Los rootkits son programas que hacen invisibles las acciones de intrusos o software malicioso, y ayudan a los ciberdelincuentes a infiltrarse en un sistema, tomar control sobre él, pudiendo así espiar, robar datos, lanzar ataques de malware, entre otras cosas sin ser descubiertos. 

Estos "invitados silenciosos" pueden ingresar en el sistema junto con correos electrónicos de phishing, aplicaciones instaladas o proceder de sitios web infectados. También es común que se infiltren a través de medios externos. A pesar de contar con toda la seguridad necesaria es fundamental estar alerta y tener conocimiento sobre este tipo de ataques para que puedas ser precavido y protegerte. Sin embargo, en muchas ocasiones, es probable que los atacantes encuentren una brecha en el sistema de una compañía, porque suelen saber cómo planificar y ejecutar ciberataques bien organizados de amenazas persistentes avanzadas (APT).

Los rootkits se utilizan como parte de las campañas de ciber-espionaje, y suelen ser ataques destinados a robar dinero o irrumpir totalmente en la infraestructura de la empresa atacada. Estos objetivos suelen ser comunes a todos los ciberataques en general, pero los rootkits son peligrosos por su gran eficacia. La capacidad de apoderarse de sistemas ajenos sin que se note ha provocado muchas veces consecuencias irreversibles y suponen una gran amenaza.

¿Cómo protegerse frente a este tipo de ataques?


Sandbox

Esta es una de las herramientas más valiosas en la lucha contra los rootkits, ya que puede detectarlos incluso antes de que se infiltren en el sistema. En el momento en que un atacante instala un rootkit, los analizadores incorporados notifican al usuario la actividad maliciosa o sospechosa. El proceso se ejecuta en un entorno aislado que no perjudica al sistema principal.

Sandbox con tecnología de detección proactiva y encubierta.

Por ahora, esta es una tecnología exclusiva de Positive Technologies.PT Sandbox - 2.4. detecta los rootkits no sólo en la fase de instalación, sino incluso después de que el sistema ya esté infectado con ellos, lo que antes era casi imposible.

Otros métodos de lucha contra los rootkits se basan en el lanzamiento de herramientas anti-rootkit dentro del Sistema Operativo, pero si un malware bien hecho ya está instalado, no puede ser detectado.


Escáneres de rootkits

Los escáneres son capaces de detectar los rootkits y el malware relacionado, incluso si han logrado evadir sus defensas antivirus. Sin embargo, normalmente sólo son capaces de encontrar los rootkits ya añadidos en las bases de datos, mientras que los que infectaron el sistema antes de la instalación pueden no ser encontrados nunca.

Herramientas que detectan la actividad maliciosa en los endpoint

Estas soluciones se centran en la detección de ataques dirigidos y amenazas avanzadas. Revelan la actividad maliciosa en estaciones de trabajo, servidores y dispositivos IoT. Los agentes se instalan en estos endpoint para supervisar los procesos, las acciones de los usuarios y las comunicaciones. Estas herramientas aprovechan los algoritmos de aprendizaje automático para detectar incidentes de seguridad y alertar sobre ellos.

Comprobación de la integridad del sistema

Un método de detección de rootkits muy conocido es la comprobación de la integridad del sistema. Los archivos del sistema operativo que han sido modificados por los atacantes pueden convertirse en fuentes de amenazas. La integridad del sistema y sus componentes puede comprobarse con utilidades especiales.

Análisis del tráfico de red en busca de anomalías

Las anomalías pueden estar relacionadas tanto con desviaciones de hardware y software como con violaciones de la seguridad. En ambos casos hay que hacer un seguimiento con sistemas especiales de monitorización: aplicaciones web, programas de código abierto, freeware, etc. Recogen estadísticas sobre el funcionamiento del sistema, todos los eventos de amenaza y el tráfico entrante en tiempo real y los visualizan en gráficos y tablas.

Reglas básicas para evitar estos ataques:

Las reglas que aumentan tu protección contra los rootkits son bastante simples y es fundamental tenerlas en cuenta para evitar estar vulnerables frente a estos incidentes.

 

1. Instala regularmente las actualizaciones de seguridad.

2. Verifica las firmas digitales y los certificados, y actualiza las bases de datos del antivirus.

Los rootkits son una sofisticada herramienta de ataque, pero contar con la prevención adecuada te ayudará a estar alerta frente a posibles ataques de este tipo. Desde Noventiq buscamos siempre mantenerte protegido y una de las principales formas de protección y resguardo es tener el conocimiento necesario para afrontar estas amenazas y prevenirlas antes de que sea demasiado tarde.