¿Qué es exactamente un rootkit?

G DATA Guidebook

Acceden a los ordenadores de otras personas sin que estas se den cuenta. Entran sigilosamente por las puertas traseras y sacan de contrabando datos valiosos para poder venderlos en el mercado negro; roban dinero, datos de tarjetas de crédito y documentos confidenciales, sin que la víctima se dé cuenta de nada. Algo que suena como una película de suspense del domingo por la noche, pero que ha sido también durante mucho tiempo un problema digital, es que los hackers utilizan un software complejo para acceder a los sistemas de terceros y lograr el control de los ordenadores de sus víctimas. El rootkit es el cómplice de tales actividades, vigilando y disfrazando en la medida de lo posible los actos execrables de los ciberdelincuentes.

 

¿Son peligrosos los rootkits?

El peligro en sí no proviene del rootkit, sino del malware cuyas huellas está ocultando. Un rootkit no es un malware en el sentido habitual. Su punto fuerte es su habilidad para ocultar archivos y procesos de otras aplicaciones, así como el malware activo en el sistema operativo de escáneres de virus y soluciones de seguridad. El "nivel de peligro" de una infección con un rootkit depende, por lo tanto, del objetivo perseguido por los intrusos y del malware que colocan en el sistema a través de una puerta trasera que han abierto previamente.

¿Qué significan "root" y "kit" en este contexto?

Este cómplice en forma de código penetra profundamente en el sistema operativo y se activa allí. La palabra "root" se refiere a los derechos raíz que también llevan el nombre de la cuenta de superusuario. Originaria del mundo UNIX, esta cuenta se configura durante la instalación del sistema operativo y otorga al usuario derechos generales de acceso. Esta cuenta no está pensada para el uso diario, sino para todas las tareas administrativas que deben llevarse a cabo en lo profundo del sistema - a nivel "raíz". "Kit" significa que es una colección de herramientas de software. Literalmente, por lo tanto, un rootkit es algo así como un kit de herramientas para administradores.

¿Cómo funciona un rootkit?

Este kit de herramientas permite a los ciberdelincuentes iniciar sesión en el equipo sin ser detectados y ejecutar funciones de administración. El rootkit evita que el usuario detecte cualquier signo de acceso ilegal al ordenador. Los mensajes a los delincuentes se disfrazan en el ordenador, al igual que los archivos y procesos asociados. El rootkit también permite ocultar programas peligrosos que espían cosas como contraseñas, secretos profesionales, entradas de teclado y ratón, información de tarjetas de crédito y similares.

¿Cómo puedo prevenir una infección?

  • Cuenta: Utilice siempre una cuenta de usuario estándar al usar el equipo con Windows. La cuenta de administrador nunca debe ser su forma diaria de acceder al sistema. Esta cuenta tiene menos barreras y mecanismos de protección contra amenazas de Internet que una cuenta de usuario, que tiene permisos restringidos.
     
  • Actualizaciones del sistema: Asegúrese de que su sistema operativo (por ejemplo, Windows) esté siempre completamente actualizado e instale cualquier actualización disponible.
     
  • Actualizaciones de software: Lo mismo se aplica a los programas instalados. Dado que los rootkits también pueden acceder al sistema a través de los agujeros de seguridad de los programas, debe cerrarlos periódicamente mediante las actualizaciones que proporcionan los proveedores de software.
     
  • Software de seguridad: Un software de seguridad robusto es imprescindible. Debería incluir mecanismos de seguridad como la vigilancia del comportamiento y otras tecnologías proactivas.
     
  • CD de arranque: Un CD de arranque escanea el sistema cuando está inactivo. Dicho medio de arranque analiza el ordenador en busca de una amplia gama de malware, incluidos los rootkits. Un CD de arranque no puede estar seguro de prevenir la infección con un rootkit. Sin embargo, puede evitar que el malware se introduzca en el equipo sin ser detectado.
     
  • Comprobación de rootkits: Para una comprobación de rootkit, el sistema se pone en un estado específico y luego se comprueba si hay infección de rootkit. Un rootkit es más fácil de encontrar en este estado, ya que se disfraza cuando el sistema está funcionando. Esta comprobación también se puede llevar a cabo utilizando un CD de arranque.
     
  • Alerta: Al igual que con el malware, los rootkits se distribuyen a través de medios de almacenamiento, Internet o correo electrónico. Es necesario concienciarse de esto y ser crítico frente a memorias USB de terceros y archivos adjuntos o enlaces de remitentes desconocidos. Nunca haga clic en un enlace sin pensar y sólo abra archivos que parezcan inofensivos, como los PDF, si está seguro de que no está siendo engañado.
     
  • Precaución: Nunca deje el ordenador o los dispositivos móviles desbloqueados cuando estén desatendidos, especialmente cuando estén encendidos, ya sea que se levante por un momento en la cafetería o busque otro libro en la biblioteca. La configuración de contraseñas seguras ofrece seguridad adicional para que las personas no autorizadas no puedan iniciar sesión en el equipo, la tablet o el teléfono inteligente, aunque consigan acceso a ellos.

¿En qué se diferencian los rootkits?

Como pueden ocultar tantos archivos y procesos diferentes, un rootkit no es simplemente un rootkit. Cada variante procede de un modo diferente y aprovecha partes diferentes del sistema. Los dos tipos de rootkit más distribuidos son el rootkit en "modo usuario" y el rootkit en "modo kernel". El modo kernel es el núcleo más interno de un sistema operativo. Los ajustes de nivel más profundo se realizan allí y sólo el administrador tiene acceso a esta parte del sistema. Cuando un rootkit se incrusta aquí, los atacantes pueden manipular el equipo de forma remota como deseen. El modo de usuario, por otro lado, comprende una cantidad significativamente menor de derechos y, por consiguiente, tiene menos influencia en el sistema operativo. El sistema operativo puede ser penetrado en varios niveles, cuya profundidad depende de la ubicación del rootkit. Es cierto que los rootkits complejos de núcleo/kernel son más raros, pero al mismo tiempo son más difíciles de descubrir y eliminar que los rootkits en modo usuario.

¿Qué es una función de puerta trasera?

Cuando los delincuentes consiguen introducir ilegalmente un rootkit de este tipo en un ordenador, ya tienen un pie en la puerta. Si también consiguen espiar las contraseñas del ordenador y tienen el malware adecuado, tienen la llave de su sistema y pueden entrar en cualquier momento. Si todo lo que entra y sale ocurre con un rootkit, los expertos a menudo se refieren a que se ha abierto un backdoor o "puerta trasera" al sistema. Las puertas traseras permiten a los hackers instalar o iniciar más software, acceder a los datos y cambiar la configuración.

Con las contraseñas correctas, los criminales pueden abrir cualquier puerta.

¿Dónde se utilizan los rootkits?

Lo que los intrusos pueden hacer con la ayuda de un rootkit es muy diferente. Un ejemplo bien conocido de un huésped no deseado en ordenadores de terceros es el escándalo de Sony. En 2005 salió a la luz que Sony estaba utilizando protección anticopia en varios CDs de música en los que supuestamente se ocultaba un rootkit. Este rootkit manipulaba los sistemas operativos de los usuarios para evitar que se copiaran CDs. Los programas antivirus y antispyware no detectaban este programa. Además, el software enviaba en secreto a Sony los hábitos de escucha privados de los usuarios, todo ello bajo la protección del rootkit. Sony no sólo adquirió un enorme conocimiento sobre los usuarios, sino que también causó un gran escándalo. En lugar de proteger sus derechos de autor, Sony infringió de forma significativa la protección de datos y, potencialmente, facilitó la entrada de los hackers a través de agujeros de seguridad abiertos de esta forma.

¿Cómo detecto los rootkits y qué es un análisis de rootkits?

Si las puertas de su ordenador están cerradas herméticamente o no, no se puede ver a simple vista. Además, los rootkits rara vez se detectan a través de un comportamiento sospechoso por parte del ordenador. Solo el software de seguridad puede ofrecer garantías técnicas en este caso, por ejemplo, una comprobación especial de rootkits. Esta protección contra rootkits está incluida en la mayoría de las suites de software de seguridad. La comprobación de rootkits, a veces también llamada análisis de rootkits, se lleva a cabo de una manera especial: dado que los rootkits se protegen activamente de la detección en un sistema en ejecución, casi sólo pueden detectarse si el sistema se pone en un estado específico. Es la única manera de que el disco duro en el que se está ejecutando el sistema pueda analizarse con éxito en busca de rootkits.

¿Cómo puedo eliminar un rootkit?

Los CDs de arranque especiales ayudan a detectar rootkits. Las soluciones de seguridad de G DATA ofrecen la opción de crear un CD de arranque basado en Linux que se puede utilizar para arrancar el ordenador de forma remota desde el sistema operativo instalado. El sistema puede ser analizado por el escáner de virus contenido en el CD en una condición en la que el rootkit que puede estar presente en el disco duro no está activo y por lo tanto puede ser descubierto más fácilmente. En este estado, la función de disfrazarse es ineficaz y la tapadera del rootkit es descubierta - junto con la de sus cómplices criminales.