Se entiende por rootkit a la tecnología maliciosa capaz de tomar el control de un sistema y evadir posibles medidas de seguridad, con la finalidad de espiar, robar o alterar información sin que el usuario víctima lo note.
Definición de rootkit
Un rootkit es un tipo de software malicioso que se utiliza para acceder de manera ilegítima a un sistema informático sin dejar rastro alguno.
El objetivo principal de un rootkit es permitir que el atacante tenga acceso remoto no autorizado al dispositivo infectado, lo que le da la capacidad de manipular el sistema y cualquier información que este contenga. Los rootkits son extremadamente difíciles de detectar y eliminar debido a que a menudo están diseñados para ocultarse en el núcleo del sistema operativo o en otros componentes críticos.
Origen del término “rootkit”
El término “rootkit” se refiere a la combinación de dos palabras: “root” que en español significa “raíz”, y “kit”, que se refiere a un conjunto de herramientas.
En el contexto de la informática, “root” se refiere al usuario o cuenta de administrador que tiene control total del sistema operativo, mientras que “kit” se refiere a un paquete de herramientas que se utilizan para realizar una tarea específica.
Por lo tanto, un rootkit es un conjunto de herramientas que se utilizan para obtener control de un sistema operativo.
Las características principales de un rootkit
-
Sigiloso: Un rootkit tiene la capacidad de camuflarse entre los procesos del sistema para evitar ser encontrado.
-
Persistente: Una vez que el rootkit ha infectado un sistema, puede permanecer allí indefinidamente y ser extremadamente difícil de eliminar.
-
Controlador: El rootkit puede proporcionar al invasor un control total sobre el sistema infectado, permitiéndole acceder a él, manipular archivos, y modificar configuraciones.
-
Difícil de detectar: Dado que el rootkit se oculta dentro del sistema operativo, puede ser muy complejo para las herramientas de detección de software averiguar si se encuentra en el ordenador.
¿Cuál es el propósito de un rootkit?
De forma generalizada, un rootkit tiene como propósito lo siguiente:
-
Espiar: Un rootkit puede instalarse en un sistema para espiar las actividades de los usuarios, grabar contraseñas y otros datos confidenciales.
-
Permanecer oculto: Una de las funciones principales de los rootkits, es que estos se diseñan para permanecer ocultos y evitar su detección durante el mayor tiempo posible.
-
Ejecutar ataques DDoS: Esta forma de malware puede ser utilizado para realizar ataques de denegación de servicio en otros sistemas, causando interrupciones severas en la operación del sistema.
-
Obtener control total: Un rootkit puede permitir que un atacante obtenga acceso total al sistema y realice cualquier acción sin ser detectado.
-
Instalar malware: También, los rootkits se pueden utilizar para instalar otro malware en el sistema, como virus, troyanos y gusanos, para realizar ataques más diversos.
¿Cómo se infiltra un rootkit en una computadora?
Existen varias formas en las que un rootkit puede infiltrarse en un dispositivo, algunas de las más comunes son:
-
Por phishing: El usuario recibe un correo electrónico aparentemente legítimo con un enlace a un sitio web falso que descarga automáticamente un rootkit en el dispositivo.
-
A través de la descarga de un software infectado: El usuario descarga un software infectado que, al instalarse, automáticamente se descarga un rootkit en el dispositivo.
-
Mediante exploits de vulnerabilidades del sistema: Los cibercriminales encuentran vulnerabilidades en el sistema de un dispositivo y explotan estas debilidades para instalar un rootkit en el equipo.
-
Por medio de otros dispositivos infectados: Dispositivos externos como memorias USB o discos duros, pueden transferir este malware a otros dispositivos.
Síntomas de un equipo infectado por un rootkit
Los síntomas más habituales de un equipo infectado por un rootkit pueden incluir:
-
Lentitud del sistema: El equipo afectado por un rootkit puede sufrir una ralentización significativa en su rendimiento.
-
Anomalías de red: Pueden producirse activaciones y desactivaciones inexplicables en la conexión a la red.
-
Cambios de configuración: Ocurren cambios en la configuración del sistema, como la eliminación de archivos o la modificación de permisos.
-
Fallos aleatorios: Aparición de fallos repentinos en el sistema sin motivo aparente.
Ejemplos de rootkits famosos
Sony BMG Rootkit
En 2005, Sony BMG utilizó un rootkit para controlar la reproducción de sus CDs de música, instalando el software de manera oculta en los ordenadores de los usuarios sin su consentimiento. Este rootkit se camuflaba como un software de seguridad para prevenir la copia no autorizada de la música.
El rootkit ocasionó problemas en los equipos infectados, como el funcionamiento incorrecto de las unidades de CD o la imposibilidad de acceso a determinados archivos. Además, al ser detectado, el rootkit era difícil de eliminar, y la información en peligro de ser vulnerada.
Stuxnet
Stuxnet fue un rootkit diseñado para atacar una central de energía nuclear en Irán, en 2010. Este malware se introdujo de forma clandestina y permitió la manipulación de las turbinas de la central.
El objetivo de Stuxnet era producir una explosión que destruyera la central. Gracias a la eficacia del rootkit, este logró infectar alrededor de 100,000 ordenadores, principalmente en Irán, pero también en otros países.
Zeus
Zeus es un rootkit bancario que robó millones de dólares a través de transferencias fraudulentas. Este malware era capaz de espiar y robar información de los usuarios al conectarse a un servidor central y controlar los sistemas infectados.
Zeus permitió a los ciberdelincuentes realizar operaciones bancarias no autorizadas desde los sistemas infectados, obteniendo claves de acceso o incluso vaciando cuentas bancarias.