Los rootkits permiten a los hackers criminales “controlar” a distancia una PC y, por lo tanto, representan una amenaza muy seria para la integridad de nuestros sistemas, la privacidad de los datos contenidos en ellos y nuestra información personal. Aquí tienes una guía práctica para saber cómo reconocerlos y eliminarlos.
Los rootkits son una seria amenaza para los sistemas informáticos, clasificables en la categoría de malware. A menudo son menos conocidos y, por lo tanto, injustamente menos temidos que los virus más infames.
Como sugiere el nombre, son kits, es decir, herramientas o conjuntos de herramientas, como secuencias de macros o software propiamente dicho, diseñados para obtener los permisos de root en la computadora objetivo, sin que el propietario del sistema atacado lo sepa, por supuesto.
En la terminología de los sistemas Unix/Linux, root es el usuario con plenos poderes sobre el sistema, por lo que puede realizar cualquier operación: esencialmente, es el equivalente de la cuenta de Administrador en los sistemas Windows.
¿Qué Hace un Rootkit?
De hecho, instalar un rootkit en una máquina significa tener control total sobre la misma, pudiendo realizar cualquier operación deseada.
Es importante destacar que este tipo de operación ilícita también puede llevarse a cabo en teléfonos inteligentes, ya que existen rootkits para Android e iOS que pueden atacar específicamente estos sistemas operativos.
Con frecuencia, los antivirus no detectan la presencia de rootkits, una característica que hace que esta amenaza sea aún más insidiosa.
Pero vayamos por partes.
¿Cómo se Puede Infectar con un Rootkit?
Las modalidades de infección son prácticamente las mismas que pueden introducir un virus en nuestros sistemas: es decir, navegar por sitios no seguros, descargar programas y archivos de origen no confiable, abrir adjuntos de correos electrónicos de procedencia dudosa.
Esto, en líneas generales. En realidad, un rootkit podría infectar nuestro sistema simplemente conectando un dispositivo USB infectado, utilizando un “crack” para desbloquear un software o incluso el sistema operativo.
Respecto a esta última posibilidad, agrego algunas palabras solo con fines explicativos, ya que en el ámbito profesional, el uso de software “crackeado”, además de ser ilícito, pone en riesgo la estabilidad y seguridad de los sistemas.
El programador que crea el pequeño software con la intención de permitir el uso de un programa sin tener derecho, eludiendo la protección contra copias o la necesidad de haber comprado una licencia de uso, a menudo está dotado de una notable habilidad, ya que eludir las protecciones o las solicitudes de activación previstas por las diversas casas de software no es en absoluto trivial.
Este pequeño programa de “desbloqueo” contiene las instrucciones o modificaciones al software objetivo que permiten, como se dijo, usarlo sin las legítimas claves de acceso, por ejemplo.
Ahora, ¿qué garantías tenemos de que además de eso, el “crack” no haga nada más? Podría contener tranquilamente código destinado a intentar obtener permisos de administrador en la computadora anfitriona, instalar una puerta trasera abriendo puertos específicos, permitiendo un acceso remoto e inconsciente al sistema.
Incluso la descarga e instalación de un programa puede resultar en la instalación, sin que uno lo sepa, de un rootkit.
La cuestión es que un software puede modificarse para instalar un rootkit en secreto, así que la regla es descargar el software directamente del sitio del fabricante o de espejos indicados y certificados por él.
Algunos sitios ofrecen la descarga de utilidades y software conocidos, muchos solo para brindar un servicio, pero algunos pueden o podrían utilizar esta modalidad para distribuir el programa, que en realidad podría funcionar correctamente, agregando el código necesario para atacar tu sistema.
El problema es bien conocido por los fabricantes de software, tanto que a menudo sugieren verificar el código CRC para asegurarse de que no haya modificaciones no deseadas.
Rootkit: Cómo Darse Cuenta de su Presencia
En este caso, los síntomas a menudo son similares a los provocados por la presencia de un virus.
El primero es una ralentización de la computadora o de la navegación por Internet debido a que la máquina está realizando tareas o transmisiones de datos “en paralelo” con las operaciones normales requeridas por el usuario.
Otro síntoma que un médico llamaría patognomónico es notar cambios en la configuración del sistema o incluso la presencia de software no previsto.
La aparición de la BSOD (Pantalla Azul de la Muerte), esas famosas pantallas azules de error y bloqueo en los sistemas Windows, puede ser una señal que no debe subestimarse. De hecho, los rootkits, especialmente los que actúan a nivel de kernel, son muy sofisticados y complejos: esto puede llevar a bloqueos e inestabilidad del sistema debido a la presencia de errores en el código del propio rootkit.
Ten en cuenta que un rootkit puede desactivar o dañar fácilmente tu antivirus.
Otra señal evidente es notar acciones “autónomas” por parte de tu PC, como cuando, en caso de virus o adware, se abren ventanas emergentes o páginas web sin haberlas solicitado.
Otra sugerencia un poco más “técnica”: normalmente, los sistemas operativos de servidor, pero también en cierta medida los de escritorio, realizan el llamado logging, es decir, registran las operaciones realizadas internamente. El análisis de los archivos de registro es una forma magistral de verificar y descubrir intrusiones en los sistemas informáticos.
Quien ataca un sistema informático también podría borrar sus huellas, alterando o incluso eliminando los archivos de registro, pero también esto es una pista evidente.
Más al alcance del usuario no especializado, podría ser el uso de software antirootkit y escáneres de rootkits (por ejemplo, AntiSpy), programas creados específicamente para detectar modificaciones en los archivos del sistema y escanear el sistema en busca de rastros de intrusiones y de software que permita accesos externos no deseados.
Y si eres un usuario experto, puedes buscar Rootkits en Linux con RkHunter y Chkrootkit.
Cómo Eliminar o Hacer Ineficaces los Rootkits
Después de verificar la presencia de un rootkit en tus sistemas, la acción básica es descargar de la web un eliminador de rootkits y aplicarlo.
Normalmente, estas herramientas encuentran y eliminan una serie de tipos de rootkits conocidos, aunque debes tener en cuenta que la alta posibilidad de presencia de variantes o rootkits personalizados puede hacer que estos métodos sean menos efectivos.
El método más técnico es eliminar manualmente los archivos identificados o restaurar los archivos que el rootkit haya reemplazado con las versiones originales; piensa, por ejemplo, en una DLL.
Para cerrar los agujeros creados por un rootkit o sobre los que explota el rootkit, la mejor manera es mantener actualizado el sistema operativo y los programas instalados: muchas vulnerabilidades de seguridad y posibles accesos se bloquean mediante actualizaciones.
Por supuesto, utilizar un sistema operativo obsoleto, quizás no actualizable, es una excelente manera de seguir siendo víctima de virus y rootkits.
A veces hablo con personas que subestiman este aspecto, afirmando que la computadora en cuestión se ocupa de tareas esporádicas y/o irrelevantes; este es un enfoque muy peligroso, incluso para otros usuarios de la web. Lo hemos discutido en nuestro post: Desmentimos los 4 Mitos Más Populares sobre los Programas Antivirus.
Ten en cuenta, además, que a menudo los rootkits se utilizan para infectar computadoras no con el objetivo de robar los datos en ellas contenidos u otras prácticas que pongan directamente en riesgo a la empresa o persona afectada, sino con el fin de convertir la PC en un “zombi” para usarla en ataques DDoS.
Los ataques de Denegación Distribuida de Servicio utilizan un número elevado de computadoras geográficamente no relacionadas para realizar un ataque convergente contra un sitio o servicio web con el objetivo de volverlo indisponible.
Por lo tanto, es responsabilidad de todos no convertirse en cómplices, aunque no lo sepamos, de este tipo de actividad ilícita, manteniendo nuestros sistemas protegidos y actualizados.
Una buena idea, en general, sería el uso de un firewall, preferiblemente hardware; muchos rootkits utilizan accesos a puertos de comunicación ya definidos y a menudo no pueden utilizar alternativas si los establecidos están bloqueados por una correcta programación de un firewall.
Conclusiones
Los rootkits siguen siendo, incluso con todas las precauciones, un riesgo.
En caso de duda o para un control, recomiendo utilizar, en la fase de verificación, varios programas antivirus y antirrootkit de manera cruzada. Si los “síntomas” o las dudas persisten, lo mejor es consultar a un experto en seguridad informática.
