausto troyano Alureon, empleado para crear y mantener redes de robots.

    • 2009: La prueba de concepto de rootkit Machiavelli ataca macOS (entonces denominado Mac OS X); este hecho demuestra que los Mac también son vulnerables a los rootkits.

    • 2010: El gusano Stuxnet, presuntamente desarrollado por Estados Unidos e Israel, utiliza un rootkit para ocultar su presencia y es empleado contra el programa nuclear de Irán.

    • 2012: Se descubre un enorme malware modular de 20 MB conocido como Flame que siembra el caos en infraestructuras de Oriente Próximo y el norte de África. (Es comparativamente enorme, ya que la gran mayoría del malware ocupa menos de 1 MB). 

    • 2018: LoJax es el primer rootkit que infecta el UEFI de un equipo, el firmware que controla la placa base, lo que le permite sobrevivir incluso a la reinstalación del sistema operativo.

    A timeline of notable rootkits throughout history

    Contramedidas antirootkit

    Como la eliminación de rootkits supone un dolor de cabeza de tal calibre, la mejor táctica contra ellos es evitar que lleguen a instalarse. Practique hábitos inteligentes de seguridad en línea y habrá dado un paso de gigante para mantenerse libre de rootkits.

    Sea precavido con los archivos desconocidos que le envíen, incluso los de contactos de confianza, y confirme tales archivos con el contacto antes de abrirlos. Nunca abra archivos adjuntos a correos electrónicos de remitentes desconocidos.

    Obtenga su software de fuentes reputadas, directamente del fabricante, si es posible, o de las tiendas App Store o Google Play. Examine atentamente los términos y condiciones para asegurarse de que nadie intenta colarle un rootkit en el dispositivo.

    Instale las actualizaciones del sistema en cuanto estén disponibles. Estas actualizaciones suelen parchear vulnerabilidades descubiertas recientemente y los hackers podrían aprovechar estos agujeros para colarse en su dispositivo.

    No confíe únicamente en Windows Defender o en otro software de seguridad integrado en su dispositivo, ya que la mayoría de los rootkits puede subvertir fácilmente estas protecciones básicas. Para disfrutar de una protección completa, plantéese el uso de un software especializado.

    Protéjase con un software antirootkit

    No está solo en la lucha contra los rootkits. Avast, que cuenta con más de 400 millones de usuarios, lo defenderá de todo tipo de malware, incluidos los rootkits. Equípese con uno de los analizadores y eliminadores de rootkits más potentes de Internet, absolutamente gratuito, instalando Avast Free Antivirus.

    Proteja su iPhone frente a amenazas
    gratis con Avast Mobile Security

    INSTALACIÓN GRATUITA

    Proteja su Android frente a amenazas
    gratis con Avast Mobile Security

    INSTALACIÓN GRATUITA