Rootkits: descargas con "sorpresa"



Habitualmente, ¿adquiere sus programas en tiendas especializadas, o suele optar por descargarlos de Internet? y en caso de descargarlos de Internet, siempre lo hace desde las páginas de fabricantes de software o utiliza otras alternativas como programas PeerToPeer (P2P) y páginas de software genéricas donde encontrar todo tipo de programas? Este consejo pretende advertir sobre los peligros existentes al realizar descargar programas de páginas que no son las oficiales del fabricante.

Al tener la necesidad de buscar software, el usuario en un entorno personal suele utilizar el camino más fácil y económico, y éste no es otro que las descargas de programas mediante redes P2P tipo Emule, Kazaa, Ares, etc. o páginas de descarga tipo "softonic" o "todoprogramas". Las redes P2P permiten descargar ficheros ejecutables EXE (muchas veces comprimidos en formatos como ZIP o RAR) que supuestamente son el programa buscado por el usuario, pero que en realidad pueden ser "cualquier cosa". Nadie le garantiza al usuario que lo que descarga es el programa, una demo del mismo, o el programa con "sorpresa" incluida. En el caso de páginas de descarga (como "todoprogramas") la situación resulta similar ya que ofrecen la descarga directa, sin comprobar de donde se realiza ésta. Otras páginas como softonics, tienen la opción de realizar la descarga desde la web oficial (que es la mejor opción). En este caso se suele indicar si el programa a descargar es libre, una versión de prueba, o es un enlace para realizar la compra del mismo. Si se opta por descargar sin conocer su origen, el riesgo de que el programa en cuestión oculte software malicioso como rootkits, es muy alto. Este riesgo aumenta exponencialmente si el programa buscado tiene evidente finalidad maliciosa.

Se denomina rootkit al conjunto de herramientas cuya finalidad es permitir a un intruso acceder a un sistema, controlándolo remotamente con la posibilidad de extraer información sensible del mismo. La característica más importante es su capacidad para ocultarse de manera que los antivirus no consigan localizarlo y eliminarlo. Los rootkit modifican archivos propios de sistemas y consiguen desactivar el antivirus, impedir la actualización cortando su acceso a Internet, o redirigiendolo a una página maliciosa. Un posible síntoma para detectar si un sistema tiene un rootkit es que nuestro antivirus no se actualice a pesar de tratarse de una tarea automática.

En el mercado existen varias soluciones que permiten la detección y eliminación de rootkits. Como ejemplo pueden nombrarse Blacklight de F-Secure, RootkitRevealer de SysInternals, o Gmer. La eliminación no es una tarea sencilla, por lo que una buena opción es arrancar el sistema desde un Live-CD y desde éste ejecutar el software de limpieza.

Como conclusión, se recomienda al usuario (en entorno personal) descargar software únicamente de páginas web oficiales o de contrastada reputación y si se tiene dudas sobre lo descargado, examinarlo previamente con un antivirus . Por último y no por ello menos importante, se recuerda que la copia y distribución no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos utilizados para proteger dichos programas, es delito y se encuentra tipificado en el código penal en los artículos 270, 271, y otros.