Los profesionales y entusiastas de la seguridad saben qué son los rootkits, pero el público general no suele conocer este tipo de malware diseñado, específicamente, para pasar desapercibido y ocultar sus actividades en un sistema infectado. Dado su peligro, es necesario que todos los usuarios sean conocedores de su existencia. Además, los cibercriminales desarrollan, constantemente, nuevos métodos para robar nuestros datos para, posteriormente, venderlos a otros delincuentes.
Gracias a su habilidad para esconderse, este malware puede subsistir durante meses e incluso años en el sistema de la víctima, permitiendo que el hacker utilice el equipo para cualquier fin. Aunque el ordenador no contenga información de valor, puede usarse para crear monedas virtuales (bitcoins), enviar spam o participar en un ataque DDoS. Las funcionalidades del rootkit consiguen ocultar las actividades maliciosas del cibercriminal, evitando que las herramientas de monitorización del sistema operativo, el firewall o el antivirus las detecten. Por este motivo, os aconsejamos que comprobéis si vuestra solución antivirus dispone de una función anti-rootkit.
¿Cómo consigue un rootkit ser invisible? No es difícil de explicar: el malware integra su código dentro del sistema operativo e intercepta todas las peticiones de lectura de los archivos, obteniendo la lista de proceso en marcha, etc. Entonces, procesa dichas peticiones y elimina cualquier mención o huella de su actividad. También existen otras técnicas; por ejemplo, el rootkit inyecta un código en un proceso y usa la memoria de dicho proceso para hacer el trabajo sucio. Esto permite al rootkit pasar desapercibido para aquellas soluciones antivirus que trabajan superficialmente y no detectan las amenazas de bajo nivel. No obstante, si un antivirus detectase un rootkit, el malware podría desactivar la protección y eliminar los componentes más importantes del antivirus. Uno de los rootkits más sofisticados hasta la fecha creaba un archivo especial para que la solución de seguridad lo detectase. Una vez el antivirus accedía a dicho archivo, el rootkit intentaba cerrarlo y evitar que siguiese funcionando.
¿Cómo podemos bloquear un rootkit? En primer lugar, para detectar cualquier actividad sospechosa, el antivirus debe monitorizar todos los archivos del sistema de bajo nivel para, así, cazar el malware que intenta modificar el disco duro. Nuestro antivirus puede descubrir rootkits desconocidos comparando la actividad del equipo (a nivel del sistema operativo) con los resultados de la monitorización de bajo nivel. En segundo lugar, es esencial que el antivirus disponga de una autoprotección para que el malware no pueda desactivarlo. Y por último, un antivirus tiene que eliminar el 100% de los componentes del rootkit, incluso aquellos dentro de los archivos del sistema. Es imposible resolver este problema borrando, simplemente, los archivos porque el antivirus los restauraría sin afectar a las funciones originales.
Asegúrate de que tu solución de seguridad cumple estos requisitos antes de decir: “Sé qué es un rootkit y estoy seguro de que mi antivirus me protege de esta amenaza”.