Algunos programas maliciosos se delatan de inmediato: muestran publicidad, cambian el buscador, bloquean archivos o exigen dinero. Un rootkit funciona de otro modo. Ayuda al código malicioso a arraigarse en el sistema y a ocultar rastros: archivos, procesos, controladores, conexiones de red y entradas de inicio automático.
El término en inglés rootkit suele traducirse como rootkit. No es necesariamente un virus independiente, sino un conjunto de técnicas o componentes para presencia oculta en el sistema. Un rootkit puede acompañar a un troyano, un módulo espía, un minero, una puerta trasera o al cargador de otro software malicioso.
La palabra root procede de sistemas Unix, donde root designa la cuenta con privilegios máximos. Kit significa conjunto de herramientas. En sentido común, un rootkit es una herramienta para el control oculto del sistema. El peligro está en que Windows y los programas de protección pueden recibir datos ya manipulados: parte de los archivos maliciosos, procesos y controladores simplemente no aparecen en las listas habituales.
Los rootkits se encuentran con menos frecuencia que módulos publicitarios, extensiones de phishing y troyanos comunes. Pero ante una infección real, una comprobación sencilla desde Windows en funcionamiento puede no ser suficiente, porque el componente malicioso puede interferir en el propio funcionamiento del sistema.
Qué es un rootkit en palabras sencillas
El sistema operativo responde constantemente a las peticiones de los programas: qué procesos están en ejecución, qué archivos hay en una carpeta, qué controladores están cargados, qué conexiones están abiertas, qué hay en el registro. El antivirus también consulta esos datos, pero busca señales sospechosas.
El rootkit interviene en ese intercambio. Puede interceptar funciones del sistema y alterar las respuestas. Por ejemplo, una carpeta existe, un proceso está activo, un controlador está cargado, pero el sistema infectado muestra la lista como si no hubiera nada sospechoso. Por eso el rootkit es peligroso no solo por sus acciones dañinas, sino por la falsificación de los datos en los que confían las herramientas de protección.
El ejemplo más simple: el usuario abre el «Administrador de tareas» y no ve el proceso malicioso. El antivirus pregunta a Windows por los archivos de una carpeta y recibe una lista incompleta. Una herramienta de red muestra conexiones, pero parte de las direcciones están ocultas. La causa no siempre es una herramienta débil: la fuente de los datos puede estar bajo control del componente malicioso.
Rara vez un rootkit actúa sin otras amenazas. Suele ayudar a otro software malicioso a permanecer más tiempo en el sistema. Un módulo espía roba contraseñas, una puerta trasera acepta órdenes, un minero usa la CPU o la GPU, y el rootkit oculta esa actividad al usuario y a las soluciones de protección.
Dónde puede esconderse un rootkit
Los rootkits tienen varios niveles de profundidad. Cuanto más bajo es el nivel, más difícil resulta su detección y eliminación. El usuario habitual suele encontrarse con inicios automáticos maliciosos, controladores o componentes de arranque. El firmware de la placa base y de los dispositivos es un caso menos frecuente pero más complejo.
| Tipo de rootkit | Dónde actúa | Cómo se oculta | Por qué es peligroso |
|---|---|---|---|
| Rootkit de usuario | A nivel de programas normales | Intercepta funciones de aplicaciones y bibliotecas | Más fácil de eliminar, pero puede ocultar procesos y ventanas |
| Rootkit de kernel | En el núcleo de Windows a través de un controlador | Cambia el funcionamiento de funciones del sistema y estructuras del núcleo | Obtiene privilegios elevados y dificulta a las medidas de protección |
| Rootkit de arranque | En la fase de inicio del sistema | Se activa antes que Windows | Puede iniciarse antes que el antivirus |
| Rootkit de firmware | En el firmware del dispositivo | Opera por debajo del sistema operativo | Puede sobrevivir a la reinstalación de Windows |
El rootkit de usuario está más cercano a los programas habituales. Puede inyectarse en procesos, sustituir bibliotecas o interferir con el funcionamiento del Explorador o del navegador. Esta variante es más fácil de detectar porque no controla el núcleo del sistema de forma directa.
El rootkit de kernel es mucho más serio. Funciona como un controlador. Un controlador es un programa por el que Windows se comunica con el hardware y funciones de bajo nivel. Si un controlador malicioso consigue acceso al núcleo, puede ocultar con mayor profundidad archivos, procesos, claves del registro y conexiones de red.
Un rootkit de arranque se ejecuta antes de la carga habitual de Windows. Puede interferir con las entradas de arranque y la cadena de inicio del sistema. Por eso una comprobación autónoma, un disco de arranque o una reinstalación limpia con verificación de particiones a veces son más fiables que un escaneo desde Windows ya iniciado.
Por qué el antivirus puede no detectar un rootkit
El antivirus normalmente funciona dentro del sistema operativo. Revisa archivos, procesos, memoria, elementos de inicio automático, comportamiento de programas y actividad de red. Pero si el componente malicioso ya ha cambiado la forma en que el sistema muestra esos datos, la protección puede recibir respuestas incompletas.
Aquí importa un principio simple: no se puede confiar plenamente en un sistema infectado cuando informa sobre sí mismo. Un rootkit puede ocultar su archivo en la lista, eliminar un proceso de la salida, falsificar datos sobre un controlador, desactivar funciones de protección o impedir el arranque de un escáner.
Los antivirus modernos buscan rootkits no solo por nombres de archivos. Usan análisis de comportamiento, verificación de controladores, control del arranque, sistemas reputacionales en la nube, heurística y modos autónomos. Pero no hay garantía completa, especialmente si el código malicioso obtuvo privilegios de administrador, se cargó antes que la protección o usó un controlador firmado vulnerable.
Otro problema es BYOVD, ataque a través de un controlador vulnerable traído por el atacante. El agresor añade al sistema un controlador legítimo pero vulnerable de un fabricante real y lo utiliza para acceder al núcleo. Para el usuario ese archivo puede parecer más seguro porque tiene firma digital. Windows 11 reduce parcialmente el riesgo mediante la «integridad de la memoria» y la «lista de bloqueo de controladores vulnerables», pero estas funciones deben estar habilitadas y ser compatibles con el dispositivo.
Cómo llega un rootkit al ordenador
Un rootkit rara vez llega al dispositivo por sí solo. Normalmente el usuario ejecuta primero un troyano, un instalador malicioso, un crack, un mod, una actualización falsa o un adjunto de correo. Después, el código principal intenta elevar privilegios e instalar el componente oculto.
El segundo camino es la explotación de una vulnerabilidad. Si el sistema, el navegador, un controlador o la VPN corporativa llevan tiempo sin actualizarse, el código malicioso puede obtener más privilegios sin una acción evidente del usuario. En equipos domésticos este vector es menos habitual que la infección por un archivo descargado, pero no se puede excluir por completo.
El tercer camino está relacionado con el acceso físico o medios de arranque. Si el atacante puede arrancar el equipo desde una memoria USB, desactivar la protección en la BIOS o cambiar los «parámetros de arranque», el riesgo aumenta mucho. Por eso en portátiles con datos importantes son útiles Secure Boot, contraseña de entrada al UEFI y cifrado de disco con BitLocker o equivalente.
| Fuente de la infección | Cómo se presenta al usuario | Qué reduce el riesgo |
|---|---|---|
| Crack, activador, compilación pirata | El archivo pide desactivar el antivirus y ejecutarse como administrador | Evitar instaladores pirata y descargar programas de sitios oficiales |
| Adjunto de correo | Documento, archivo comprimido, imagen ISO, acceso directo o script | Verificar el remitente, prohibir macros, tener precaución con .lnk, .js, .vbs, .ps1 |
| Controlador vulnerable | El archivo parece firmado y no despierta sospechas | Integridad de memoria, actualizaciones de Windows, lista de bloqueo de controladores vulnerables |
| Memoria USB de arranque | El sistema arranca desde un disco distinto al principal | Secure Boot, contraseña UEFI, control de dispositivos de arranque |
Qué señales pueden indicar un rootkit
No existe una señal única para un rootkit. El equipo puede volverse lento por un disco antiguo, un controlador conflictivo o una actualización fallida. Pero la combinación de anomalías tras ejecutar un archivo sospechoso ya es motivo para revisar el sistema con más profundidad.
Son especialmente sospechosas las situaciones en las que los programas de protección se cierran por sí solos, no arranca Microsoft Defender Offline, desaparece la protección en tiempo real, no se instalan actualizaciones de seguridad y los escáneres de distintos proveedores no se abren o desaparecen justo al iniciarse.
Otra señal importante es la discrepancia en los datos. Por ejemplo, una carpeta ocupa mucho espacio, pero los archivos no son visibles. El equipo transmite datos a la red, pero las herramientas habituales no muestran un proceso claro. En el inicio automático no aparece nada, pero un componente desconocido vuelve después de cada reinicio.
- el antivirus se desactiva sin intervención del usuario;
- los escáneres no se inician o se cierran a los pocos segundos;
- aparecen controladores y servicios desconocidos en el sistema;
- tras eliminarlo, el proceso malicioso vuelve;
- el equipo envía datos a la red sin una causa aparente;
- la comprobación desde Windows no detecta nada, pero persisten señales de infección;
- en las cuentas aparecen inicios de sesión que el usuario no realizó.
Cómo comprobar el sistema en busca de un rootkit
Es mejor empezar la comprobación de forma ordenada. Si hay sospecha de una infección grave, desconecte primero el equipo de Internet. Cambie las contraseñas de correo, bancos, mensajería y servicios de trabajo desde otro dispositivo de confianza. No conviene introducir nuevas contraseñas en el equipo posiblemente infectado.
En Windows 10 y Windows 11 la comprobación básica empieza en la aplicación Seguridad de Windows. Abra «Configuración» – «Privacidad y seguridad» – «Seguridad de Windows» – «Protección contra virus y amenazas». Compruebe las actualizaciones de protección y luego abra «Opciones de análisis».
- Ejecute el «Análisis rápido» para revisar los lugares típicos de infección.
- Después active el «Análisis completo» si el problema no se ha resuelto.
- Para una carpeta o disco sospechoso use el «Análisis personalizado».
- Con señales de amenaza oculta seleccione «Análisis sin conexión de Microsoft Defender».
- Tras el reinicio abra el «Historial de protección» y consulte el resultado.
Microsoft Defender Offline es útil porque el análisis se realiza antes de la carga habitual de Windows. Al código malicioso le resulta más difícil ocultarse si sus procesos y controladores aún no están en ejecución. Frente a la sospecha de un rootkit, este modo es más fiable que un análisis desde el sistema en funcionamiento.
Para el análisis manual del inicio automático ayuda Sysinternals Autoruns. La herramienta muestra servicios, controladores, tareas, extensiones del shell, elementos de inicio de sesión y otros puntos de ejecución automática. Para un usuario no experto Autoruns puede resultar demasiado detallado, por eso no conviene eliminar lo que se encuentre al azar. Es mejor ocultar primero los componentes firmados por Microsoft y fijarse en entradas desconocidas desde AppData, Temp y carpetas extrañas.
| Herramienta | Para qué sirve | Restricción importante |
|---|---|---|
| Microsoft Defender Offline | Análisis antes de la carga habitual de Windows | Requiere reiniciar y no sustituye a la investigación de un caso complejo |
| Kaspersky Virus Removal Tool | Análisis puntual y curación de Windows infectado | No ofrece protección continua en tiempo real |
| Dr.Web CureIt! | Análisis puntual de Windows sin instalar un antivirus completo | Es mejor descargar la utilidad de nuevo para tener bases actualizadas |
| Kaspersky Rescue Disk | Revisión desde una memoria USB de arranque cuando Windows obstaculiza la curación | Hay que grabar la imagen y arrancar desde el dispositivo |
| Dr.Web LiveDisk | Recuperación y análisis del sistema desde USB o DVD | Conviene comprobar la actualidad de la imagen y las actualizaciones de las bases |
| Sysinternals Autoruns | Búsqueda de inicio automático sospechoso, servicios y controladores | No elimina la amenaza por sí mismo y exige precaución |
Cómo eliminar un rootkit
La eliminación depende de la profundidad de la infección. Si se trata de un servicio malicioso, un controlador o un elemento de inicio automático, a veces ayuda un análisis sin conexión, un escáner de segunda opinión y la limpieza de los «puntos de inicio». Si la sospecha afecta al área de arranque o al núcleo, es mejor revisar el sistema desde un medio externo.
En una infección grave no conviene dedicar mucho tiempo a eliminar componentes a mano. Si el rootkit obtuvo privilegios de administrador, desactivó protecciones, instaló controladores, volvía tras su eliminación o impedía el arranque de escáneres, lo más fiable es conservar documentos y reinstalar Windows con una imagen oficial. Tras la instalación hay que actualizar el sistema, activar la protección y restaurar solo archivos verificados.
La reinstalación no debe limitarse al botón de restablecer el equipo si no se confía en el sistema actual. Es mejor crear una memoria USB de instalación en un dispositivo limpio, arrancar desde ella, eliminar las particiones del sistema e instalar Windows de nuevo. Antes guarde documentos, fotos y archivos de trabajo, pero no transfiera antiguos .exe, cracks, scripts ni archivos comprimidos sospechosos.
Tras la eliminación o la reinstalación conviene cambiar las contraseñas. Si en el equipo había un módulo espía junto con el rootkit, contraseñas, cookies y tokens pudieron exfiltrarse antes de la limpieza. Es preferible empezar por el correo, porque a través de él se recupera el acceso a otros servicios.
Qué activar en Windows para protegerse de rootkits
No se puede eliminar totalmente el riesgo, pero Windows 10 y Windows 11 ofrecen varios ajustes útiles. Es mejor comprobarlos antes y no después de una infección. Parte de las funciones depende del hardware, la versión de Windows y la configuración del fabricante del portátil.
- En Seguridad de Windows revise «Protección contra virus y amenazas» – «Administrar la configuración» – «Protección en tiempo real».
- Active la «Protección en la nube» y el «Envío automático de muestras» si la política de privacidad y las normas de trabajo lo permiten.
- Abra «Seguridad del dispositivo» – «Aislamiento del núcleo» – «Detalles del aislamiento del núcleo» y compruebe la «Integridad de la memoria».
- No desactive Secure Boot en el UEFI sin una razón clara.
- Instale actualizaciones de Windows, del navegador, del paquete ofimático, de los controladores y del firmware del portátil desde fuentes oficiales.
- No ejecute cracks, activadores ni instaladores que pidan desactivar el antivirus.
La integridad de la memoria, o «Memory integrity», usa virtualización para dificultar al código malicioso el trabajo con controladores de bajo nivel. Secure Boot ayuda a controlar la carga temprana del sistema. La «lista de bloqueo de controladores vulnerables» reduce el riesgo de ataques a través de controladores firmados antiguos. Estas funciones no hacen el equipo invulnerable, pero complican un ataque.
Preguntas frecuentes
¿Rootkit y troyano son lo mismo? No. Un troyano engaña al usuario y realiza acciones dañinas haciéndose pasar por un programa legítimo. Un rootkit ayuda a ocultar la presencia del código malicioso. En la práctica, un troyano puede instalar un rootkit como uno de sus componentes.
¿Por qué un análisis normal del antivirus no encontró nada? Hay varias razones: puede que no exista amenaza, que la base no conociera la muestra concreta, que el código malicioso se ocultara mediante un controlador o que se iniciara antes que la protección. Por eso ante sospechas graves se usan análisis sin conexión y discos de arranque.
¿Se puede eliminar un rootkit manualmente? A veces es posible si se identifica un controlador, un servicio o una entrada de inicio automático concreta. Pero la eliminación manual sin conocimiento puede dañar Windows. Para un usuario doméstico es más seguro empezar con Microsoft Defender Offline y análisis desde un medio externo.
¿Hay que reinstalar Windows de inmediato? No siempre. Si el escáner detectó y eliminó una amenaza simple y las señales desaparecieron, puede bastar con una comprobación y el cambio de contraseñas. Si la protección se desactivó, el código malicioso volvía o hay sospecha de un componente de arranque, una instalación limpia suele ser más rápida y fiable.
¿Puede un rootkit sobrevivir a la reinstalación del sistema? Los rootkits de usuario y los que afectan a controladores suelen desaparecer tras una instalación limpia que elimine las particiones del sistema. Los rootkits de arranque y de firmware son más difíciles, pero en entornos domésticos son significativamente menos frecuentes.
