Detecta rootkit y protégete de él
Gran parte del malware utilizado por los delincuentes de todo el mundo no es detectado por sus víctimas. Esto también se debe a malware como el rootkit. Le mostraremos de una manera fácil de entender qué es un rootkit, qué tipos hay y cómo puede proteger su computadora de ellos con las herramientas adecuadas.
¿Qué es un rootkit?
Un rootkit es un malware que se esconde muy profundamente en el sistema operativo. Debido a su programación, los rootkits generalmente solo se pueden detectar y eliminar con el software antivirus adecuado.
La función central de los rootkits es permitir que terceros accedan a una computadora ajena. Puedes controlarlo de forma remota, manipularlo o robar datos. Los ataques de rootkit también se utilizan, por ejemplo, para instalar software con el que los atacantes pueden controlar una botnet de forma remota.
Un rootkit generalmente consiste en un paquete de malware. Un rootkit puede contener keyloggers, bots o ransomware.
Información: ¿De dónde viene el nombre "rootkit"?
El término "rootkit" se compone de las palabras "root" (alemán = raíz = directorio más alto en un sistema de archivos; usuario con todos los derechos de administrador) y "kit" (alemán = conjunto). El rootkit es una colección completamente neutral de aplicaciones de software que pueden usar derechos de administrador. Pero cuando estos derechos se utilizan para recargar malware, el propio rootkit se convierte en malware.
Rootkit: existen estos tipos
Los rootkits generalmente se clasifican en función de la profundidad a la que actúan en el sistema de archivos de la computadora en cuestión.
Rootkits en modo de usuario |
El principal afectado por estos rootkits es la cuenta de administrador en su computadora. El malware tiene todas las ventajas del acceso de administrador a archivos o programas y puede, por ejemplo, cambiar la configuración de seguridad. Lo complicado de estos rootkits: se inician automáticamente cada vez que se reinicia la computadora. |
Rootkits de modelo de kernel |
Estos rootkits funcionan directamente a nivel del sistema operativo y por tanto tienen la posibilidad de manipular todas las áreas del sistema operativo. Incluso los escáneres de virus pueden producir resultados incorrectos si se infectan con un rookit en modo kernel. Sin embargo, los rootkits del kernel tienen que superar muchos obstáculos antes de que puedan atascarse en el kernel. Por lo general, se notan de antemano, por ejemplo, porque la computadora sigue fallando. |
Rootkits de firmware |
Estos rootkits pueden implantar el firmware de los sistemas informáticos. Una vez eliminados, se reinstalan automáticamente cada vez que reinicia. Esto hace que los rootkits de firmware sean particularmente persistentes y dificulta su eliminación. |
Kits de botas |
Estos rootkits se atascan en el sector de arranque. Cuando inicia su PC, el sistema utiliza el registro de inicio maestro. Allí también encontrará el kit de arranque, que se carga cada vez que inicia. Los usuarios de los sistemas operativos Windows más nuevos, como el 8 o el 10, tienen una protección importante. Estas versiones ya cuentan con sistemas de seguridad que impiden que los kits de arranque se inicien cuando se enciende la computadora. |
Rootkits virtuales |
Estos rootkits se instalan en una máquina virtual y pueden acceder a una computadora infectada fuera del sistema operativo real. Esto dificulta su detección por parte del software de protección antivirus. |
Rootkits híbridos | Estos rootkits dividen el software e instalan partes del mismo en el kernel y otras partes a nivel de usuario. Estos rootkits son ventajosos para los delincuentes porque se ejecutan de manera muy estable a nivel de usuario y al mismo tiempo actúan en el kernel, es decir, camuflados. |
Para protegerse contra estas amenazas insidiosas, los escáneres de virus, entre otras cosas, deben tener definiciones de virus actualizadas.
¿Cómo llega un rootkit a la computadora?
Los rootkits siempre necesitan un "vehículo" con el que puedan implantarse en un ordenador. Por lo general, un rootkit siempre consta de tres componentes, el propio rootkit, el dropper y el cargador. El gotero es comparable a un virus informático que infecta su computadora. Porque el cuentagotas busca un agujero de seguridad para guardar el rootkit en el dispositivo deseado. Entonces se utiliza el cargador. Instala el rootkit en la computadora infectada, por ejemplo, en el kernel o en el nivel de usuario si es un rootkit en modo de usuario.
Los rootkits utilizan los siguientes medios para eliminar:
Mensajero |
Por ejemplo, si recibe un enlace o archivo malicioso a través de un mensajero y abre el enlace o archivo, el cuentagotas puede colocar el rootkit en su dispositivo. |
Software y aplicaciones pirateados: |
Los piratas informáticos pueden "pasar de contrabando" los rootkits a software o aplicaciones de confianza. Los archivos se distribuyen en Internet como ofertas gratuitas, por ejemplo. Tan pronto como instale estos programas, también descargará el rootkit en su computadora. |
Archivos PDF u Office: | Los rootkits se pueden ocultar en archivos de Office o PDF, ya sea como archivo adjunto de correo o como descarga. Tan pronto como abra el archivo, el cuentagotas lo inserta en su computadora y el cargador comienza a instalarse en segundo plano. |
¿Cómo reconozco un rootkit en mi computadora (escáner de rootkit)?
Para detectar rootkits de manera confiable y luego eliminarlos, se requiere un escáner de rootkit, que se incluye en el escaneo de virus de potentes programas antivirus. Por ejemplo, estos análisis pueden reconocer firmas de rootkit comunes. Con estas firmas, los números del código se ordenan de una forma determinada. Pero también hay algunos signos en su computadora que pueden indicar una posible infección con un rootkit.
- Comportamiento inusual de su computadora: Los rootkits se caracterizan por pasar desapercibidos. Sin embargo, puede suceder que su computadora se comporte de manera diferente a lo habitual, por ejemplo, abrir programas involuntariamente o iniciar procesos que usted no inició.
- La configuración de su sistema cambia sin ninguna acción de su parte: Si descubre, por ejemplo, que su computadora generalmente permite el acceso remoto o abre puertos, un rootkit puede ser la causa.
- Análisis del volcado de memoria: Cuando una computadora falla, Windows crea una imagen de memoria del sistema. Los expertos pueden usar este archivo para identificar patrones inusuales que crea un rootkit.
- Tu conexión a Internet siempre es inestable: Los rootkits pueden, por ejemplo, garantizar grandes flujos de datos a través de los cuales los piratas informáticos pueden acceder a los datos. Estos movimientos de datos pueden hacer que su línea de Internet sea muy lenta o incluso hacer que se bloquee.
¿Cómo puedo protegerme de un rootkit?
La protección más importante contra los rootkits es el uso de un programa de protección antivirus actualizado. Equipada con las últimas definiciones de virus, la protección en tiempo real puede advertirle de descargas e instalaciones peligrosas y utilizar un escáner de virus para comprobar periódicamente si su computadora tiene rootkits.
Además, se recomiendan las siguientes medidas:
- Use solo una cuenta de usuario en la vida cotidiana y no el acceso de administrador: Si inicia sesión en Windows o iOS con una cuenta de invitado, solo tiene derechos limitados. Si infecta su computadora con un rootkit durante este período, el cuentagotas solo puede acceder a este nivel de usuario y, por ejemplo, no acceder directamente al kernel.
- Actualice su sistema operativo y software con regularidad: Los fabricantes cierran las brechas de seguridad conocidas con actualizaciones periódicas. Por lo tanto, es imperativo que realice todas las actualizaciones necesarias.
- Descargue archivos de Internet solo desde sitios web de confianza: Evite descargas potencialmente peligrosas, minimice el riesgo de convertirse en víctima de un rootkit.
- Abra solo archivos adjuntos de correo electrónico de remitentes de confianza: si recibe correos electrónicos de remitentes con direcciones de correo electrónico crípticas, es mejor eliminarlos. Si un archivo adjunto de correo electrónico de una dirección conocida le suena extraño, es mejor volver a consultar con el remitente antes de abrir el archivo adjunto de correo electrónico.
- Instale aplicaciones para teléfonos inteligentes solo desde las tiendas de aplicaciones oficiales: Si obtiene aplicaciones de fuentes oficiales, ya pasan por un control de seguridad. Esto reducirá el riesgo de cargar un rootkit en su teléfono inteligente.
Eliminar rootkit: cómo proceder
Siempre debe eliminar los rootkits con un software antivirus especial. Dado que este malware puede alojarse en lo más profundo del sistema operativo de su computadora, la eliminación manual suele ser muy difícil. Si olvida pequeños restos del rootkit cuando lo elimina, generalmente se reinstalará cuando reinicie.
La mejor manera de eliminar rootkits es utilizar un programa antivirus actualizado que tenga las definiciones de virus más actualizadas. A continuación, se recomienda un análisis de virus en modo seguro para que el rootkit no pueda, por ejemplo, volver a cargar datos de Internet. A menudo es necesario ejecutar el escaneo de virus o malware varias veces para eliminar por completo un rootkit.
Este artículo le proporcionará instrucciones detalladas sobre cómo encontrar y eliminar rootkits.
Rootkits conocidos
Los rootkits son amenazas de Internet muy antiguas. Uno de los primeros rootkits conocidos es el malware que atacó principalmente a los sistemas operativos Unix en 1990. El primer rootkit conocido para computadoras con Windows fue el rootkit NTR, que estaba en circulación en 1999. Este es un rootkit del kernel.
Entre 2003 y 2005 se produjeron varios ataques importantes con rootkits, incluido un ataque a teléfonos móviles que se activaron en la red Vodafone Grecia. Este rootkit se conoció como "Watergate griego" porque, entre otras cosas, el primer ministro griego se vio afectado.
En 2008, el kit de arranque TDL-1 se enfureció. Los ciberdelincuentes lo utilizaron para construir una gran botnet con la ayuda de un caballo de Troya.
En 2009 se descubrió por primera vez un rootkit que también infecta los sistemas operativos de Apple. Fue bautizado "Maquiavelo".
En 2010, el gusano Stuxnet se enfureció. Entre otras cosas, usó un rootkit que se suponía que debía espiar el programa nuclear iraní. Se sospecha que los servicios secretos israelíes y estadounidenses son desarrolladores y atacantes.
Con LoJax, se descubrió un rootkit en 2022-2023 que infecta el firmware de la placa base de una computadora por primera vez. Esto permite que el malware se reactive cuando se reinstale el sistema operativo.
Conclusión: Difícil de detectar, pero con un software antivirus actualizado y precaución, el riesgo se puede reducir.
Dado que los rootkits están profundamente integrados en el sistema operativo de una computadora, la prevención es particularmente importante. Una vez que se ha instalado un rootkit, es difícil para los profanos detectar una infección. Sin embargo, cualquier persona que sea cautelosa en Internet con un sistema de protección antivirus actualizado y las herramientas adecuadas y que no abra archivos desconocidos sin cuidado reduce la probabilidad de ser víctima de un rootkit.