Un rootkit es un conjunto de herramientas de software que cuando están instaladas en un ordenador, proporcionan acceso remoto a recursos, archivos e información del sistema sin el conocimiento del duelo del equipo. Este tipo de herramientas no solo son usados por los llamados “hacker”, sino que también son usadas por agencias gubernamentales y similares para temas de vigilancia y monitorización de actividades potencialmente de riesgo.
Sin embargo, son más conocidas por su uso por parte de informáticos instalando este software en ordenadores de personas inconcientes de ello.
La palabra rootkit viene del sistema operativo Unix, donde “root” en este OS es lo mismo que administrador en otros sistemas como puede ser Windows. Al ser una agrupación de herramientas, se le dio la extensión de “kit” para definirlo de esta manera. Estas herramientas han estado entre nosotros desde principios de la década de los noventa. El tipo de rootkits se pueden integrar en el núcleo de otros sistemas operativos.
Una vez instalados en un ordenador, pueden modificar muchas de las cosas internas del sistema, como por ejemplo interceptar las peticiones y requerimientos al sistema (peticiones de información), lo cual puede devolver respuestas falsas para disfrazar la presencia de estos rootkits. Al poder ocultar sus procesos incluso en los registros del sistema, es muy difícil de detectar.
Se puede instalar uno de estos programas en un ordenador de varias maneras, y por este motivo hay que estar pendientes de caer víctimas de esto. Se puede enviar en troyanos o insertados en archivos que a primera vista son totalmente inofensivos. Esto podría ser cualquier tipo de archivo añadido a un correo electrónico. Las víctimas no tienen en principio forma de saber si un rootkit se instalará al ejecutar un programa o archivo en un email.
Los rootkit también pueden instalarse en un ordenador simplemente navegando por Internet. Un ejemplo corriente puede ser una ventana que aparezca al visitar una página Web, y que se debe instalar un programa para ver los videos del sitio Web. Podría ser un rootkit disimulado preparado para instalarse.
Una vez que un rootkit es instalado en un equipo, alguien podría comunicarse con la herramienta sin que lo sepamos al conectarnos a la red. Normalmente un rootkit se utiliza para instalar otros programas ocultos y crear “puertas traseras” en el sistema. Si el hacker quiere más información de nuestro sistema, podría instalar otros programas para tal fin, como por ejemplo un capturado de teclas y así saber lo que está tecleando el usuario (tanto conectado como desconectado). Luego puede enviar la información cuando se tenga acceso a Internet de nuevo.
Otro uso malicioso de estas herramientas es crear un grupo de cientos o incluso miles de ordenadores para formar una red totalmente controlada por una o varias personas.
Es básicamente el mismo concepto de los llamados ordenadores zombie. Esto se puede utilizar después en ataques de denegación de servicio y otros tipos de actividades ilegales. Lo peor es que los dueños de los ordenadores pueden no saber lo que está ocurriendo y enfrentarse a cargos legales siendo totalmente inocentes.
Para evitar los rootkits, los expertos aconsejan que los programas de seguridad que tengamos estén al día. Se aconseja también instalar los parches y actualizaciones que piden cada cierto tiempo los sistemas operativos que tenemos instalados, ya que algunos de ellos son de seguridad precisamente para evitar este tipo de software. También debemos ser cautos cuando vayamos a instalar un nuevo programa de un sitio que no parece de confianza.
Hay programas que directamente son para evitar los rootkit. Hace un escaneo cada cierto tiempo para comprobar que nuestro ordenador está limpio. Por norma general pueden detectar y limpiar nuestro equipo de estas herramientas, aunque muchos recomiendan formatear el disco duro y volver a instalar un sistema limpio para estar seguros.