¿Cómo se sentiría si alguien hubiera accedido a su equipo sin su conocimiento?

Desafortunadamente, esto es posible con un rootkit (encubridor), que se pueda instalar desde diferentes tipos de productos y se utiliza para controlar de forma remota un dispositivo.

¿Qué Son?

Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos.

Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto.

Tipos de rootkits

  • Modo de usuario:

Estos son los rootkits de nivel bajo que se ejecutan junto con los otros procesos. Estos rootkits tienen capacidad de inyectar cualquier cosa a la memoria. Es decir; mediante estas técnicas crean nuevos archivos DLL.

  • De modo de núcleo:

Estos rootkits afectan la parte del núcleo del sistema operativo. Escribir estos rootkits es muy difícil y su detección también. Esto, porque se ejecutan en el mismo nivel de seguridad del espacio del núcleo del sistema operativo.

  • Boot Kit:

Los Boot kit afectan el Registro Maestro de Arranque y el registro de volúmenes de arranque. Esto es ejecutado en cualquier momento cuando el sistema esta encendido, de manera que reinstalar el sistema no siempre funciona porque puede estar comprometidos archivos del Sistema Básico de Entrada y Salida.

Cómo reconocer un rootkit

Detectar el comportamiento de un rootkit puede ser una labor tediosa. Al buscar en la memoria de su sistema, controle todos los puntos de ingreso para los procesos invocados, manteniendo el seguimiento de llamadas a las bibliotecas importadas que se pueden enlazar o redirigirse a otras funciones.

¿Cuáles son sus objetivos?

Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo.

Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.

¿Cómo podemos eliminarlo?

Es difícil detectar la presencia de un rootkit en un equipo, porque este tipo de malware permanece oculto y hace “su trabajo” a escondidas. No obstante, existen herramientas diseñadas para buscar rootkits siguiendo sus patrones de comportamiento. Eliminar un rootkit es un proceso complejo, que requiere el uso de herramientas. A veces, puede ser necesario que la víctima reinstale el sistema operativo ya que el equipo está demasiado dañado.

Glosario:

Crackers: Este término es utilizado para referirse a las personas que rompen o vulneran algún sistema de seguridad.

DLL: Es el término con el que se refiere a los archivos con código ejecutable que se cargan bajo demanda de un programa por parte del sistema operativo.