Rootkit

Este artículo o sección necesita referencias que aparezcan en una publicación acreditada. Busca fuentes: «Rootkit» – noticias · libros · académico · imágenes Este aviso fue puesto el 8 de noviembre de 2011.

Un rootkit o encubridor^[1]​^[2]​^[3]​ es un conjunto de software que permite al usuario un acceso de "privilegio" a un ordenador, pero mantiene su presencia inicialmente oculta al control de los administradores al descomponer el funcionamiento normal del sistema operativo. Este término proviene de una concatenación de la palabra inglesa root, que significa 'raíz' (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa kit, que significa 'conjunto de herramientas' (en referencia a los componentes de software que implementan este programa).

El término rootkit tiene connotaciones peyorativas ya que se lo asocia a programas maliciosos al esconderse a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro y puertos. Esto permite al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente enviar acciones o extraer información sensible.

Usualmente, un atacante instala un encubridor en una computadora después de primero haber obtenido derechos de escritura en cualquier parte de la jerarquía del sistema de ficheros, pudiendo ser por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por descifrado de contraseñas o por ingeniería social). Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización. Pese a que los rootkits pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los encubridores pueden estar dirigidos al firmware, al hipervisor, al núcleo, o, más comúnmente, a los programas del usuario.

La detección del encubridor es complicada pues es capaz de corromper al programa que debería detectarlo. Los métodos de detección incluyen utilizar un sistema operativo alternativo confiable; métodos de base conductual; controles de firma, controles de diferencias y análisis de volcado de memoria. La eliminación del encubridor puede ser muy difícil o prácticamente imposible, especialmente en los casos en que el rootkit reside en el núcleo; siendo a veces la reinstalación del sistema operativo el único método posible que hay para solucionar el problema.

1. ↑ «¿Qué es un rootkit (encubridor) y cómo eliminarlo?». www.avast.com. Consultado el 8 de abril de 2019. 
2. ↑ «Rootkits». moodle2017-18.ua.es. Consultado el 8 de abril de 2019. 
3. ↑ «¿Qué es un ataque de intermediarios?». www.icann.org. Consultado el 8 de abril de 2019.