Un rootkit es un programa o más a menudo una colección de herramientas de software, que le dan a un actor malintencionado acceso remoto con privilegios y el control sobre un ordenador u otro dispositivo.
Permanece oculto en partes del sistema operativo y esta diseñado para evadir la detección por parte de aplicaciones antimalware y otras herramientas de seguridad.
Si bien existen usos legítimos para este tipo de software, como por ejemplo proporcionar soporte remoto a un usuario, la mayoría de los rootkits abren una puerta trasera en los sistemas de las víctimas para introducir todo tipo de software malicioso.
También pueden usar el equipo comprometido para atacar a toda la red doméstica (o corporativa) para que por ejemplo todos los dispositivos conectados a ella pasen a formar parte de una botnet.
Los dos tipos principales de rootkits son:
Están diseñados para ejecutarse en la misma parte del sistema operativo donde normalmente se ejecutan las aplicaciones.
Secuestran sus procesos legítimos o sobrescriben la memoria que utilizan.
Por ejemplo, un rootkit es capaz de inyectar un código en un proceso legítimo, y usar luego la memoria de ese proceso para perpetrar sus fechorías.
Los más insidiosos incluso crean archivos especiales para ser detectados por el antivirus.
Así, cuando el antivirus accede al archivo, el rootkit trata de desactivarlo para prevenir su ejecución en el futuro.
Es el más común de los dos tipos.
Se ejecutan a un nivel más bajo del sistema operativo y le otorgan al atacante un conjunto mayor de privilegios.
Después de la instalación de un rootkit en modo kernel, el atacante tendrá el control completo del sistema comprometido y por lo tanto la capacidad para llevar a cabo cualquier acción.
Los rootkits en modo kernel suelen ser más complejos que los rootkits en modo usuario, y por lo tanto, son menos comunes.
Este tipo de rootkit también es más difícil de detectar y eliminar.
Los rootkits en modo kernel son más propensos a tener fallos de programación, que en algunos casos puede desestabilizar el sistema.
En tal caso,el software malicioso puede mostrar indicios de su existencia al usuario, cuando aparecen las famosas pantallas azules o experimenta fallos intermitentes del sistema.
También hay otros rootkits llamados bootkits, que están diseñados para modificar el cargador de arranque del ordenador (MBR ) y de esta forma pasar desapercibidos para la mayoría de herramientas de seguridad, debido a que no realizan ninguna modificación que involucre al sistema operativo (archivos, programas, carpetas registro, datos, etc.)
El malware también puede modificar el ajuste Setup de UEFI poniéndolo a cero, haciendo imposible arrancar el equipo.
Sin duda, toda una pesadilla para cualquier usuario.
Esto implica muchas veces tener que cambiar de ordenador ya que el problema no se encuentra en el software, sino en su hardware.
En los últimos años, ha surgido una nueva clase de rootkits para atacar teléfonos inteligentes, específicamente dispositivos Android.
Estos rootkits a menudo, están asociados con aplicaciones maliciosas descargadas de tiendas no oficiales o desde foros de internet.
Estos rootkits obtienen acceso al software que ejecutan varios dispositivos, como routers, tarjetas de red, discos duros o la BIOS del sistema.
Entre otras cosas, pueden hacer que el firmware de la BIOS instale y ejecute malware en el proceso de inicio del sistema operativo.
Los rootkits, no dejan de ser programas como cualquier otro, y para que se instalen, deben ejecutarse necesariamente en un sistema, con la concurrencia necesaria del usuario.
Los archivos adjuntos a los correos electrónicos acostumbran a ser los principales sospechosos habituales.
A pesar de las innumerables advertencias de los especialistas en seguridad, las personas aún descargan, abren, y ejecutan archivos adjuntos sin tomar ningún tipo de precaución.
También pueden venir de regalo junto a un programa descargado de una página de warez, o dentro de un crack de software.
Otra forma de infección es aprovechando una vulnerabilidad en un sistema operativo que no está actualizado, o en una aplicación obsoleta instalada en el equipo.
Un exploit alojado en una página web légitima que visitamos todos los días, también puede comprometer nuestro sistema, cuando la visitamos e interactuamos con ella.
La vieja técnica de dejar abandonada una memoria USB infectada en algún lugar público y bastante concurrido es otra táctica que utilizan los ciberdelincuentes para propagar sus creaciones.
La prevención de rootkits se basa en la idea de que un rootkit puede penetrar en nuestro sistema mediante alguno de los métodos anteriores.
La primera medida preventiva, es detectar enlaces maliciosos y archivos adjuntos procedentes del correo electrónico, así como tener cuidado con la descarga y ejecución de archivos descargados de fuentes desconocidas o de dudosa reputación.
Mantener el software actualizado y parchear las vulnerabilidades conocidas en aplicaciones y sistemas operativos es esencial para prevenir el malware.
Ejecutar un software antimalware si es posible con detección basada en el comportamiento, y ocasionalmente analizar nuestro sistema con herramientas antirootkit especializadas.
Examinar detenidamente los registros del firewall u otras herramientas de red para identificar rootkits que se comunican con un centro de control remoto, también es una buena medida preventiva.
No utilizar nunca la cuenta de de administrador durante el uso cotidiano del ordenador, en su lugar utilizar la de usuario.
La cuenta de usuario, solo tiene privilegios limitados, por lo que los daños en caso de infección por rootkit serán menores.
Si eres un usuario avanzado, para evitar que un rootkit infecte tu BIOS y sea prácticamente imposible de eliminar, puedes usar una protección contra escritura, como por ejemplo un puente (jumper) en la placa base.
Para protegerte de este tipo de rootkits, asegúrate de que el firmware de todos los dispositivos está actualizado, y verifica si tu sistema está utilizando el arranque seguro.
El arranque seguro está diseñado para proteger el sistema al garantizar que solo se pueda ejecutar código confiable durante este proceso.
Para determinar si tu sistema Windows 10 se está ejecutando actualmente en un estado de arranque seguro, abre el menú Inicio y escribe Información del sistema.
En la ventana resultante, desplázate hacia abajo y busca el estado de arranque seguro.
Si indica que está activado, entonces el sistema se está ejecutando en este modo protegido.
Si sospechas de una infección por rootkit, lo primero que tienes que hacer es desconectar de inmediato el dispositivo sospechoso del resto de la red, y también de Internet, para evitar que el malware se propague a otros dispositivos, o que el villano tome el control de tu máquina.
Detectar, y eliminar un rootkit en un sistema puede ser difícil, ya que este tipo de malware es artero y muy insidioso.
Está diseñado para permanecer oculto y no molestarnos, para poder hacer sus negocios en segundo plano, y aún no existe ninguna solución cien por cien eficaz para deshacerse del maldito parásito.
En los casos más desesperados, la única solución es realizar una instalación del sistema operativo, mediante una ISO de Windows 10 limpia, descargada de la página de Microsoft.
Y si se trata de un bootkit o alguna de sus variantes, la cosa se complica.
Puedes ejecutar el análisis sin conexión de Windows Defender, que en la mayoría de los casos acabará con el problema.
Windows Defender sin Conexión es una herramienta de examen antimalware que permite iniciar y ejecutar un examen desde un entorno de confianza.
El examen se ejecuta desde fuera del kernel de Windows habitual para que pueda atacar al malware que intenta omitir el shell de Windows, como virus y rootkits que infecten o sobrescriban el registro de arranque maestro (MBR).
En Windows 10, Windows Defender offline puede ejecutarse con un solo clic directamente desde el apartado de opciones de seguridad de Windows.
Abre la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio.
Haz clic en el icono Protección contra virus y amenazas (o en el icono de escudo en la barra de menú de la izquierda) y después, en la etiqueta Examen avanzado:
Selecciona Examen de Windows Defender sin Conexión y haz clic en Examinar ahora.
En versiones anteriores de Windows, el usuario tiene que descargar Windows Defender sin Conexión e instalarlo en cualquier medio de arranque externo, para seguidamente iniciar el sistema desde el mismo.
También existen herramientas especializadas.
Es aconsejable utilizar estas herramientas en modo seguro.
El modo seguro inicia Windows en un estado básico, que usa un conjunto limitado de archivos y controladores, lo que dificulta en gran medida la ocultación del rootkit.
Si no estás seguro de los resultados del análisis, antes de eliminar nada y causar un estropicio, puedes visitar algún foro donde pueden guiarte a través del proceso de análisis y detección.
Los foros de Bleeping Computer (en inglés) o Infospyware en español, son un excelente lugar para ayudarte a gestionar los resultados del análisis.
Los rootkits no son solo están diseñados para dispositivos con Windows .
También pueden introducirse en aparatos de Internet de las cosas (IoT) como por ejemplo una Smart TV o cualquier cosa que tenga un sistema operativo y una conexión a internet.
Investigadores descubren que miles de sitios web almacenan los
...Un grupo o individuo cibercriminal, bajo el Alias de UNC3524, es
...Se han descubierto múltiples vulnerabilidades que afectan a un
...El grupo de ransomware Conti está causando verdaderos quebraderos
...El Equipo de Respuesta a Emergencias Informáticas de Ucrania
...
