Los Rootkits aparecieron, por primera vez, hace 20 años. Estos programas permiten a los hackers acceder y robar la información de los equipos de los usuarios sin ser detectados. Este término se usa para diferentes herramientas de malware, diseñadas específicamente para permanecer ocultas, infectar los ordenadores y controlar el PC de forma remota. Para ayudar a los usuarios a comprender qué es un rootkit y cómo funciona, se explicara el modus operandi de este programa malicioso:
Un rootkit es un término que se aplica a un tipo de malware, diseñado para infectar un PC, el cual permite al hacker instalar diferentes herramientas que le dan acceso remoto al ordenador. Este malware se oculta en la máquina, dentro del sistema operativo y sortea los obstáculos como aplicaciones antimalware o algunos productos de seguridad. El rootkit contiene diferentes herramientas maliciosas como un keylogger, un módulo para robar los números de tarjeta o cuentas bancarias, un bot para ataques DDoS y otras funciones que pueden desactivar el software de seguridad. Los rootkits actúan como un backdoor que permite al atacante infectar, de forma remota, al equipo y eliminar o instalar componentes específicos. Algunos ejemplos de rootkits de Windows, todavía activos, son TDSS, ZeroAccess, Alureon y Necurs.
Existen dos tipos principales de rootkits: user-mode y kernel-mode. Los primeros están diseñados para funcionar en el mismo lugar que opera el sistema operativo y las aplicaciones. Ejecutan sus funciones maliciosas hackeando las aplicaciones del equipo o reescribiendo la memoria que usan dichas aplicaciones. Este tipo de rootkit es el más habitual. En cambio, los kernel operan desde el núcleo y proporcionan al cracker los privilegios del equipo más importantes. Una vez el rootkit de núcleo está instalado, el hacker puede tener el control del ordenador infectado y hacer cualquier cosa que desee en él. Este tipo de malware es más complejo que el anterior y, por ende, menos habitual. Además, también es más difícil de detectar y eliminar.
También existen otras variantes, aunque menos comunes, como los bootkits. Estos programas se diseñan para modificar el boot loader (gestor de arranque) del ordenador, el software que funciona antes de que se cargue el sistema operativo. Recientemente, ha emergido una nueva clase de rootkits móviles cuyo objetivo son los smartphones, especialmente los dispositivos Android. Estos rootkits se asocian a una aplicación maliciosa que se descarga en foros o appstore de terceros.
Los rootkits se pueden instalar siguiendo varios métodos, pero el más común es aprovechando una vulnerabilidad en el sistema operativo o en una aplicación del equipo. Los piratas informáticos dirigen sus atacantes contra vulnerabilidades conocidas y desconocidas en el sistema operativo y aplicaciones; usando un exploit que controle la máquina. Luego, instalan el rootkit y configuran unos componentes que proporcionan acceso remoto al PC. Los exploit se suelen alojar en una website, hackeada previamente. Otra forma de infección son los USB. Los atacantes dejan USB infectados en algún sitio donde una víctima los vea y los recoja: edificios de oficinas, cafeterías o centros de convenciones. En algunos casos, se realiza la instalación mediante vulnerabilidades de seguridad, pero en otros, se instala a partir de una aplicación o un archivo legal de un USB.
Es difícil detectar la presencia de un rootkit en un equipo, porque este tipo de malware permanece oculto y hace “su trabajo” a escondidas. No obstante, existen herramientas diseñadas para buscar rootkits siguiendo sus patrones de comportamiento. Eliminar un rootkit es un proceso complejo, que requiere el uso de herramientas especiales como TDSSKiller; herramienta de Kaspersky Lab que puede detectar y eliminar el rootkit TDSS. A veces, puede ser necesario que la víctima reinstale el sistema operativo ya que el equipo está demasiado dañado.