La evolución de los rootkits

Este artículo de Alisa Shevchenko es el tercero de una serie dedicada a la evolución de los virus y los programas antivirus. El autor define los rootkits como "programas que eluden o burlan los mecanismos estándar usando técnicas de camuflaje para ocultar componentes del sistema como ficheros, procesos, etc.". Asimismo, el autor hace una descripción general de la evolución de los rootkits desde su aparición hasta nuestros días. El artículo está dirigido a los lectores con cierto grado de preparación técnica que quieren conocer los antecedentes históricos de un tema que está generando amplios debates en la industria de la seguridad informática. El artículo se centra en los rootkits para Windows: al ser el sistema operativo más difundido, los rootkits destinados a este sistema son los más populares entre los creadores de virus.

El término “rootkit” se origina en el mundo de UNIX; pero los rootkits modernos para Windows provienen de los virus stealth para DOS que aparecieron por primera vez en 1990. Estos virus estaban diseñados para ser invisibles a los usuarios y los programas antivirus. Tuvo que pasar un tiempo antes de que los rootkits para Windows empezaran a usar estas técnicas para camuflar otros programas nocivos.

Los rootkits para Windows hicieron su aparición unos diez años después que los virus stealth para DOS y la autora hace un repaso de sus orígenes, la primera implementación de estos programas y una descripción de sus funciones. Cuando quedaron claras las posibles vías de desarrollo de las tecnologías de rootkit, éstas empezaron a incorporarse a una amplia gama de programas nocivos. Sin embargo, al principio el número de rootkits maliciosos y las formas en que se aplicaban eran relativamente pocos y se podían clasificar en tres categorías:

• Troyanos que usan herramientas y bibliotecas prefabricadas para ocultarse en el sistema.
• Rootkits nocivos prefabricados que pueden ser modificados por el usuario.
• Rootkits hechos a medida para lanzar ataques a blancos específicos.

En 2005, las tecnologías de rootkit ya habían alcanzado gran difusión, los medios de información se habían ocupado del tema y descubierto que no sólo se usaban en programas nocivos, sino también en productos comerciales. Un ejemplo fue el escándalo con el DRM de Sony en 2006.

La industria antivirus y los investigadores independientes respondieron al uso de las tecnologías rootkit desarrollando un gran número de tecnologías, productos y herramientas para combatirlos. Algunos de éstos son gratuitos y otros comerciales. Pero también existen algunos que están diseñados para luchar contra amenazas que son sólo todavía “pruebas de concepto”, como los rootkits que utilizan la virtualización de hardware.

El artículo también analiza tendencias recientes, como los bootkits (rootkits que se ejecutan durante la secuencia de inicio del sistema operativo); el mítico rootkit Rustock.c, que fue ampliamente discutido en Internet hasta finales de 2006 y los rootkits para sistemas diferentes a Windows, como OS X (Macintosh) y sistemas operativos móviles. La autora concluye que “a pesar de que los rootkits ya no causan tanta expectativa como antes es obvio que el concepto de hacerse invisible al sistema todavía tiene vigencia y es muy probable que veamos nuevas amenazas que implementen tecnologías stealth”.

Lea la versión completa del artículo "La evolución de los rootkits" en el sitio de información y análisis Viruslist.com.