Un rootkit es un tipo de software malicioso diseñado para darle a un hacker la capacidad de introducirse en un dispositivo y hacerse con el control del mismo, así lo señaló Claudia Rincón Pérez, fundadora de Factoría IT. Por lo general, los rootkits afectan el software o el sistema operativo del dispositivo que infectan, pero algunos pueden actuar sobre su hardware o firmware. Los rootkits operan en segundo plano, sin dar muestras de que están activos.
Tras introducirse en un equipo, el rootkit permite al ciberdelincuente robar datos personales o financieros, instalar otras aplicaciones maliciosas o unir el equipo a una botnet para propagar spam o para sumarse a un ataque distribuido de denegación de servicio (DDoS).
El término “rootkit” tiene su origen en los sistemas operativos Unix y Linux, en los que la cuenta de administración con más privilegios lleva el nombre de “root”. El “kit”, por su parte, se refiere a las aplicaciones que facilitan el acceso no autorizado de nivel administrativo (es decir, de nivel “root”) al dispositivo.
¿Qué son los rootkits?
Los rootkits son un tipo de software que los delincuentes utilizan para hacerse con el mando de una computadora o incluso de una red. Aunque aparenten ser una sola aplicación, la mayoría de los rootkits se compone de varias herramientas que, usadas en conjunto, permiten obtener acceso privilegiado a un dispositivo.
Los hackers pueden usar distintos métodos para instalar un rootkit:
El método más usual es el phishing (u otro tipo de ataque de ingeniería social). La víctima descarga e instala un programa malicioso sin percatarse de ello. El programa se ejecuta, se oculta en otro proceso y le da al hacker el mando de casi todos los aspectos del sistema operativo.
Otra vía posible son las vulnerabilidades que suelen estar presentes en el software desactualizado. Si el hacker sabe que la víctima utiliza una aplicación o un sistema operativo con alguna debilidad, puede explotar esa falencia para introducir el rootkit.
Una tercera posibilidad es que el rootkit venga combinado con otro archivo, como un PDF infectado, una copia ilegal de una película o una app publicada en una tienda sospechosa.
Los rootkits operan cerca o dentro del núcleo del sistema operativo. Debido a ello, son capaces de ejecutar comandos en el equipo. Ningún dispositivo o artefacto con sistema operativo está exento de sufrir una infección; en la medida en que la Internet de las cosas se vuelva cotidiana, puede que surjan rootkits para termostatos y refrigeradores.
Algunos rootkits contienen registradores de pulsaciones de teclas, pequeñas aplicaciones que capturan todo lo que la víctima escribe con el teclado. Son una de las herramientas favoritas de los delincuentes: les facilita enormemente la tarea de robar números de tarjetas de crédito, datos bancarios y otras clases de información personal. Los rootkits también pueden usarse para realizar ataques DDoS o enviar correos masivos. Pueden incluso eliminar o deshabilitar cualquier aplicación de seguridad que la víctima haya instalado en su dispositivo.
No todos los rootkits son dañinos: algunos se usan para resolver problemas de TI a distancia o para brindar ayuda a las autoridades y fuerzas de seguridad. La realidad, sin embargo, es que la mayoría tiene fines maliciosos. Su peligro radica en que sirven de vehículo para otras aplicaciones maliciosas, algunas de las cuales pueden ocasionar alteraciones en el sistema operativo o permitirle el acceso remoto a alguien desconocido.
Tipos de rootkits
1. Rootkits para hardware o firmware
Los rootkits para hardware o firmware pueden infectar discos duros, routers o incluso la BIOS de un equipo (la BIOS es un programa especial, instalado en un microchip que forma parte de la placa base). Estos rootkits no alteran el sistema operativo; les interesa, en cambio, el firmware del dispositivo. Los rootkits de este tipo instalan aplicaciones malignas que son muy difíciles de detectar. Al estar en contacto con el hardware, pueden guardar un registro de todo lo que el usuario escribe y de todo lo que hace en Internet. Los rootkits para hardware y firmware no son tan comunes, pero son una verdadera amenaza para la seguridad en línea.
2. Rootkits para el cargador del SO
El cargador es el mecanismo que da inicio al sistema operativo. Los rootkits de esta clase atacan ese mecanismo y reemplazan el cargador original por uno modificado. Gracias a esta estrategia, pueden activarse incluso antes de que el usuario haya comenzado a usar el sistema operativo.
3. Rootkits para memoria
Los rootkits para memoria se ocultan en la RAM del dispositivo y utilizan los recursos del sistema para realizar acciones maliciosas en segundo plano. Estos rootkits afectan el rendimiento de la RAM. Viven en la memoria del equipo y no inyectan ningún tipo de código permanente, por lo que desaparecen en cuanto se reinicia el sistema (si bien una eliminación total puede llevar un poco más de trabajo). Los rootkits de esta clase son efímeros y, por ello, no se los suele considerar una gran amenaza.
4. Rootkits para aplicaciones
Los rootkits para aplicaciones sustituyen archivos del sistema por otros propios. Algunos cambian la manera en que funcionan ciertas aplicaciones comunes. Infectan aplicaciones como Paint, el Bloc de notas o los programas de Microsoft Office. Cada vez que la víctima abre uno de esos programas, les brinda a los atacantes una vía de acceso a su equipo. Detectar esta clase de rootkit no es fácil para la víctima porque los programas que utiliza se siguen ejecutando normalmente; las soluciones antivirus pueden dar con ellos porque, al igual que los rootkits, operan en el nivel de las aplicaciones.
5. Rootkits de modo núcleo o modo kernel
Estos rootkits son especialmente peligrosos porque afectan la parte más central del sistema operativo: su núcleo. Los hackers los usan no solo para acceder a los archivos almacenados en el dispositivo, sino también para incorporar código que modifique el funcionamiento del sistema operativo.
6. Rootkits virtuales
Los rootkits virtuales se instalan por debajo del sistema operativo. Una vez allí, hacen funcionar el sistema operativo original en una máquina virtual e interceptan sus interacciones con el hardware. Los rootkits virtuales no necesitan modificar el núcleo del sistema operativo para lograr sus cometidos, lo que los hace muy difíciles de detectar.
Comments