Los rootkits son un tipo de software malicioso que puede ser difícil de detectar, lo que significa que eliminarlo puede ser una tarea complicada. Los rootkits permiten a los ciberdelincuentes controlar tu computadora de forma remota. Pueden venir con diversas herramientas, como programas que dan a los hackers acceso a tus contraseñas, lo que les permite robar tu información bancaria en línea y de tarjetas de crédito. Los rootkits pueden permitir a los ciberdelincuentes desactivar o corromper el software de seguridad y rastrear las teclas que presionas en el teclado. Esta información les facilita robar tus datos.

¿Cómo operan los rootkits?

Los rootkits operan a través del proceso de modificación, que implica cambiar la seguridad y los permisos de la cuenta de usuario. Por lo general, solo un administrador de computadoras puede permitir este proceso. La modificación es un proceso crítico utilizado en la informática para facilitar cambios positivos que mejoren los sistemas. Sin embargo, los atacantes que buscan tener el control total suelen aprovechar la modificación para obtener acceso ilimitado, a través del cual pueden causar daños. Además, los atacantes a menudo utilizan métodos de infección secretos porque los rootkits no se propagan por sí mismos. Los hackers pueden introducir un rootkit una vez que adquieren acceso de administrador o root. ¿Cómo obtienen los atacantes este acceso? Pueden hacerlo explotando vulnerabilidades comunes como la escalada de privilegios o obteniendo contraseñas a través de phishing.

¿Son los rootkits malware?

Un rootkit no es malware en sí mismo, sino un proceso utilizado para aplicar software malicioso en un objetivo. Los rootkits operan de la misma manera que el malware, lo que significa que son una amenaza para la seguridad del cliente y deben ser prevenidos. Los efectos potenciales de los rootkits incluyen:

• Malware oculto: Los rootkits permiten a los ciberdelincuentes instalar más malware en computadoras ya infectadas. Ocultan aplicaciones maliciosas del software antivirus en tu computadora y de los usuarios.
• Robo de datos: El malware instalado a través de rootkits puede robar tus datos de tarjetas de crédito, contraseñas y otra información sensible sin ser detectado.
• Eliminación de archivos: Los rootkits pueden eliminar claves del sistema operativo y otros archivos cruciales de tu sistema.
• Espionaje: Los ciberdelincuentes pueden aprovechar los rootkits para espiarte y apoderarse de tu información personal.
• Ejecución de archivos: Aunque puedas querer comprar un antivirus a precio reducido, vale la pena mencionar que los rootkits pueden corromperlo. Esta acción puede permitir que los hackers ataquen archivos en computadoras objetivo de forma remota.
• Acceso remoto: Los rootkits pueden cambiar la configuración de tu sistema, como cambiar scripts de inicio o lanzar puertos de puerta trasera TCP en la configuración del firewall. Esto le da a los ciberdelincuentes acceso remoto, lo que les permite utilizar tu máquina en una botnet.

Tipos de rootkit

Existen varios tipos de rootkits, y se clasifican según cómo afectan a un sistema objetivo. Algunos de los rootkits más comúnmente utilizados incluyen:

• Rootkit de modo kernel: Los rootkits de modo kernel modifican el rendimiento del sistema operativo en tu dispositivo mediante la instalación de software malicioso en el kernel. El kernel es la sección central de un sistema operativo que regula las operaciones entre las aplicaciones y el hardware. Desplegar rootkits de modo kernel puede ser una tarea difícil, ya que pueden provocar un bloqueo del sistema si el código del ciberdelincuente falla. Estos rootkits representan una amenaza ya que los kernels tienen niveles de privilegio elevados en un sistema.
• Rootkit de modo usuario: Estos rootkits se ocultan como programas de usuario normales. A menudo se les llama rootkits de aplicación porque operan una vez que se ejecutan las aplicaciones. Desplegar rootkits de modo usuario es más fácil y son menos peligrosos en comparación con los rootkits de modo kernel.
• Bootkits: Los bootkits son más poderosos que los rootkits. Inyectan el registro de arranque principal o pequeñas aplicaciones que se activan cuando el sistema se inicia. Los bootkits pueden permanecer activos en áreas ocultas dentro de tu sistema donde los expertos en tecnología de la información rara vez escanean.
• Rootkits de firmware: Los rootkits de firmware aprovechan el software instalado en el firmware de tu sistema, que incluye tarjetas de red, enrutadores y discos duros. Estos rootkits pueden permanecer ocultos en el firmware durante mucho tiempo, ya que rara vez se inspeccionan las computadoras en busca de integridad del código.

Detección de un rootkit

Existen herramientas comerciales mínimas de eliminación de rootkits que pueden identificar y eliminar rootkits, lo que hace que el proceso de eliminación sea complejo. A veces, eliminar un rootkit puede ser imposible, especialmente si está en el kernel. A veces, instalar un sistema operativo puede ser la única solución práctica. La eliminación de rootkits de firmware puede requerir equipos especiales para reemplazar el hardware. Un escaneo de rootkit es un método de detección efectivo. Estos escaneos deben realizarse mediante un sistema libre de malware diferente donde la máquina afectada esté apagada. El escaneo busca firmas que los hackers dejan atrás y puede determinar si ha habido actividad delictiva en la red. Otros métodos efectivos de detección de rootkits incluyen la evaluación de volcados de memoria, el principio de privilegio mínimo y el análisis de comportamiento.

En conclusión

En los últimos tiempos, ha habido una disminución en los ataques de rootkits debido a los avances tecnológicos, las estructuras de seguridad avanzadas del sistema operativo y las defensas de punto final. Muchas CPUs de hoy en día vienen con protección de kernel incorporada, lo que reduce el riesgo de ataques de rootkits. Sin embargo, aún existen, y tu equipo de TI debe comprender cómo prevenirlos.