Paquete de software diseñado para permanecer oculto en el equipo de la víctima mientras proporciona acceso y control remotos. Los ciberdelincuentes utilizan los rootkits para manipular un equipo sin el conocimiento ni el consentimiento del propietario.
La primera parte de la palabra, root o “raíz”, se refiere a la cuenta de administrador de un dispositivo. Esta cuenta permite acceder a todos los aspectos del dispositivo, dispone de todos los privilegios y del nivel de control más profundo, como las raíces de una planta. Los rootkits permiten al delincuente “echar raíces” en el sistema, como un árbol en busca de nutrientes. La segunda parte del término, kit o “paquete”, alude al modo en que se desbloquea el acceso root: mediante un paquete (kit) de software que concede al delincuente el control administrativo. El atacante crea un kit de software que le concede privilegios de nivel root sobre el sistema atacado.
Los delincuentes suelen propagar sus rootkits mediante troyanos, un tipo de malware que intenta engañar al usuario para que lo descargue o lo abra. Al hacerlo, el troyano introduce el rootkit. Por este motivo, si el equipo no está protegido contra todos los tipos de malware, se facilitan las intenciones maliciosas de los atacantes y sus rootkits.
Los rootkits son malware cuando se utilizan con propósitos ilegales. No obstante, algunos usuarios instalan rootkits en sus dispositivos como parte de un proceso conocido como jailbreak, cuyo fin es evitar las restricciones integradas por un fabricante. En ocasiones, las autoridades y las agencias policiales también emplean rootkits como parte de la investigación de actividades delictivas.
En sí mismo, un rootkit es una herramienta a la que se le puede dar un uso delictivo o no, dependiendo de lo que se quiera hacer con ella. Los rootkits hacen posible que el malware se oculte en un dispositivo y pueden dificultar e incluso imposibilitar la limpieza de la infección. Un rootkit instalado en un dispositivo concede al atacante acceso remoto a prácticamente todas las funciones del sistema operativo, y además lo hace evitando su detección.
Los rootkits operan en las profundidades de la programación de un equipo, desde donde son capaces de ocultar casi todo rastro de su existencia. Esta sutileza es, en buena medida, lo que los hace tan peligrosos. Algunos rootkits pueden incluso manipular o desactivar los programas de seguridad del equipo, con lo que se dificulta aún más su detección y eliminación.
La mayoría de las veces, los ciberdelincuentes utilizan rootkits para robar información o recabar datos personales para realizar suplantaciones de identidad y otros fraudes. Las empresas también pueden ser víctimas de esta herramienta, para espiarlas o para cometer delitos financieros.
Los ciberdelincuentes pueden adaptar esta herramienta en función de lo que quieren conseguir. Algunos rootkits pueden crear una “puerta trasera” permanente en un sistema que queda abierta para que el atacante pueda regresar más adelante. Otros permiten espiar el modo en que el usuario utiliza su equipo. Con estos rootkits, el delincuente puede interceptar el tráfico de internet, registrar las teclas que pulsa e incluso leer su correo electrónico.
