Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows.

Algunas versiones españolas de programas lo han traducido como «Encubridor».

Origen de los rootkits
El origen de los rootkits puede ser muy variado. La mayoria aparecen desde los emuladores y descargadores de archivos mediante varios virus lo cual se le podria decir que aparte de encubrir es un duplicador de ellos.

Uso de los rootkits
Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.

Los rootkits se utilizan también para usar el sistema atacado como "base de operaciones", es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).

Tipos de rootkits
Tipos básicos

Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procedimiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.

Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.

Ejemplos

* Algunos troyanos han utilizado estos rootkits no-persistentes ( FU Rootkits ) que cargan en la memoria una vez que ellos se encuentran instalados.
* SuckIT
* Adore
* T0rn
* Ambient's Rootkit (ARK)
* Hacker Defender
* First 4 Internet XCP (Extended Copy Protection) DRM
* (en inglés) Rootkit.com rootkits PoC gratuitos.
* (en francés) RkU Test Rootkit & Unreal rootkits para someter a un test sus softwares de protección.
* Rootkit de núcleo : UACd (Agrega un driver de muy bajo nivel llamado UACd.sys)
* Rootkits de Macintosh


Detección de rootkits

Hay limitaciones inherentes a cualquier programa que intente detectar rootkits mientras se estén ejecutando en el sistema sospechoso. Los rootkits son aplicaciones que modifican muchas de las herramientas y librerías de las cuales depende el sistema. Algunos rootkits modifican el propio kernel (a través de módulos y otros métodos como se indica más arriba). El principal problema de la detección de rootkits consiste en que el sistema operativo en ejecución no es fiable globalmente. En otras palabras, algunas acciones como pedir la lista de los procesos en ejecución o listar los ficheros de un directorio no son fiables al no comportarse como deberían.

El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un PenDrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.

Los fabricantes de aplicaciones de seguridad han ido integrando los detectores de rootkits en los productos tradicionales de detección de antivirus. Si un rootkit consigue esconderse durante el proceso de detección, será identificado por el detector de rootkits, que busca movimientos sospechosos. Si el rootkit "decide" detenerse momentáneamente, será identificado como un virus. Esta técnica combinada de detección puede obligar a los atacantes a implementar mecanismos de contraataque (también llamados retro-rutinas) en el código del rootkit, con el objetivo de eliminar los procesos creados por el software de seguridad, eliminando así al programa antivirus de la memoria. Al igual que con los virus convencionales, la detección y eliminación de los rootkits será una batalla permanente entre los creadores del rootkit y de los programas de seguridad.

Hay varios programas disponibles para detectar rootkits. En los sistemas basados en Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter. Para Windows está disponible un detector llamado Blacklight (gratuito para uso personal) en la web de F-Secure. Otra aplicación de detección para Windows es Rootkit Revealer de Sysinternals. Detecta todos los rootkits actuales comparando las funcionalidades del sistema operativo original con las que se han detectado. Sin embargo, algunos rootkits han empezado a añadir este programa a la lista de los cuales no deben esconderse. En esencia, eliminan las diferencias entre los dos listados, de modo que el detector no los encuentra. Pero algo tan simple como renombrar el fichero rootkitrevealer.exe hace que el rootkit ya no sepa que se está enfrentando a un detector. Como se decía antes, será una continua batalla entre los rootkits y los antivirus.

Software de detección de rootkits

Freeware

* [ Solo los usuarios registrados pueden ver los enlaces ¡Haz clíck aquí para registrarte! ] (Windows/UNIX/Linux)
* chkrootkit (UNIX/Linux)
* rkhunter (UNIX/Linux)
* RootkitRevealer (Windows)
* klister es un grupo de herramientas en fase preliminar
* flister programa para detectar archivos ocultos por rootkits en Windows
* IceSword (Windows) (en francés) Tutoriel
* Rootkit Unhooker (Windows) RkUnhooker (en francés) Tutoriel
* AVG Anti-Rootkit Free (Windows) (en inglés)
* Avira Anti-Rootkit Free (Windows) (en inglés)
* avast! Free con Anti-Rootkit integrado (Windows)


Shareware

* Rkdetector v2.0 Orientado al análisis forense permite detectar y eliminar rootkits además de poder ser usado como software de recuperación de datos.
* Blacklight (versión beta) de F-Secure tiene versión en línea de comandos y gráfica.
* Security Task Manager es un gestor de tareas avanzado que puede mostrar procesos y servicios ocultos
* TaskInfo de Igor Arsenin es otro gestor de tareas mejorado
* unhackme de Greatis software
* Trojanhunter de Mischel Internet Security AB
* ProcessGuard de Diamond Computer Systems Pty. Ltd.
* Rootkit Downloads Descargas de anti-rootkits y rootkits (en alemán).
* avast! Pro con Anti-Rootkit integrado (Windows)
* avast! Internet Security con Anti-Rootkit integrado (Windows)

Un keylogger (derivado del inglés: Key (tecla) y Logger (Registrador); registrador de teclas. Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.

Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, la aplicaciones más nuevas también registran screenshots (capturas de pantalla) al realizarse un click, que anulan la seguridad de esta medida. Cabe decir que esto podría ser falso ya que los eventos de mensajes del teclado deben ser enviados al programa externo para que se escriba el texto, por lo que cualquier keylogger podría registrar el texto escrito mediante un teclado virtual.

Registro de pulsaciones
El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software:

Keylogger con hardware
Son dispositivos disponibles en el mercado que vienen en tres tipos:

1. Adaptadores en línea que se intercalan en la conexión del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada.
2. Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado.
3. Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque específicamente.

Keylogger con software
Contrariamente a las creencias populares, un keylogger por software es simple de escribir, con un conocimiento básico de los API proporcionados por el sistema operativo del objetivo. Los keyloggers de software se dividen en:

1. Basado en núcleo: Este método es el más difícil de escribir, y combatir. Tales keyloggers residen en el nivel del núcleo y son así prácticamente invisibles. Derriban el núcleo del OS y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un keylogger que usa este método puede actuar como conductor del teclado por ejemplo, y accede así a cualquier información registrada en el teclado mientras que va al sistema operativo.
2. Enganchados: Estos keyloggers registran las pulsaciónes de las teclas del teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo activa el keylogger en cualquier momento en que se presione una tecla, y realiza el registro.
3. Métodos creativos: Aquí el programador utiliza funciones como GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles de escribir, pero como requieren la revisión el estado de cada tecla varias veces por segundo, pueden causar un aumento sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones del teclado.

Protección

En algunas computadoras podemos darnos cuenta si esque están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrara cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador. Otro signo de que un keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas. El problema desaparece al eliminarlo.


Monitor de procesos
En windows XP, generalmente presionando ctrl+alt+supr o yendo a Inicio>Ejecutar>taskmgr>aceptar podremos acceder al monitor de procesos y aplicaciones para averiguar que no se esté ejecutando ningún keylogger. Es aconsejable contar con un software anti-rootkit para detectar los procesos ocultos.

Anti-spyware
Los programas Anti-spyware pueden detectar muchos keyloggers y limpiarlos. Vendedores responsables de supervisar la detección del software apoyan la detección de keyloggers, así previniendo el abuso del software.


Firewall
Habilitar un cortafuegos o Firewall puede salvar el sistema del usuario no solo del ataque de keyloggers, sino que también puede prevenir la descarga de archivos sospechosos, troyanos, virus, y otros tipos de malware.

Los monitores de red
Los monitores de red (también conocidos como reverso-firewall) se pueden utilizar para alertar al usuario cuando el keylogger use una conexión de red. Esto da al usuario la posibilidad de evitar que el keylogger “telefonee el hogar” con la información mecanografiada.

Software Anti-Keylogging
El software para la detección de Keyloggers está también disponible. Este tipo de software graba una lista de todos los keyloggers conocidos. Los usuarios legítimos del PC pueden entonces hacer, periódicamente, una exploración de esta lista, y el software busca los artículos de la lista en el disco duro. Una desventaja de este procedimiento es que protege solamente contra los keyloggers listados, siendo vulnerable a los keyloggers desconocidos o relativamente nuevos.

Otro software que detecta keyloggers no utiliza una lista de estos, sino que, por el contrario, analiza los métodos de funcionamiento de muchos módulos en el PC, permitiéndole bloquear el trabajo del supuesto keylogger. Una desventaja de este procedimiento es que puede también bloquear software legítimos, que no son keyloggers. Algunos keyloggers basados en heurística tienen la opción para desbloquear un software conocido, aunque esto puede causar dificultades para los usuarios inexpertos.

Otros métodos
La mayoría de los keyloggers pueden ser engañados, ya sea mediante mecanografiar las credenciales de la conexión o mecanografiar caracteres en alguna parte en la ventana del foco. De la misma manera, uno puede mover su cursor usando el ratón y usar el teclado, haciendo que los golpes del teclado registrados estén en el orden incorrecto. También se puede copiar y pegar caracteres disponibles en la pantalla hasta formar la contraseña.