Saltar al contenido

¿Qué es y para que se un RootKit?

18 septiembre, 2019
RootKit

Rootkit es el nombre que recibe un conjunto o grupo de herramientas que se emplean muy frecuentemente para acceder de manera fraudulenta a los sistemas informáticos. Normalmente es usado por los cibercriminales y crackers para hacer actividades ilícitas. También rootkit es utilizada con el fin de esconder ciertos procesos, archivos o actividades de ciertos intrusos que pueden acceder a los programas con fines poco confiables. Existe una gran variedad de rootkit para cada sistema operativo, pueden aplicarse en Linux o Microsoft Windows.

Quiere decir que mediante rootkit se pueden mantener ocultas algunas funciones que desempeñan algunos usuarios que no gozan con los privilegios de superusuario para realizar dichas acciones, pero con el uso de esta herramienta esas acciones quedan ocultas y se pueden seguir desempeñando sin que nadie note nada. Es prácticamente un sistema de inteligencia que puede servir para cosas buenas como para cosas malas.

Oferta: Hosting Gratis!

Detectar el uso de rootkit es un proceso complicado ya que se corre el riesgo de corromper el programa que estemos utilizando para detectarlo. Es por esto que se recomienda usar un sistema operativo paralelo que sea confiable y aplicar algunas medidas como controles de firma, análisis de diferencias, análisis de volcado de memoria, entre otras. Es prácticamente imposible eliminar un rootkit y más cuando se aloja en el núcleo. La única solución que puede funcionar es reinstalar todo el sistema nuevamente, sin embargo, hay casos en los que esto no ha funcionado.

¿Cómo funciona un RootKit?

Como funciona un RootKitLos rootkit están creados especialmente para pasar desapercibidos, su modo de funcionamiento es, probablemente, el más eficaz que puedas ver. Si se usa de forma maliciosa entonces se encargará de ocultar la actividad ilícita que se esté llevando a cabo en el sistema y si se usa de manera positiva a modo de protección, entonces lo que hará será ocultar la información valiosa para que, de perpetrarse alguna entrada de un agente externo, esta información no sea revelada bajo ningún motivo.

En el caso que se intente aplicar algún sistema o programa para ver cómo está funcionando el sistema operativo desde un ángulo más profundo, igualmente va a resultar imposible que sea detectado ya que, en el proceso de revisión el rootkit se encargará de mostrar los procesos que considere inofensivos ocultándose a sí mismo y a aquellos que desee.  Esto también ocurre cuando se intenta ver o supervisas un fichero de un sistema, el rootkit hará lo mismo y mostrará aquello que desea que se vea y ocultará aquello que no.

Si el antivirus intenta hacer una llamada de acción para supervisar que todo esté funcionando correctamente pues sucederá igual, el rootkit mostrará resultados falsos o incompletos a fin de no ser descubierto ni él ni los sistemas, los procesos o la información que protege.

Para proteger el sistema operativo de un posible rootkit lo que se tiene que hacer es vigilar más que la actividad de los archivos, el comportamiento que tiene al ejecutarse porque es ahí cuando los procesos son intervenidos. Es decir que, si comenzamos a notar que hay un root intentando entrar al sistema, las llamadas que se consideran básicas en un sistema operativo comienzan a presentar fallas en la ejecución de las mismas o que se presentan informes claramente alterados de los estados del sistema, esto quiere decir que puede haber uno de estos rootkit queriendo entrar a la fuerza. Puede que estos pequeños inconvenientes por sí solos no sean graves ni causen mayores problemas, pero si están siendo ejecutados simultáneamente por un mismo sistema, la probabilidad de que logre instalarse completamente el rootkit es muy segura.