Proteja su red Wi-Fi y sus datos personales con Avast Mobile Security
- Seguridad
- Privacidad
- Rendimiento
Un rootkit es un sigiloso y peligroso tipo de malware que permite a los hackers acceder a su equipo sin su conocimiento. Afortunadamente, incluso estos fragmentos de software casi invisibles pueden ser encontrados y eliminados. Obtenga información sobre los diferentes tipos de rootkits, cómo detectarlos y cómo eliminarlos de su dispositivo con un analizador de rootkits inteligente como Avast Free Antivirus.
Un rootkit es un paquete de software malicioso diseñado para permitir el acceso no autorizado a un equipo o a otro software. Los rootkits son difíciles de detectar y pueden ocultar su presencia en un sistema infectado. Los hackers usan este tipo de malware para acceder de forma remota a su equipo, manipularlo y robar datos.
Este artículo contiene:
Cuando un rootkit se arraiga en el sistema, este se comporta como un equipo zombi y el hacker puede usar el acceso remoto para ejercer un control absoluto de su dispositivo. Esta parte de la definición de rootkit es la que les otorga tanto poder.
De la misma manera que el malware sin archivos usa programas legítimos sin dejar rastro, los rootkits también pueden parecer legítimos, porque el hacker tiene acceso con privilegios a los archivos y procesos del sistema. Los rootkits hacen que su equipo le mienta a usted y, a veces, también al antivirus y al software de seguridad.
Los rootkits permiten que el código malicioso se esconda en su dispositivo. Cuando un rootkit ataca su equipo, autoriza el acceso remoto de administrador a su sistema operativo, a la vez que evita ser detectado.
¿Qué modifica un rootkit? Como la finalidad de un rootkit es conseguir un acceso privilegiado y a nivel de administrador al sistema de su equipo, un rootkit puede realizar las mismas modificaciones que un administrador. A continuación, se muestra una breve lista de lo que puede hacer o modificar un rootkit.
Ocultar malware: Los rootkits esconden otros tipos de malware en su dispositivo y dificultan su eliminación.
Obtener acceso remoto: Los rootkits proporcionan acceso remoto a su sistema operativo, a la vez que evitan ser detectados. Las instalaciones de rootkits se asocian cada vez más a las estafas de acceso remoto.
Manipular o desactivar programas de seguridad: Algunos rootkits pueden ocultarse ante los programas de seguridad de su equipo o apagarlos del todo, por lo que dificultan la detección y eliminación del malware.
Robar datos: La mayoría de las veces, los ciberdelincuentes utilizan rootkits para robar datos. Algunos hackers atacan a personas y recaban datos personales para cometer robo de identidad o fraude. Otros van a por empresas, ya sea para espiarlas o para cometer delitos financieros.
Crear una «puerta trasera» permanente: Algunos rootkits pueden crear en su sistema una puerta trasera de ciberseguridad que queda abierta para que el hacker pueda regresar más adelante.
Espiarle: Los rootkits pueden usarse como herramientas de seguimiento que permiten que los hackers le espíen.
Invadir su privacidad: Con un rootkit, un hacker puede interceptar su tráfico de Internet, registrar las teclas que pulsa e incluso leer su correo electrónico.
No es fácil eliminar un rootkit. Como se ocultan en lo más profundo de su sistema operativo, su presencia es difícil de detectar. Sin embargo, cuando sabe que tiene uno, curar la infección rootkit de su equipo zombi es de vital importancia.
No confíe en Windows Defender o en otro software de seguridad integrado, ya que la mayoría de los rootkits pueden subvertir las protecciones básicas. Para obtener una protección completa, use software especializado como Avast Free Antivirus. Avast combina la red de detección de amenazas más grande del mundo y una protección contra el malware basada en el aprendizaje automático en una única herramienta ligera que puede detectar y eliminar rootkits.
Avast Free Antivirus sabe cómo eliminar los virus rootkit y cómo evitar que vuelvan. Así que antes de que los hackers roben sus datos u obtengan acceso privilegiado a su equipo, deje que Avast los expulse de su vida para siempre.
El malware moderno usa técnicas sofisticadas para evitar ser detectado por los productos de antivirus. Una vez que se ejecuta el sistema operativo, los rootkits presentes en el dispositivo pueden burlar los análisis automáticos del antivirus.
Si un antivirus le solicita al sistema operativo que abra un archivo de malware en concreto, el rootkit puede cambiar el flujo de información y abrir un archivo inofensivo en su lugar. También pueden cambiar el código de enumeración de un archivo de malware, utilizado para almacenar y compartir información sobre el malware, lo que evitaría que se incluyera en un análisis.
Es por eso que un análisis al arranque, como el que se incluye en Avast Free Antivirus, es tan útil. Los análisis al arranque se ejecutan durante el proceso de inicio de su equipo y atrapan a los rootkits antes de que actúen. La ventaja del análisis al arranque es que normalmente el rootkit se encontrará aún en un estado inactivo y no podrá ocultarse en su sistema.
Si el antivirus y el análisis al arranque no son capaces de eliminar el rootkit, intente hacer una copia de seguridad de sus datos, borrar su dispositivo y realizar una instalación limpia. A veces esta es la única solución cuando el rootkit opera a nivel de arranque, firmware o hipervisor.
Para empezar, debe saber cómo formatear un disco duro y clonar un disco duro para hacer una copia de seguridad de sus archivos importantes. Es posible que deba borrar el disco C: principal, pero aún puede conservar la mayoría de sus datos. Este es el último recurso para eliminar un rootkit.
El mejor método para eliminar un virus rootkit es evitar tener que eliminarlo. Hay acciones que puede realizar ahora mismo para evitar la temida pregunta de cómo eliminar un rootkit. Practique hábitos inteligentes de seguridad en línea y estará mucho más cerca de mantenerse libre de rootkits.
Recele de los archivos desconocidos: Debería revisar con atención incluso los archivos que le envían los contactos de confianza antes de abrirlos. Nunca abra los archivos adjuntos de remitentes desconocidos, podrían ser ataques de phishing.
Obtenga el software de fuentes reputadas: Lo ideal es obtenerlo directamente del fabricante o desde las tiendas App Store o Google Play. Examine atentamente los términos y condiciones para asegurarse de que nadie intenta colarle un rootkit en el dispositivo.
Instale las actualizaciones del sistema de inmediato: Estas actualizaciones suelen parchear vulnerabilidades descubiertas recientemente que los hackers pueden aprovechar para colarse en su dispositivo.
Cuando un rootkit hace su trabajo adecuadamente, usted ni se da cuenta. La mejor manera de encontrar y detectar rootkits es con una herramienta de análisis y eliminación de rootkits como Avast Free Antivirus. Esta herramienta de análisis de rootkits gratuita encuentra y elimina los rootkits instalados en su dispositivo y, además, evita que se instalen en un futuro.
Para los que prefieren hacerlo ellos mismos, tenemos consejos alternativos sobre cómo encontrar un rootkit. No será tan fácil como escoger el mejor software de antivirus gratuito y, aunque encuentre el rootkit usted mismo, es posible que no pueda eliminarlo, pero estamos aquí para ayudarle.
Las siguientes señales de alerta pueden indicar la presencia de un rootkit en su dispositivo:
Su sistema actúa de forma extraña: Los rootkits permiten a los hackers manipular el sistema operativo de su equipo. Si su equipo actúa de forma extraña, es posible que sea obra de un hacker a través de un rootkit.
Cambio en la configuración: En general, su equipo no debería hacer cosas sin que se lo digan, y lo ideal es que sea usted quien decida lo que hace. El acceso remoto mediante un rootkit puede permitir a alguien trastear en sus ajustes y configuraciones. Si algo parece diferente, tal vez deba preocuparse.
Intermitencia en páginas web y actividades de red: Si su conexión a Internet empieza a fallar más de lo habitual, tal vez sea algo peor que un problema en el servicio. Si un hacker está utilizando un rootkit para enviar o recibir mucho tráfico desde su equipo, su conexión a Internet podría verse afectada.
Si sospecha que su equipo se ha infectado, las siguientes técnicas podrían ayudarle a encontrar el rootkit:
Análisis de firmas: Los ordenadores actúan con números. La firma de un software es el conjunto de números que sirve como su representación, en argot informático. Puede analizar su equipo con una base de datos de firmas de rootkits conocidos para comprobar si se encuentra alguna de ellas.
Análisis del volcado de memoria: Cuando un equipo Windows se bloquea, genera un archivo llamado volcado de memoria o volcado de bloqueo. Un técnico experimentado puede examinar este archivo para identificar el origen del bloqueo y ver si fue causado por un rootkit.
Búsqueda en la memoria del sistema: Rebusque entre la memoria del sistema de su equipo para ver si hay algo extraño. Compruebe todos los puntos de entrada (acceso) en busca de señales de llamadas a procesos y rastree todas las llamadas a bibliotecas importadas desde las bibliotecas de vínculos dinámicos (DLL, por sus siglas en inglés). Algunas pueden estar enganchadas o redirigidas a otras funciones.
A diferencia de los gusanos informáticos y los virus, pero de una forma similar al malware de tipo troyano, las infecciones rootkit necesitan ayuda para instalarse en su equipo.
Los hackers empaquetan los rootkits junto con dos programas asociados, el dropper y el loader, que colaboran para instalar el rootkit. Estos tres elementos de malware componen una amenaza combinada. Vamos a analizar con más detalle las herramientas utilizadas por los rootkits para instalarse:
Dropper: El «dropper» importa el rootkit en el equipo de la víctima. El dropper es la primera fase en el proceso de instalación. Una vez que la víctima lo activa, el «dropper» activa a su vez el «loader».
Loader: Cuando el dropper se ejecuta, el loader salta a la acción e instala el rootkit en el sistema de destino. A menudo lo hace provocando un desbordamiento de búfer. Este es un exploit habitual que permite a los hackers introducir su código en áreas por lo demás inaccesibles de la memoria de un equipo.
Los rootkits incluyen un «dropper» y un «loader» que funcionan juntos para realizar un ataque.
La dificultad para el ciberdelincuente es introducir el paquete de amenaza combinada. A continuación, se detallan algunas de las estrategias que pueden utilizar los hackers para hacer esto e instalar un rootkit en su equipo:
Secuestrar los programas de mensajería: Una amenaza combinada puede secuestrar los clientes de mensajería instantánea y propagarse entre los contactos de la víctima. Cuando los destinatarios hacen clic en el enlace malicioso del mensaje, sus equipos se infectan también. Este tipo de ataque de ingeniería social es un método muy eficaz para propagar los rootkits.
Fisgonear en un software de confianza: Los hackers pueden insertar un rootkit de equipo en programas y aplicaciones que parecen de confianza y, a continuación, cargar estas aplicaciones envenenadas en distintos portales de descarga. Cuando alguien instala la aplicación infectada, instala también sin saberlo el rootkit.
Usar otro malware: Pueden utilizarse virus y troyanos como propagadores de rootkits, ya que son muy eficaces a la hora de colarse en su equipo. Cuando ejecuta el programa que contiene el virus, o cuando ejecuta el troyano, el rootkit se instala en su dispositivo.
Esconderse en archivos con contenido enriquecido: Con la llegada de los archivos con contenido enriquecido como los PDF, los hackers ya no necesitan esconder el malware en sitios web o programas. Les basta con incrustar los rootkits en estos archivos. Cuando abre el archivo contaminado, el dropper del rootkit se ejecuta automáticamente.
Los expertos en seguridad dividen los rootkits en seis categorías, basadas en la parte del equipo infectada y la profundidad de la infección.
Los rootkits de modo de usuario infectan la cuenta de administrador de su sistema operativo y obtienen los privilegios de máximo nivel necesarios para cambiar los protocolos de seguridad de su equipo, a la vez que se ocultan a sí mismos y ocultan cualquier otro malware que utilicen.
Estos rootkits se inician automáticamente cuando arranca el equipo, así que un simple reinicio no basta para limpiar la infección. Los programas de análisis y eliminación de malware como Avast Free Antivirus pueden detectar los rootkits de modo de usuario, ya que el software de detección de rootkits se ejecuta a un nivel más profundo, conocido como kernel.
Como respuesta a los analizadores de rootkits en el nivel de kernel, los hackers crearon los rootkits de modo kernel. Residen en el mismo nivel del equipo que el propio sistema operativo y, por tanto, comprometen dicho sistema por completo.
Cuando se infecta con un rootkit de modo kernel, ya no hay nada en su equipo de lo que pueda fiarse: todo está potencialmente contaminado, incluidos los resultados de cualquier análisis antirootkit. Por suerte, es muy difícil crear un rootkit de modo kernel que pueda operar sin causar bloqueos del sistema frecuentes y otros problemas de funcionamiento que revelen su presencia.
Los rootkits híbridos ponen algunos de sus componentes en el nivel de usuario y otros en el kernel. De este modo, un rootkit híbrido disfruta de la estabilidad de los rootkits de modo de usuario, pero con el sigilo potenciado de sus primos del kernel. Como cabía imaginar, los rootkits híbridos de usuario y kernel son muy populares entre los ciberdelincuentes.
El firmware es un tipo de software de bajo nivel que controla un elemento hardware del equipo. Algunos rootkits pueden esconderse en el firmware cuando apaga el equipo. Cuando vuelve a encenderlo, un rootkit de firmware es capaz de reinstalarse y volver al trabajo.
Si un analizador encuentra y desactiva un rootkit de firmware mientras está en funcionamiento, el rootkit reaparecerá la próxima vez que encienda el equipo. Es bastante complicado purgar un sistema informático de los rootkits de firmware.
Cuando se enciende el equipo, este consulta el registro de arranque principal (MBR, por sus siglas en inglés) para obtener instrucciones acerca de cómo debe cargar el sistema operativo. Los bootkits, también conocidos como rootkits bootloader, son una variante del rootkit de modo kernel que infecta el MBR de su equipo. Siempre que el equipo consulta el MBR, el bootkit también se carga.
A los programas antimalware les cuesta detectar los bootkits, como sucede con todos los rootkits de modo kernel, ya que no residen en el sistema operativo. Afortunadamente, los bootkits han quedado obsoletos porque tanto Windows 8 como Windows 10 los contrarrestan con la función de Arranque seguro.
Una máquina virtual es una emulación basada en software de un equipo independiente hospedada en un equipo físico. Las máquinas virtuales se utilizan para ejecutar varios sistemas operativos en una misma máquina, o para probar programas en un entorno aislado.
Los rootkits virtuales, o rootkits basados en máquinas virtuales (VMBR, por sus siglas en inglés), se cargan bajo el sistema operativo original y después ponen dicho sistema operativo en una máquina virtual. Dado que se ejecutan independientemente del sistema operativo del equipo, son muy difíciles de detectar.
Cuando aparece un nuevo rootkit, se convierte de inmediato en uno de los problemas más urgentes para la ciberseguridad. Echemos un vistazo a algunos de los ejemplos de rootkits más conocidos de la historia. Algunos fueron creados por hackers y otros, sorprendentemente, los idearon y utilizaron grandes corporaciones.
Cronología de algunos de los ejemplos más conocidos de ataques de rootkits.
1990: Lane Davis y Steven Dake crean el primer rootkit conocido en Sun Microsystems para el sistema operativo Unix SunOS.
1999: Greg Hoglund publica un artículo donde describe cómo creó un troyano denominado NTRootkit, el primer rootkit para Windows. Es un ejemplo de virus rootkit que funciona en modo kernel.
2003: El rootkit de modo de usuario HackerDefender aparece para Windows 2000 y Windows XP. La llegada de HackerDefender inició un juego del gato y el ratón entre el malware y la herramienta antirootkit RootkitRevealer.
2004: Se utiliza un rootkit para pinchar más de 100 teléfonos móviles de la red de Vodafone en Grecia, incluido el utilizado por el primer ministro, en un ataque que se llegaría a conocer como el Watergate griego.
2005: Sony BMG se ve envuelta en un gran escándalo tras distribuir CD que instalan rootkits como herramienta antipiratería sin el consentimiento previo de los consumidores.
2008: El bootkit TDL-4, entonces conocido como TDL-1, impulsa el infausto troyano Alureon, empleado para crear y mantener redes de robots.
2009: La prueba de concepto de rootkit Machiavelli ataca macOS (entonces denominado Mac OS X); este hecho demuestra que los Mac también son vulnerables al malware de tipo rootkit.
2010: El gusano Stuxnet, presuntamente desarrollado por Estados Unidos e Israel, utilizó un rootkit para ocultar su presencia y atacar el programa nuclear de Irán.
2012: Un malware modular de 20 MB conocido como Flame siembra el caos en infraestructuras de Oriente Próximo y el norte de África. (Es comparativamente enorme, ya que la gran mayoría del malware ocupa menos de 1 MB).
2018: LoJax es el primer rootkit que infecta el UEFI de un equipo, el firmware que controla la placa base, lo que le permite sobrevivir incluso a la reinstalación del sistema operativo.
2019: Este ataque reciente proviene de Scranos, un rootkit que roba las contraseñas y los datos de pago almacenados en su navegador. Además, convierte su equipo en una granja de clics para generar ingresos derivados de los vídeos y suscriptores de YouTube a escondidas.
Con la confianza de más de 400 millones de usuarios en todo el mundo, Avast le defiende de todo tipo de malware, incluidos los rootkits. Cuando instala Avast Free Antivirus, se está equipando con uno de los analizadores y eliminadores de rootkits más potentes que existen. La mejor protección ante los rootkits, completamente gratuita.