¿Rootkit o bootkit? ¿Cuál es la diferencia entre ellos? La razón por la cual esa pregunta es tan frecuente es muy sencilla: aunque los bootkit sean descendientes de los rootkit, su ubicación y la forma de afectar un equipo difieren ampliamente. La definición de bootkit en nuestro glosario explica la sutil diferencia:
Tipo de malware que se clasifica dentro de los rootkit. Se aloja en el inicio original del sistema operativo con el fin de obtener acceso total a las funciones de la computadora antes que finalice la carga del mismo.
Vemos entonces que tiene muchas veces, de hecho, características de un rootkit…entonces, ¿por qué no los clasificamos como tal?
¿Qué es un rootkit?
Un rootkit es un código utilizado por atacantes para poder obtener privilegios de administrador (o root, en plataformas Linux) y poder realizar acciones como cambiar contraseñas, ejecutar programas, instalar aplicaciones y, básicamente, hacer lo que quiera.
Otra característica es que son muy difíciles de detectar, ya que una de sus características más destacadas es la capacidad de ocultarse, además de ocultar otras amenazas que instala en el sistema. Su detección normalmente se da de forma indirecta, o sea, manualmente o a través de programas específicos que buscan comportamiento extraño, que acusaría la presencia no deseada de rootkits. En este video podemos ver una solución de seguridad detectando y eliminando un rootkit.
Es importante destacar que en vez de un código malicioso en sí mismo, se trata de una herramienta que oculta el acceso y control de un sistema por parte de un atacante.
¿Qué es un bootkit?
Por otra parte, los bootkits son rootkits específicamente programados para infectar el Master Boot Record (MBR). Este contiene las instrucciones para cargar y ejecutar el sistema operativo, por lo que su infección se da un nivel anterior al arranque del sistema operativo, haciendo que su detección y limpieza sean mucho más difíciles. Cuando un comando es enviado para leer el MBR desde el SO, el bootkit responde enviando la versión original del MBR.
Con la llegada del UEFI y Secure Boot, los bootkit casi dejaron de existir para Windows (por lo menos en la más reciente versión del Sistema Operativo de Microsoft, Windows 8), pero vulnerabilidades generadas por firmwares poco seguras permitieron una vez más la infección de computadoras con bootkits.
Entonces, ¿rootkit o bootkit?
La paradoja de efectividad versus costo versus complejidad juega en contra de ambas amenazas. Más allá de la evolución de la familia, los fabricantes de productos de seguridad digital y de sistemas operativos han desarrollado formas de prevenir y/o detectar la mayoría de estas amenazas, por lo tanto la adquisición de un rootkit/bootkit en el mercado negro hoy en día es muy cara y no suele ser efectiva si las potenciales víctimas están protegidas.
Las tecnologías encontradas en soluciones de seguridad Anti-Stealth (detección de rootkits) e HIPS (que sirve para monitorear la actividad del sistema y emplear un conjunto de reglas predefinidas con el fin de reconocer un comportamiento sospechoso del sistema), aliadas a las buenas prácticas de actualizar siempre la versión del Sistema Operativo e instalar los últimos parches de seguridad, normalmente protegen los usuarios de rootkits -y por ende, de los bootkits, ya que ahora entendemos que son rootkits específicos para el mecanismo de arranque del sistema.