¿Qué es un rootkit? Los 5 ejemplos principales que debe conocer

En el mundo de los programas maliciosos, los rootkits representan el mayor riesgo de daños y perjuicios para los sistemas informáticos. Esto se debe a que están diseñados para hacerse cargo de todo el sistema. Cuando lo hacen, pueden pasar a desactivar el software antivirus, algo que los hace aún más difíciles de detectar y eliminar.

Por lo tanto, si su computadora comienza a ralentizarse aparentemente sin motivo, o si comienza a notar anomalías como la pantalla azul de la muerte, es probable que tenga una infección de rootkit. Es posible que haya infectado su computadora como resultado de un ataque de phishing exitoso. También puede ser el resultado de una campaña de ingeniería social. Estos son los ejemplos más comunes de rootkits que debe conocer.

Rootkits en modo usuario

Un rootkit en modo usuario funciona infectando los archivos de aplicaciones comunes como Paint, Excel y Notepad. Dado que infectan los archivos ejecutables de las aplicaciones, generalmente se activan tan pronto como un usuario ejecuta cualquier aplicación estándar. Y aunque el usuario todavía puede usar el programa como de costumbre, tan pronto como ejecuta la aplicación, el rootkit le da a los piratas informáticos cierto grado de control.

Dado que estas aplicaciones maliciosas solo infectan aplicaciones, son relativamente más fáciles de detectar. También son comunes y pueden ser manejados por un buen programa antivirus. Algunos de los rootkits ampliamente conocidos que entran en esta categoría incluyen Hacker Defender, Aphex y Vanquish. Y si buscas más información sobre cómo deshacerte de estos rootkits y otros tipos de virus, aquí puedes encontrar la mayoría de las noticias sobre antivirus. Es aconsejable deshacerse de ellos lo antes posible antes de que tengan la posibilidad de causar un daño extenso.

Rootkits en modo kernel

 Los rootkits en modo kernel son un poco más difíciles de detectar. Esto se debe a que, a diferencia de los rootkits en modo de usuario, se adentran un poco más en el núcleo. Estos programas maliciosos tienen como objetivo el sistema operativo. Como resultado, una vez que logran infectar su sistema, pueden agregar funcionalidades automáticamente, eliminar otras e incluso pueden hacer que su computadora descargue, cargue e incluso instale otras aplicaciones maliciosas.

Un buen ejemplo de un rootkit en modo kernel es el rootkit Zero Access de 2011. Este programa malicioso ha infectado con éxito a más de 2 millones de computadoras. Y si bien tenía la capacidad de acceder y robar datos, se especializó en reclutar sistemas informáticos en una red que fue diseñada para ser utilizada por piratas informáticos. Una vez que atacaba un sistema, comenzaba a descargar e instalar silenciosamente malware en el sistema. El malware adicional luego modificaría el sistema y luego lo transformaría en una herramienta para ataques cibernéticos en todo el mundo. Esto hará que su sistema forme parte de una red maliciosa de computadoras.

Rootkits del gestor de arranque

En lugar de adjuntarse a los archivos de un sistema informático, los rootkits del gestor de arranque adoptan un enfoque único para infectar los registros de arranque. Al infectar el Volume Boot Record y el Master Boot Record de un sistema, estos programas maliciosos obtienen un acceso lo suficientemente significativo como para permitirles destruir su computadora simplemente inyectando unas pocas líneas de código.

La elección de infectar los registros de inicio también los hace menos vulnerables a la detección o eliminación, ya que la mayoría de los programas de software antivirus no están diseñados para centrarse en los registros de inicio al buscar código malicioso. Stoned Bootkit, Rovnix y Olmasco son ejemplos de rootkits que se dirigen principalmente a los registros de arranque de los sistemas informáticos.

Rootkits de memoria

Como sugiere el nombre, estos rootkits tienen como objetivo la memoria de un sistema informático. Atacan la RAM y generalmente consumen los recursos de una computadora mientras buscan ejecutar su código malicioso. Como resultado, se caracterizan principalmente por una computadora que se ralentiza significativamente.

La única buena noticia con respecto a estos rootkits es el hecho de que tienden a "desaparecer" más rápido. Por lo general, no están diseñados para infectar un sistema de forma permanente. Esto se debe al hecho de que se especializan en infectar la memoria RAM, por lo que tan pronto como se realiza un reinicio, desaparecen.

Rootkits de firmware

Los rootkits de firmware suelen ser los tipos de rootkits más difíciles de eliminar. Esto se debe a que pueden infectar el BIOS de su sistema, su enrutador, disco duro y otros tipos de hardware que componen su sistema informático. Dado que infectan el núcleo del sistema, representan el mayor daño potencial para un sistema informático, llegando incluso a registrar pulsaciones de teclas, monitorear la actividad en línea y ejecutar otros tipos de infracciones altamente intrusivas.

Un buen ejemplo de este tipo de rootkit es el que utilizaron en 2008 los delincuentes en Pakistán y China. Usaron el rootkit de firmware para extraer la información de la tarjeta de crédito de sus objetivos y luego enviar esa información a los piratas informáticos. Cuando se hizo, el rootkit había causado pérdidas de decenas de millones de dólares.