Categoría Ciberseguridad Seguridad TIC
Categoría Ciberseguridad / Seguridad / TIC

Rootkits herramientas de búsqueda

Rootkits: herramientas de búsqueda y cómo enfrentarlos en 2026

Aunque originalmente los rootkits eran empleados para escalar privilegios hasta el nivel de administrador (root, de ahí su nombre), en la actualidad —y especialmente cuando hablamos de entornos Windows— su evolución los ha convertido típicamente en herramientas y mecanismos para tratar de ocultar la presencia de acciones maliciosas y diverso malware, desde virus hasta spyware, pasando por troyanos y otras lindezas.

Hablamos de ocultar procesos, ficheros, valores y cadenas del registro, puertas traseras, etc. Obviamente, entre sus objetivos está eludir la detección por parte de antivirus, software antispy y otro tipo de escáneres. No es extraño verles actuar reemplazando utilidades comunes del sistema (telnet, netstat…), incluso los backups que de ellas tengamos, o valiéndose de inyección de código y DLL, de manera que en cualquier caso suelen ser difíciles de detectar y, por tanto, de erradicar.

Las DLLs: el caballo de Troya cotidiano

Como es sabido, las DLLs —Dynamic Link Library o bibliotecas de vínculos dinámicos— son librerías compartidas. En lugar de incluir código común en cada programa, resulta más práctico reciclarlo: funciones comunes se almacenan en ficheros aparte y son cargadas al correr dichos programas u otras DLLs.

Esa es la idea y su uso completamente normal. Sin embargo, con la inyección de DLL maliciosa básicamente hablamos de insertar código en el espacio de memoria de otros programas, hacerles cargar una DLL de origen malicioso o inyectarla en procesos abiertos (DLL Hooking), consiguiendo así pasar impunemente barreras como las de nuestros cortafuegos.

Hay diversas herramientas amigas que pueden ayudarnos en la búsqueda de rootkits; algunas puede que áridas de uso, pero otras —aunque igualmente permitan el uso desde línea de comandos— se acompañan de interfaz gráfica, más apetecible para el usuario medio.

Cómo detectar un rootkit

No siempre es fácil saber si hay un rootkit en un dispositivo; al fin y al cabo, se trata de una clase de malware diseñada específicamente para pasar desapercibida. Para complicar aún más la situación, los rootkits pueden deshabilitar el software de seguridad instalado por el usuario. Cuando un rootkit llega a un sistema, llega para quedarse un largo tiempo. Y, en ese tiempo, puede provocar serios daños.

¿Cómo puedes saber si hay un rootkit en tu dispositivo? Existen algunos indicios que revelan su presencia:

1. Pantallazos azules

Windows te muestra una gran cantidad de errores o de pantallazos azules (pantallas de fondo azul con texto en blanco) y necesitas reiniciar el equipo con mucha frecuencia.

2. Comportamientos inusuales en el navegador web

Los vínculos te redirigen a sitios extraños o encuentras marcadores que no recuerdas haber agregado.

3. Problemas de rendimiento

El dispositivo tarda mucho en iniciarse, funciona más lento que de costumbre o deja de responder a menudo. Puede suceder, asimismo, que el sistema ignore las órdenes que le des con el teclado o con el mouse.

4. Cambios no autorizados en los ajustes de Windows

Notas que, aunque no has cambiado ningún ajuste, el fondo de pantalla no es el que tú definiste, la barra de tareas se oculta automáticamente o la fecha y la hora no son las correctas.

5. Problemas de funcionamiento en las páginas web

Las páginas web o las interfaces de red funcionan esporádicamente o no dan abasto con la cantidad de tráfico.

El mejor modo de encontrar un rootkit es realizar una búsqueda o análisis antirootkits con una solución antivirus moderna. Si sospechas que tu computadora está infectada, apágala y, para verificar la infección, analízala utilizando un sistema que sepas no esté infectado —un USB de rescate, un Live CD, o el escaneo offline integrado en Windows.

El análisis de comportamientos también puede dar con este tipo de malware. En este tipo de análisis, lo que se busca no es el rootkit en sí mismo, sino comportamientos que caracterizan a esta clase de software: hooks en el kernel, procesos que intentan ocultarse, o modificaciones en la tabla de llamadas al sistema (SSDT). Los análisis antirootkits son eficaces cuando ya ha habido cambios notorios en el funcionamiento del sistema; los análisis de comportamientos, en cambio, pueden revelar la presencia de un rootkit antes de que la infección se haya vuelto evidente.

Cómo eliminar un rootkit

Eliminar un rootkit es una tarea compleja. Por lo general, requiere de herramientas especiales, como la utilidad TDSSKiller de Kaspersky, que puede detectar y eliminar el rootkit TDSS. A veces, el único modo de erradicar una infección profunda es desinstalar el sistema operativo y comenzar nuevamente de cero.

Cómo eliminar un rootkit en Windows

Por lo general, el primer paso para eliminar un rootkit desde Windows es realizar un análisis. Las infecciones profundas —especialmente aquellas que han comprometido el kernel o, peor aún, el firmware de la placa base— solo pueden eliminarse reinstalando el sistema operativo. Si tienes que recurrir a esta vía, no utilices el instalador que viene incluido en Windows: utiliza un disco de instalación externo. Si la BIOS o UEFI están infectadas, necesitarás la ayuda de un técnico profesional.

Herramientas de detección y eliminación

Kaspersky TDSSKiller

Un clásico que sigue vigente. Especializado en rootkits de la familia TDSS/TDL, escanea la memoria y el sector de arranque de forma rápida. No sustituye a un antivirus completo, pero es excelente como segunda opinión cuando algo huele mal.

Malwarebytes

Una de las opciones más populares y con buena razón. Examina la integridad de la memoria del kernel y alerta sobre cualquier anomalía. Permite escanear el sistema en busca de rootkits con un solo clic, y mantiene la protección activa mientras navegas. Detecta desde troyanos y gusanos hasta adware, spyware y malware de día cero.

Sophos Scan & Clean

Es una herramienta útil que detecta y elimina rootkits rápidamente. Utiliza principalmente análisis de comportamiento: examina el comportamiento de cada archivo y aplicación, y si algún archivo o programa actúa de manera similar a los rootkits, se eliminará de inmediato. Incluso protege las claves de registro y las ubicaciones de los archivos para que no vuelvan a infectarse.

Avast Rootkit Scanner

Herramienta potente para detectar y eliminar rootkits mediante análisis de firmas del sistema. El análisis de volcado de memoria y la búsqueda de memoria del sistema son algunas de sus características. Este programa también realiza un seguimiento de todas las llamadas de biblioteca DLL que se importan. Cuenta con un completo sistema de generación de informes que le permite ver los resultados de los análisis actuales y anteriores, además de alertas por correo electrónico después de cada análisis. Está disponible para Windows, Android y, en menor medida, iOS —donde las restricciones del sistema operativo limitan su alcance.

MalwareFox Rootkit Removal Tool

Utiliza su biblioteca de rootkits basada en la nube; comprueba el sistema en busca de todo tipo de rootkits. Rootkits avanzados, tales como keyloggers, también pueden ser detectados. Puede detectar y eliminar todo tipo de rootkits y cerrar cualquier puerta trasera que los piratas informáticos puedan estar utilizando para acceder a su computadora. Su base de datos también se actualiza periódicamente para garantizar una seguridad óptima. Disponible para Windows, macOS y Android.

Microsoft Defender Offline

Una opción que muchos desconocen a pesar de tenerla instalada. Windows incluye un escaneo previo al arranque que carga un entorno limpio antes de que el sistema operativo principal arranque, permitiendo eliminar rootkits que de otro modo serían invisibles. Búscalo en la sección de opciones de análisis de Windows Security.

GMER

Para quienes no se conforman con interfaces amigables. GMER es una utilidad avanzada que detecta rootkits a nivel de kernel, hooks en la SSDT (System Service Descriptor Table), procesos ocultos y modificaciones en el Master Boot Record. No es para el usuario medio —su interfaz es cruda y los resultados requieren interpretación— pero es de las pocas herramientas gratuitas que llegan tan profundo.

Herramientas que ya no están con nosotros

RootkitRevealer (Sysinternals): Una utilidad legendaria para su época, pero diseñada para Windows XP y Windows Server 2003 (32 bits). En sistemas modernos no tiene utilidad práctica. Si la usaste en su día, ya sabes lo que era bueno.

BlackLight de F-Secure: Ejecutable portable que no requería instalación, aplicable bajo Windows 2000/XP/2003. Se encargaba de buscar procesos, ficheros y carpetas ocultas en todas las unidades. En caso de detectar algo sospechoso, ofrecía la opción de renombrarlo para que, tras reiniciar, el ítem apareciera visible y accesible para su eliminación. Descontinuada hace años.

Prevención: lo deseable

Antes de terminar, conviene destacar que estas herramientas pueden tener utilidad —con suerte— a posteriori, pero lo deseable es, directamente, evitar la implantación.

Es por ello que programas de control activo y otro tipo de monitorizaciones residentes son cada vez más recomendables. Se tiende hacia modelos sandbox, creando un entorno donde la ejecución de código esté restringida, o bien emulando entornos y estudiando el comportamiento del código para decidir sobre su grado de sospecha —práctica cada vez más empleada por los antivirus modernos y las soluciones EDR (Endpoint Detection and Response).

Mantén tu firmware (BIOS/UEFI) actualizado, activa el TPM si tu hardware lo permite, y no ejecutes software de origen dudoso con privilegios de administrador. Suena a consejo de abuela, pero en ciberseguridad las abuelas suelen tener razón.

Si tenéis fundadas sospechas de algo raro —altos consumos de CPU de origen anormal o desconocido, consumo aparentemente inexplicable del ancho de banda, etc.— y vuestros sistemas habituales de escaneo no detectan nada, no es mala idea —sin caer en paranoias, habiendo descartado antes las causas más frecuentes— que probéis con ellas. Nunca se sabe.

Ciberseguridad