Saltar al contenido

¿Qué son los rootkits y cómo eliminarlos?

que es un rootkit

Pasan desapercibidos. Su función es ocultar programas maliciosos que sean capaces de poner en jaque a tu ordenador. No importa qué tipo de malware sea o la actividad que desarrolle, los rootkits son capaces de volverlos prácticamente indetectables. Pero, ¿qué hace que estos archivos se comporten de esta manera tan peligrosa?

Los virus rootkits rondan en Internet desde hace más de dos décadas y son conocidos por ser el camuflaje perfecto para cualquier archivo capaz de ejecutar códigos maliciosos. 

En este artículo explicaremos cuál es su modus operandi y qué acciones puedes tomar para protegerte de este ataque.

como eliminar rootkits

Definición de rootkit

Empecemos explicando qué son los rootkits. Este término proviene de la palabra inglesa root, «raíz», y kit, que se traduce como «conjunto de herramientas». 

En concreto, se trata de un encubridor capaz de ocultar otro tipo de software con comportamiento malicioso. Por lo general, se esconde en el sistema operativo evadiendo los diferentes programas de antivirus que tengas instalados.

Sin embargo, es importante considerar ciertas características capaces de diferenciarlos de otros programas, como por ejemplo los troyanos. En primer lugar, un virus troyano propaga el virus a través de descargas en la red local, mientras que un rootkit modifica el sistema operativo a fin de que las amenazas permanezcan ocultas.

Los más dañinos pueden cumplir funciones de backdoor, keylogger e incluso trabajar como bots y capaces de ocasionar ataques DDoS. Gracias a esto, los ciberdelincuentes pueden tomar posesión del dispositivo y utilizarlo en prácticas delictivas.

rootkit definicion

Variantes de rootkit

Estos archivos se pueden dividir de varias formas. A continuación, se detallarán los diferentes ejemplos de rootkit y sus características:

De modo usuario: afectan aplicaciones de software y están diseñados para funcionar con aplicaciones y diversos sistemas operativos, por lo que son fáciles de detectar por antivirus especializados. 

Estos se encargan de reemplazar archivos de programas estándar para Windows, como Word o Paint. De esta forma, los piratas informáticos pueden acceder a tu ordenador, gracias a un documento.exe infectado.

Modo kernel: operan desde el núcleo del dispositivo y otorgan al hacker privilegios de administrador

Pueden lograr que el ciberatacante tenga control completo en el ordenador e incluso que añada su propio código. En definitiva, están diseñados para cambiar por completo todo el sistema operativo y ocasionar un daño severo en el dispositivo.

Bootloader o gestor de arranque: su diseño le permite modificar el gestor de arranque o boot loader. Es decir, entran en funcionamiento antes de que el equipo inicie por completo. Son los más peligrosos, ya que si afectan el MBR del ordenador con código malicioso, pueden ocasionar un daño irreparable.

Rootkits de memoria: suelen esconderse en la memoria RAM, afectando el rendimiento del ordenador. De todos, son los que ocasionan un menor daño, ya que desaparecen en cuanto se reinicia el dispositivo, aunque inevitablemente ralentizarán el funcionamiento del PC.

De soporte lógico inalterable: su objetivo central es el firmware del equipo. Pueden instalar diferentes tipos de malware sin conocimiento del usuario y atacar el sistema operativo. Su objetivo es permitir que el hacker controle la actividad online y toda la actividad del hardware.

¿Cuáles son sus objetivos?

La tarea principal de un rootkit es encubrir las acciones maliciosas ejecutadas en el sistema. Como están diseñados para trabajar de manera incógnita, no pueden detectarse fácilmente y en muchos casos suministran información falseada al usuario con tal de que no detecte algún comportamiento anómalo.

Por ejemplo, si tu ordenador ha sido víctima de un ataque y ahora es utilizado por piratas informáticos para el envío de spam, el rootkit mostrará todos los procesos ejecutados, excepto la actividad maliciosa, que permanecerá oculta. 

Esta táctica evita que el antivirus realice la detección de los ficheros y los elimine, por lo que tu sistema continuará infectado de manera indefinida.

eliminar rootkits

¿Cómo infecta al equipo?

Los rootkits pueden instalarse de diferentes maneras, siendo la más común por medio de fallos en el software. Muchos ciberdelincuentes se aprovechan de las vulnerabilidades más conocidas de los sistemas operativos –especialmente Windows- para tomar el control del ordenador o de los dispositivos.

Por lo general, los hackers que utilizan estos archivos también usan otro tipo de malwares en conjunto, como los exploits, para debilitar el sistema y después tomar el control del PC mediante el acceso remoto. 

Algunos piratas usan la ingeniería social con ofertas engañosas o correos con enlaces sospechosos, para distribuir archivos que luego ejecutarán en el ordenador.

Otro método menos común es a través de dispositivos USB previamente infectados, por lo que el virus ingresa en el sistema operativo a través de la conexión entre el hardware y el puerto de entrada en el ordenador.

Una vez infectado, ¿qué hacer?

Hay varias maneras de enfrentarse a un virus rootkit. Una de ellas consiste en evitar que el arranque del sistema operativo se ejecute de la manera tradicional. Es decir, con el disco que contiene el archivo infectado.

La razón fundamental es que, al igual que otros tipos de malware, estos archivos cuentan con un sistema de autoprotección que les permite esconderse. Si quieres saber como eliminar rootkits, debes ser consciente de que esta característica hace que eliminarlos sea una tarea difícil.

La única manera en que pueden ser detectados es detener su funcionamiento, por lo que debes aislarlo y evitar que se active. Para lograrlo, debes usar una unidad diferente, como por ejemplo un CD o una memoria externa.

En caso de que se trate de un rootkit desconocido, diseñado específicamente para un sistema en concreto, lo mejor es buscar la solución por otros medios, como por ejemplo, saber quién ha tenido acceso al sistema operativo y por qué ha tratado de vulnerarlo.

rootkits

¿Cómo prevenirnos?

Un rootkit desarrolla diferentes tareas aparentemente «inofensivas» como las modificaciones al sistema operativo, adquirir derechos de root o modificar diversas acciones en el ordenador. 

La mejor forma de prevenir grandes daños es instalar un sistema informático capaz de analizar y vigilar los archivos del disco y que a la vez detecte las actividades desarrolladas por el software al ejecutarse.

Por ejemplo, cuando este tipo de malware entra en funcionamiento, lleva a cabo diferentes procesos fantasma que se ejecutan con una diferencia de, apenas, milésimas de segundos. Posiblemente pensarás que eliminarlos de manera simultánea es una opción, sin embargo, esta acción tiene sus propios riesgos.

Muchas veces la ejecución de estas tareas supone un peligro para el sistema informático, por lo que el usuario se enfrenta a un doble problema: la dificultad de eliminar la amenaza de manera efectiva y sin dañar el sistema operativo y el apuro de que su equipo se use con fines ilícitos.

En estos casos, lo ideal es elegir un antivirus con análisis basado en la detección inteligente en lugar de patrones de detección cerrados. Kaspersky, Avast y Malwarebytes son buenas alternativas.

Eliminación de los rootkits de mi ordenador

Eliminar un virus rootkit puede ser una tarea difícil, ya que se trata de un tipo de malware capaz de permanecer escondido durante mucho tiempo. 

Lo más recomendable es ejecutar un análisis de detección con un software especializado, como Avast Antivirus, o TDSSKiller, de Kaspersky. Otra alternativa altamente recomendable es el programa MBAR, de Malwarebytes.

Ten en cuenta que deshacerte de este tipo de virus puede ser un proceso complejo, por lo que si estas opciones no fuesen suficientes, recomendamos acudir a servicio técnico, ya que existe la posibilidad de que debas reinstalar el sistema operativo desde cero.

Por último, si quieres saber más sobre antivirus antes de elegir la mejor opción, no dejes de leer el resto de los artículos que hemos preparado para ti. Tu ciberseguridad es lo más importante, por eso queremos ofrecerte la mejor información.

Descubre nuestras guías de eliminación: