¿Qué son los rootkits?

Figura 1: Captura de pantalla de software anti rootkit

Muchas veces hemos escuchado sobre los famosos rootkits. En esta nota, veremos qué son, para qué se utilizan y cuál es la amenaza real que representan para la seguridad de nuestros equipos y nuestras redes.

Concepto de rootkit

Un rootkit es una herramienta o un conjunto de herramientas, utilizadas por ciberdelincuentes para ingresar a sistemas informáticos y esconderse, con la finalidad de no ser detectados por programas antivirus o antimalware.

Con este tipo de herramientas, un intruso puede obtener el control de un equipo informático de manera remota, con mucha facilidad. Existen infinidades de rootkits, para diferentes tipos de sistemas operativos y suelen aparecer de diversas maneras, una de las más comunes, es escondidos en programas de instalación de software pirata.

Objetivos del rootkit

El principal objetivo de un rootkit, es esconder o encubrir procesos, los cuales se ejecutan para llevar a cabo alguna acción maliciosa dentro de nuestro PC. Es decir, si en nuestro sistema se ha instalado un backdoor, el rootkit se encarga de esconder los puertos abiertos, para que la victima no se de cuenta de que su equipo está siendo controlado de forma remota.

Los rootkits están diseñados para falsear información y pasar sin ser detectados. Muestran mensajes falsos del estado del sistema y, en la mayoría de los casos, evaden los análisis de los antivirus.

Figura 2: Avast! Anti rootkit

Clasificación de los rootkits

Los rootkits pueden clasificarse en dos grupos; el primero está integrado por los rootkits que poseen núcleo. Mientras que el segundo tipo, está compuesto por rootkits que funcionan como aplicaciones.

Los que tienen núcleo, actúan directamente sobre el kernel del sistema operativo, mientras que los que actúan como aplicaciones, tienden a reemplazar archivos ejecutables originales.

Como detectar un rootkit

Detectar este tipo de herramientas maliciosas es sumamente difícil. Si se conoce o se sospecha de un proceso extraño, lo mejor es pausarlo manualmente y tratar de eliminarlo de la carpeta donde se aloja. También, existen diversas aplicaciones especialmente diseñadas para eliminar este tipo de amenazas, estas son llamadas anti-rootkits.

Lo más conveniente es ejecutarlas desde discos o dispositivos que no tengan nada que ver con el sistema operativo, ya que si el anti-rootkit se encuentra en el sistema operativo, este puede ser afectado por el mismo rootkit para evitar ser eliminado.

Entre los principales programas anti-rootkit que podemos encontrar en el mercado, se encuentran: Backlight, Rootkit Revealer, chkrootkit, rkhunter, etc.