Todo sobre los rootkits

Los rootkits son una amenaza de Internet de la que últimamente viene hablándose mucho. Pero, ¿qué es exactamente un rootkit? ¿Por qué es tan peligroso? ¿Es cierto que no pueden eliminarse de los sistemas? Vamos a intentar responder a estas preguntas y aclarar algunos mitos.
Los rootkits son una amenaza de Internet de la que últimamente viene hablándose mucho, fundamentalmente desde que se ha hecho público que una gran empresa ha distribuido un rootkit con sus productos. Pero, ¿qué es exactamente un rootkit? ¿Por qué es tan peligroso? ¿Es cierto que no pueden eliminarse de los sistemas? Vamos a intentar responder a estas preguntas y aclarar algunos mitos.

El término viene de la unión de “root” y de “kit”. “Root” se refiere al usuario con máximos derechos en sistemas tipo Unix (puede ser Unix, AIX, Linux, etc). Es el superusuario, el “administrador”, en definitiva, es la expresión máxima de autoridad sobre un determinado sistema informático. Por su parte, “kit” se refiere a un conjunto de herramientas, por lo que un rootkit se puede entender como un conjunto de herramientas con categoría de administrador de un sistema.

Los rootkits, en la práctica, son programas que una vez instalados en un sistema, efectúan las modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas sin que su presencia pueda ser detectada. Fundamentalmente, los rootkits tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo. La única limitación es la imaginación del creador.

Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario (o incluso el usuario root) intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando. O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.

Cuando el antivirus hagan una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguar qué procesos están en ejecución,
el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.

Además, los rootkits presentan un problema añadido: no son códigos que se propaguen por sí solos. Si un rootkit está en un sistema es porque ha sido introducido directamente, no porque se haya propagado a través de Internet como un gusano tradicional. Así, es muy posible que un determinado rootkit esté pensado y diseñado para un sistema concreto, no para una generalidad de ordenadores. Sus funciones y características dependen del sistema atacado, una solución hecha a medida para llevar a cabo acciones maliciosas en un determinado sistema.