Rootkits - Malware sigiloso en lo profundo de tu SO
Lectura de 2 min aprox.
Un rootkit es un tipo de malware que se oculta en lo más profundo del sistema y disimula su propia presencia ante el sistema operativo y el software de seguridad. Su nombre proviene de «root», el privilegio más alto en Unix/Linux, y los atacantes lo utilizan para mantener un acceso persistente al sistema. Como es extremadamente difícil de detectar, hay casos en los que se roba información durante largos periodos sin que la infección llegue a notarse. En 2024 se descubrieron varias nuevas variantes de rootkits UEFI, lo que aumenta la importancia de las medidas de seguridad a nivel de firmware.
Casos de uso reales
«Durante una investigación forense, descubrimos un rootkit en modo kernel. No aparecía en la lista normal de procesos ni en la de conexiones de red, y solo pudimos detectarlo mediante el análisis de un volcado de memoria. Habían pasado unos 8 meses desde la infección hasta el descubrimiento, y cuantificar la cantidad de información filtrada durante ese tiempo es un desafío.»
La estructura de ocultamiento de los rootkits
Tipos de rootkits
Los rootkits en modo kernel se incrustan en el kernel del sistema operativo y son los más difíciles de detectar. Los rootkits en modo usuario operan en la capa de aplicación, ocultando procesos y archivos. Los bootkits infectan el proceso de arranque del sistema operativo y comienzan a actuar antes de que este se cargue. Los rootkits UEFI infectan el firmware, lo que los convierte en el tipo más problemático, ya que no pueden eliminarse ni reinstalando el sistema operativo.libros sobre detección de rootkits (Amazon) te permiten aprender los detalles técnicos.
Un escenario real de daños
En una empresa, un atacante que se infiltró a través de una puerta trasera instaló un rootkit en modo kernel y mantuvo el acceso a la base de datos de clientes durante seis meses. Como el rootkit ocultaba sus procesos y su comunicación de red, la supervisión de seguridad habitual no pudo detectarlo, y solo salió a la luz gracias a un aviso de un tercero externo. En la respuesta a incidentes, las investigaciones deben realizarse partiendo de la premisa de que puede haber un rootkit presente.
Detección y eliminación
Como los análisis de virus habituales no pueden detectarlos, se necesitan herramientas de detección de rootkits específicas o un análisis desde fuera del sistema operativo (arrancando desde un medio de arranque). Si se confirma un rootkit en modo kernel, una reinstalación limpia del sistema operativo es la solución más fiable. Como medidas preventivas, mantener actualizados el sistema operativo y el software, proteger las cuentas de administrador con contraseñas aleatorias robustas y habilitar la autenticación multifactor permiten reducir el riesgo de una intrusión inicial.guías de seguridad de sistemas (Amazon) también son referencias útiles.
¿Te resultó útil este artículo?