¿Qué es un rootkit?
En la actualidad, existen muchos tipos de malware, y el malware rootkit se encuentra entre los más comunes. Los rootkits también son particularmente problemáticos, ya que están diseñados para permanecer ocultos en su sistema.
Entonces, ¿cómo se puede definir un rootkit? ¿Qué es un ataque de rootkit? ¿Y cómo puedo protegerte de ellos?
¿Qué es un rootkit?
Un rootkit es un tipo de software malicioso diseñado para atacar sistemas informáticos aprovechando vectores de intrusión avanzados para eludir los protocolos de seguridad estándar. Los rootkits también utilizan sofisticadas técnicas de ofuscación para ocultarse a simple vista en los núcleos del sistema.
Por lo general, el malware rootkit se utiliza para espiar las actividades del sistema, robar datos, controlar operaciones vitales de la máquina e instalar otros tipos de malware. Por lo general, esto se logra mediante la obtención de privilegios administrativos del sistema de alto nivel.
Como tal, muchos de ellos son difíciles de eliminar. En algunos casos, se necesita un reformateo completo del disco duro y la reinstalación del sistema operativo para eliminar esta clase de gusanos informáticos. En casos extremos, un reemplazo de hardware es la solución definitiva.
Tipos de malware de rootkit
Existen numerosos tipos de malware rootkit. Estos son algunos de los tipos más comunes de rootkits.
1. Rootkits de firmware
Los rootkits más avanzados son los rootkits de firmware. Esto se debe a que se dirigen a sectores con altos privilegios, como los componentes del sistema básico de entrada / salida (BIOS) y la interfaz de firmware extensible unificada (UEFI).
BIOS y UEFI son objetivos principales porque albergan componentes vitales del sistema que tienen más privilegios de Ring 0. BIOS y UEFI también son responsables de cargar todos los sistemas centrales de firmware, software y hardware cuando la computadora se está iniciando.
La corrupción de estos componentes del sistema permite a los piratas informáticos tener un mayor control sobre los recursos del sistema.
2. Rootkits de hardware
Los rootkits de hardware están diseñados para apuntar a dispositivos periféricos de hardware como enrutadores Wi-Fi, cámaras web y discos duros.
Generalmente se les conoce como malware de hardware porque son capaces de controlar los componentes del sistema de hardware, interceptar cualquier dato útil que los atraviese y enviarlo a los piratas informáticos.
3. Rootkits del cargador de arranque
El rootkit del cargador de arranque se dirige al segmento del Registro de arranque maestro en un sistema. El cargador de arranque es responsable de iniciar el sistema operativo.
Localiza dónde se almacena el sistema operativo en el disco duro para permitir el arranque a través de la memoria de acceso aleatorio (RAM). Al reemplazar el cargador de arranque predeterminado por uno creado por piratas informáticos, los atacantes pueden obtener acceso a la mayoría de los módulos del sistema.
4. Rootkits de aplicaciones
Los rootkits de aplicaciones son el tipo más común de rootkit. Se dirigen a aplicaciones en Windows, especialmente aquellas que se utilizan normalmente para introducir datos confidenciales.
Las aplicaciones más específicas suelen ser navegadores y aplicaciones nativas de Windows como Microsoft Word y Excel.
Cómo entra el malware Rootkit en un sistema
El malware rootkit generalmente infecta un sistema informático a través de varios modos.
1. Medios de almacenamiento de datos portátiles
Las infecciones a través de medios de almacenamiento de datos como flash USB y discos duros externos se encuentran entre las más comunes. Esto se debe a que son populares, económicos y portátiles. Debido a que se utilizan regularmente para transferir datos entre computadoras, con frecuencia se dirigen a campañas de infección.
En la mayoría de los casos, el malware diseñado para propagarse a través de unidades USB es capaz de detectar cuando el dispositivo está conectado a una computadora. Una vez que esto se establece, ejecuta un código malicioso que se incrusta en el disco duro. Esta técnica de ataque ayuda a los piratas informáticos a adquirir nuevas víctimas secuenciales.
2. Archivos adjuntos infectados
El otro vector de infección que ayuda a propagar rootkits son los archivos adjuntos infectados. En este tipo de tácticas, los correos electrónicos de apariencia legítima con archivos adjuntos de malware se envían a los objetivos, generalmente disfrazados de notificaciones urgentes. La secuencia de infección de malware comienza una vez que se abren los correos electrónicos y se descargan los archivos adjuntos.
Si la infección tiene éxito, los piratas informáticos utilizan rootkits para modificar los directorios del sistema operativo y las claves de registro. También pueden interceptar comunicaciones y datos confidenciales en la computadora, como mensajes de chat.
Para controlar de forma remota las funciones informáticas, los intrusos usan rootkits para abrir puertos TCP en Windows y escribir excepciones de firewall.
3. Descarga de aplicaciones sin firmar en sitios de torrents
Otra forma que ayuda a que las nuevas infecciones de rootkit se propaguen es a través de la descarga de aplicaciones sin firmar desde sitios de torrents. Debido a que en la mayoría de los casos los archivos están dañados, normalmente no hay forma de comprobar su seguridad.
Como tal, muchas de las aplicaciones están cargadas de malware, incluidos los rootkits.
Cómo prevenir y eliminar el malware de rootkit
Los rootkits son extremadamente dañinos una vez que se apoderan de una máquina. Estas son algunas de las formas en las que puede prevenir las infecciones de rootkit.
1. Utilice un software antivirus de buena reputación
El uso de un software antivirus de buena reputación es uno de los primeros pasos a seguir cuando se intenta prevenir infecciones de rootkit. Entre las mejores suites antivirus para este tipo de infecciones se encuentran Avast, Kaspersky, Bitdefender, ESET Nod32 y Malwarebytes.
Kaspersky tiene una herramienta dedicada rápida llamada Kaspersky TDSSKiller que está diseñada para detectar y eliminar la familia de rootkits TDSS. El escaneo generalmente solo toma unos minutos. McAfee también tiene su herramienta independiente RootkitRemover que puede deshacerse de los rootkits Necurs, ZeroAccess y TDSS.
2. Evite abrir correos electrónicos de fuentes desconocidas
Los rootkits a veces se propagan a través de archivos adjuntos en correos electrónicos y aplicaciones de chat. Por lo general, los piratas informáticos engañan a un objetivo para que abra un correo electrónico con una oferta dudosa o una notificación urgente.
Una vez que se abre el archivo adjunto, comienza la secuencia de infección.
No descargue archivos adjuntos ni haga clic en enlaces en correos electrónicos de los que no esté seguro.
3. Actualizar software
De vez en cuando, los piratas informáticos se dirigen a aplicaciones obsoletas que están llenas de errores. Esta es una de las principales razones por las que Windows lanza regularmente parches del sistema y recomienda activar las actualizaciones automáticas.
Como regla general, las aplicaciones sensibles, como los navegadores, deben actualizarse periódicamente porque son puertas de acceso a Internet. Como tal, su seguridad es primordial para proteger todo el sistema operativo.
Las últimas versiones suelen tener características de seguridad actualizadas, como anti-cryptojackers, bloqueadores de ventanas emergentes y mecanismos anti-huellas dactilares. El software antivirus y los cortafuegos instalados también deben actualizarse periódicamente.
4. Utilice escáneres de detección de rootkit
Es mejor utilizar una variedad de herramientas de detección de rootkit para prevenir este tipo de infecciones. No todos los rootkits pueden detectarse con cierto software antivirus. Debido a que la mayoría de los rootkits se activan al comienzo de los procesos del sistema, los escáneres que operan cuando el sistema se está iniciando son esenciales.
En este caso, el escáner de tiempo de arranque de Avast se encuentra entre los mejores para esto. Comienza a buscar malware y rootkits justo antes de que se inicie Windows y es muy eficaz para detectarlos antes de que se oculten en los núcleos del sistema a través de la emulación.
Protéjase contra los virus rootkit
Escanear el sistema en modo seguro es otro truco que se utiliza para detectar la mayoría de los virus en su forma inactiva. Si esto no funciona, formatear el disco duro y reinstalar el sistema operativo ayudará.
Para una protección avanzada contra rootkits, se recomienda reemplazar las computadoras estándar con computadoras de núcleo seguro. Tienen los últimos y más elaborados mecanismos de prevención de amenazas.