Un rootkit es un conjunto de herramientas de software que, cuando se instala en una computadora, proporciona acceso remoto a recursos, archivos e información del sistema sin el conocimiento del propietario. Los “programas de niñera” para los padres y las fuerzas del orden utilizan varios tipos de rootkits para monitorear en secreto la actividad en las computadoras con fines de vigilancia, pero los piratas informáticos malintencionados también pueden instalar rootkits en las computadoras de víctimas desprevenidas.
La palabra “rootkit” proviene del sistema operativo (SO) UNIX ™ que prevalecía antes de Microsoft ™ Windows ™. Linux y Berkeley Software Distribution (BSD) son derivados de UNIX. El nivel «raíz» de un sistema UNIX es similar a los privilegios de administrador de Windows. El paquete de software de control remoto se conoce como «kit», lo que nos da «rootkit» a veces escrito como «kit raíz».
Los rootkits han estado creando un gran revuelo desde principios de la década de 1990. El tipo de rootkits que atacan las máquinas con Windows ™ se integran en el kernel del sistema operativo. Desde aquí, el rootkit puede modificar el propio sistema operativo e interceptar llamadas al sistema (solicitudes de información del sistema), proporcionando respuestas falsas para disfrazar la presencia del rootkit. Dado que el rootkit oculta sus procesos del sistema operativo y los registros del sistema, es difícil de detectar.
Un pirata informático malintencionado puede instalar un rootkit en una computadora a través de varios medios. Los rootkits se pueden entregar en un troyano o incluso en un archivo aparentemente benigno. Esto podría ser un programa gráfico o tonto distribuido por correo electrónico. Las víctimas no tienen forma de saber que se instalará un rootkit haciendo clic en el gráfico o programa. Los rootkits también se pueden instalar navegando por la Web. Una ventana emergente puede indicar, por ejemplo, que un programa es necesario para ver el sitio correctamente, disfrazando un rootkit como un complemento legítimo.
Una vez que se instala un rootkit, el pirata informático puede comunicarse en secreto con la computadora de destino siempre que esté en línea. El rootkit se utiliza normalmente para instalar más programas ocultos y crear «puertas traseras» al sistema. Si el hacker quiere información, se puede instalar un programa keylogger. Este programa registrará en secreto todo lo que la víctima escriba, en línea y fuera de ella, entregando los resultados al intruso en la próxima oportunidad. Los programas Keylogger pueden revelar nombres de usuario, contraseñas, números de tarjetas de crédito, números de cuentas bancarias y otros datos confidenciales que configuran a la víctima para un posible fraude o robo de identidad.
Otros usos maliciosos de los rootkits incluyen comprometer a varios cientos o incluso cientos de miles de computadoras para formar una ‘red de rootkit’ remota llamada botnet. Las botnets se utilizan para enviar ataques de denegación de servicio distribuido (DDoS), spam, virus y troyanos a otras computadoras. Esta actividad, si se remonta a los remitentes, puede potencialmente resultar en la incautación legal de computadoras de propietarios inocentes que no tenían idea de que sus computadoras se estaban utilizando con fines ilegales.
Para ayudar a protegerse contra los rootkits, los expertos recomiendan que el software de seguridad se mantenga actualizado, incluidos los antivirus y antispyware. Instale revisiones (parches de seguridad del sistema operativo) a medida que estén disponibles y elimine el correo no deseado sin abrirlo. Al navegar por Internet, solo permita que los sitios confiables instalen software y evite hacer clic en pancartas o ventanas emergentes desconocidas. Incluso un botón de «no, gracias» puede ser una táctica para descargar un rootkit.
También es aconsejable utilizar uno o más programas de software anti-rootkit para buscar rootkits semanalmente y luego hacer una copia de seguridad del sistema. Aunque algunos rootkits supuestamente se pueden eliminar de forma segura, la recomendación general es reformatear la unidad y reconstruir el sistema para asegurarse de que todo el rootkit y todos sus procesos se hayan ido. Si llega el caso, una copia de seguridad reciente y limpia facilitará mucho el trabajo.