Análisis en profundidad

Rootkits: Qué son, cómo detectarlos y eliminarlos

  • Home
  • Ciber Seguridad Informatica

Los rootkits permiten a los piratas informáticos criminales “controlar” a distancia una PC y, por lo tanto, suponen una amenaza muy grave para la integridad de nuestros sistemas, los datos que contienen y nuestra información personal. He aquí una guía práctica sobre cómo reconocerlos y eliminarlos

Publicado el 14 Feb 2023

Rootkits

Los rootkits son una grave amenaza para los sistemas informáticos, que entran en la categoría de malware. A menudo son menos conocidos y, por tanto, erróneamente, menos temidos que los virus más infames.

Como su nombre indica, se trata de kits, es decir, herramientas o conjuntos de herramientas, como secuencias de macros o software propiamente dicho, diseñados para obtener permisos de root en la computadora objetivo, sin que, por supuesto, el propietario del sistema atacado sea consciente de ello.

En la terminología de los sistemas Unix/Linux, root es el usuario con plenos poderes sobre el sistema, por lo que puede realizar cualquier operación: es básicamente el equivalente a la cuenta de Administrador en los sistemas Windows.

¿Qué hace un rootkit?

De hecho, instalar un rootkit en una máquina significa tener plena posesión de ella, pudiendo realizar cualquier operación que se desee.

Cabe señalar que este tipo de operación ilegal puede llevarse a cabo no solo en una PC, sino también en smartphones, ya que existen rootkits para Android e iOS que pueden atacar específicamente a estos sistemas operativos.

Con frecuencia, los antivirus no detectan la presencia de rootkits, una característica que hace que este tipo de amenaza sea aún más grave.

Pero vayamos paso a paso…

¿Cómo puede uno infectarse con un rootkit? 

Los métodos de infección son prácticamente los mismos que los que pueden permitir que un virus entre en nuestros sistemas. Es decir, navegar por sitios no seguros, descargar programas y archivos de origen incierto de la web, abrir archivos adjuntos de correos electrónicos de dudosa procedencia.

Esto en términos generales. En realidad, un rootkit también podría contaminar nuestro sistema simplemente conectando un dispositivo de memoria USB infectado, utilizando un “crack” para desbloquear el software o incluso el sistema operativo.

Respecto a esta última posibilidad, añado unas palabras sólo con fines explicativos, ya que en el ámbito profesional, el uso de software “crackeado”, además de la ilegalidad que supone hacerlo, pone en peligro la estabilidad de los sistemas y su seguridad.

El programador que crea la pequeña pieza de software destinada a permitir el uso de un programa sin tener derecho a ello, burlando la posible protección anticopia o la necesidad de haber adquirido una licencia de uso, a menudo acompañada de un número de serie necesario para activar el producto, suele estar dotado de una habilidad considerable, ya que no es en absoluto trivial burlar las protecciones o las solicitudes de activación proporcionadas por las distintas casas de software.

Este pequeño programa de “desbloqueo” contiene las instrucciones o modificaciones del software de destino que permiten, como se ha mencionado, utilizarlo sin, por ejemplo, las claves de acceso legítimas.

Ahora bien, ¿qué garantías tenemos de que el “crack” no haga nada más aparte de eso? Podría contener código para intentar obtener permisos de administrador en la computadora anfitrión, instalar una puerta trasera y abrir puertos ad hoc, permitiendo el acceso remoto e inconsciente al sistema.

Incluso la descarga e instalación de un programa puede conducir a la instalación de un rootkit sin ser consciente de ello.

La cuestión es que el software puede modificarse de tal forma que se instale un rootkit de forma encubierta, por lo que la regla es descargar el software directamente del sitio del fabricante o de espejos indicados y certificados por el fabricante.

Algunos sitios ofrecen descargas de utilidades y programas conocidos, muchos de ellos solo para prestar un servicio, pero otros pueden utilizar este método para que se descargue el programa, que en realidad también puede ejecutarse regularmente, añadiendo el código necesario para atacar su sistema.

El problema es bien conocido por los fabricantes de software, hasta el punto de que a menudo señalan y proponen comprobar el código CRC, para asegurarse de que no se han realizado modificaciones involuntarias.

Rootkits: cómo detectar su presencia

También en este caso, los síntomas suelen ser similares a los provocados por la presencia de un virus.

Ralentización de la computadora

La primera es una ralentización de la computadora o de la navegación por Internet debido a que la máquina está realizando tareas o transmisiones de datos “en paralelo” con las operaciones normales solicitadas por el usuario.

Cambios en la configuración

Otro síntoma es notar cambios en la configuración del sistema o incluso software instalado inesperadamente.

La pantalla azul “de la muerte”

La aparición de BSOD (pantalla azul de la muerte), las infames pantallas azules de error y bloqueo en los sistemas Windows, puede ser una señal que no debe subestimarse. De hecho, los rootkits, especialmente los que actúan a nivel del núcleo, son muy sofisticados y complejos: esto puede provocar la congelación e inestabilidad del sistema precisamente por la presencia de fallos en el propio código del rootkit.

Tenga en cuenta que un rootkit puede desactivar o dañar fácilmente nuestro antivirus.

Acciones autónomas por parte de la PC

Otro signo evidente es notar acciones “autónomas” por parte de nuestro PC, como cuando un virus o adware abre ventanas emergentes o páginas web sin haberlas solicitado.

Otro indicio un poco más “técnico”

Por regla general, los sistemas operativos de servidor, pero también en cierta medida los de escritorio, llevan a cabo lo que se denomina logging, es decir, mantienen un registro de las operaciones que se realizan en ellos. El análisis de los archivos de registro es una excelente forma de comprobar y descubrir intrusiones en los sistemas informáticos.

Alguien que ataque un sistema informático también podría borrar sus huellas alterando o incluso eliminando los archivos de registro.

Más al alcance del usuario no específico, podría estar el uso de software anti-rootkit y escáneres de rootkit, software creado específicamente para detectar cambios en los archivos del sistema y escanear el propio sistema en busca de rastros de intrusión y software para permitir accesos externos no deseados.

Cómo eliminar o hacer ineficaces los rootkits

Tras verificar la presencia de un rootkit en el propio sistema, la acción básica consiste en descargar un eliminador de rootkits de la web y aplicarlo.

Normalmente, estas herramientas encuentran y eliminan varios tipos de rootkits conocidos, aunque hay que tener en cuenta que la alta posibilidad de presencia de variantes o rootkits personalizados puede hacer que estos métodos sean menos eficaces.

El método más técnico consiste en eliminar manualmente los archivos detectados o restaurar los archivos sustituidos por el rootkit con las versiones originales, por ejemplo, una DLL.

Cómo cerrar las brechas creadas por un rootkit

Para cerrar las brechas creadas por un rootkit o en las que éste se basa, lo principal es mantener actualizados el sistema operativo y el software instalado: muchos agujeros de seguridad y posibles accesos se bloquean mediante actualizaciones.

Por supuesto, utilizar un sistema operativo obsoleto que ya no puede actualizarse es una excelente forma de ser víctima de virus y rootkits.

Suelo hablar con personas que subestiman este aspecto, alegando que el computadora en cuestión se ocupa de tareas esporádicas y/o irrelevantes; se trata de una actitud muy peligrosa, también para otros usuarios de la web.

También hay que tener en cuenta que los rootkits se utilizan muy a menudo para infectar computadores no con el objetivo de robar los datos que contienen u otras prácticas que pongan en peligro directo a la empresa o persona afectada, sino con el objetivo de convertir a la PC en un “zombi” para utilizarla en ataques DDoS.

Los ataques de denegación de servicio distribuidos utilizan un gran número de computadoras no relacionados geográficamente para llevar a cabo un ataque convergente contra un sitio o servicio web con el fin de que no esté disponible.

Por lo tanto, es responsabilidad de todos no convertirnos en cómplices involuntarios de este tipo de actividades ilícitas, manteniendo nuestros sistemas protegidos y actualizados.

Una buena idea, en general, sería utilizar un cortafuegos, preferiblemente de hardware; muchos rootkits utilizan accesos en puertos de comunicación ya definidos y a menudo son incapaces de utilizar otros alternativos si los establecidos están bloqueados por la programación adecuada de un cortafuegos.

Conclusiones

Incluso con todas las precauciones, los rootkits siguen siendo un riesgo.

En caso de duda o a efectos de control, se recomienda utilizar varios antivirus y programas anti-rootkit de forma cruzada. Si los “síntomas” o las dudas persisten, lo mejor es consultar a un experto en seguridad informática.

Por Andrea Leandro

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Temas principales

Especificaciones

A
Amenazas
D
datos
S
sitios web

Nota 1 de 5