Bootkit: definición, prevención y eliminación

Una estrategia sólida de ciberseguridad no debería incluir solo enfoques reactivos ante los ciberataques, sino que también debería incluir métodos de prevención proactivos para las infecciones como los bootkits. La capacidad de mitigar las consecuencias de una infección por bootkit y eliminarla es un recurso valioso para tu equipo de ciberseguridad. Los bootkits son sigilosos, por lo que saber cómo funcionan y cómo combatirlos puede ayudar a mantener la seguridad de tu empresa frente a los atacantes.

¿Qué es un bootkit?

Los bootkits son un tipo de malware moderno utilizado por los atacantes para adjuntar software malicioso a un sistema informático. Pueden suponer una amenaza crítica para tu empresa y por lo general utilizan herramientas de rootkit para evitar su detección. Estos ataques tienen como objetivo la UEFI (interfaz de firmware extensible unificada), un software que conecta el sistema operativo de un PC con el firmware de su dispositivo.

Un ejemplo de infección de rootkit es el rootkit de secuestro de navegador Spicy Hot Pot de 2020. Este cambiaba la página de inicio del usuario por una controlada por el ciberdelincuente.

Comparación entre bootkit y rootkit

Un rootkit es una recopilación de herramientas de software o un programa diseñados para proporcionar al atacante control remoto sobre un sistema informático. Los rootkits están diseñados para desactivar el software antivirus y antimalware de un endpoint sin ser detectados. Esto permite que el software malicioso se introduzca en el sistema con el objetivo de atacar la seguridad de la red o de las aplicaciones.

Los bootkits van un paso más allá y están diseñados para infectar el registro de arranque de volumen o el registro de arranque maestro. De este modo, un bootkit puede actuar antes de que se haya iniciado el sistema operativo del ordenador ejecutando el código malicioso instalado.

Las infecciones de bootkit suelen pasar desapercibidas porque todos los componentes están fuera del sistema de archivos de Windows de Microsoft, haciéndolos invisibles a los procesos estándar de los sistemas operativos. Algunas señales de que un ordenador puede tener un bootkit incluyen la inestabilidad del sistema, con advertencias de pantalla azul, y la incapacidad para iniciar el sistema operativo.

El riesgo e impacto de los bootkits

Un bootkit UEFI puede suponer un gran problema para tu empresa, sobre todo cuando uno bien diseñado es prácticamente invisible. Algunos rootkits, como los bootkits, plantean una amenaza crítica para la seguridad y abren el camino para la instalación de malware adicional. Las consecuencias de un rootkit no detectado pueden incluir la eliminación de archivos y el robo de información.

¿Por qué suponen los bootkits una amenaza crítica para la seguridad?

Un bootkit UEFI es especialmente peligroso porque no resulta nada fácil librarse de él. El firmware UEFI se integra en la placa base en lugar de escribirse en el disco duro, por eso es inmune a cualquier manipulación de este. Estos ataques de bootkit suelen ser difíciles de detectar y se pueden instalar mediante descargas gratuitas o sitios web maliciosos que explotan las vulnerabilidades del navegador.

Las consecuencias de un malware tipo rootkit en tu sistema pueden ser:

• Eliminación de archivos: el código del sistema operativo y otros archivos son vulnerables frente a los rootkits.
• Acceso remoto: cambio en los ajustes de la configuración, apertura de puertas traseras en la configuración del firewall y cambio en los scripts de inicio. Cualquiera de estas acciones permite a los atacantes tener acceso remoto al equipo para atacar de nuevo.
• Robo de información: el malware instalado por los rootkits puede robar contraseñas, información personal y datos confidenciales mientras permanece inadvertido.
• Malware adicional: con un rootkit instalado, un atacante puede introducir más software malicioso e incluso hacer que funcione como ransomware, exigiendo un pago por la restauración de tu equipo.

Las infecciones de bootkits tienen posibles consecuencias adicionales, como el espionaje corporativo persistente. Los bootkits de firmware UEFI pueden ser invisibles para las medidas estándar de ciberseguridad y, dado que se inician antes de que se cargue el sistema operativo, siempre están activos cuando el sistema está encendido. Evitar que se produzcan infecciones de bootkits es la mejor barrera de seguridad contra ellas.

Prevención de infecciones de bootkits

Si ejecutas un análisis en busca de actividades sospechosas con un software o un analizador de rootkits, es posible que consigas descubrir rootkits de aplicaciones, pero no serás capaz de encontrar bootkits, un rootkit modo kernel o ataques de firmware. Tener varias capas de análisis puede ayudar a crear una medida preventiva si te aseguras de que comprendes las limitaciones de tu software. Sin embargo, la mejor prevención para un ataque de bootkit es el arranque seguro.

Protección y mitigación de riesgos

El arranque seguro UEFI es un estándar de seguridad que garantiza que un dispositivo se inicia utilizando únicamente software de confianza. El firmware comprueba la firma de cada fragmento del software de arranque, incluyendo el firmware UEFI, y si todas esas firmas son válidas, se inicia el ordenador. Este arranque seguro puede evitar que una infección de bootkit provoque daños porque, si se encuentra, el ordenador no se iniciará.

Para empezar, también puedes aplicar medidas preventivas para reducir el riesgo de sufrir un ataque de bootkit, como evitar actividades de riesgo, como puede ser iniciar el sistema operativo desde dispositivos que no sean de confianza. También puedes comprobar la información acerca del compromiso del proveedor a la hora de actualizar la versión del firmware y del sistema operativo para así evitar ataques contra la cadena de suministro. La monitorización de actividad potencialmente maliciosa es un buen modo de identificar si eres vulnerable a una infección de bootkit. Si el ataque de bootkit ya se ha producido, lo primero que habría que hacer es eliminarlo.

Eliminación de bootkits

Eliminar un bootkit es posible y requiere software de eliminación de malware especializado. La eliminación de rootkits suele ser más sencilla porque puedes limpiar tu disco duro para eliminarlos. Para desinfectar tu sistema de un bootkit, es importante que des con la herramienta adecuada.

Cómo deshacerse de los bootkits

El tipo de herramienta que necesitas es un disco de reparación de arranque que limpie tu registro de arranque maestro. Este software debe emplearse no para reparar el registro de arranque maestro, sino para borrarlo. De este modo te asegurarás de que el bootkit se ha eliminado. Una vez borrado, puedes crear un nuevo registro de arranque maestro, con lo que reformatearás nuevas particiones de la unidad.

Los bootkits también se pueden eliminar de las unidades de disco internas y de las unidades USB utilizando un programador SPI flash. Estos dispositivos de programación pueden borrar, programar y verificar las operaciones de los chips de almacenamiento. Como una infección de rootkit es muy esquiva, si no cuentas con una herramienta especializada, es posible que sea capaz de eludir tus medidas.

Protección frente a ataques de malware

La protección de tu negocio contra los ataques de bootkits es importante para que los atacantes no puedan acceder a tus sistemas de forma remota y oculta. Los bootkits conllevan el peligro adicional de que son difíciles de detectar y eliminar, y permiten que haya ataques de malware futuros más fácilmente. Prevenir y eliminar los bootkits mantiene tu negocio a salvo.

Gracias a CrowdStrike Falcon® Complete, puedes detener las brechas en los endpoints, cargas de trabajo e identidades con una gestión especializada, Threat Hunting, monitorización y corrección. Al tener tu sistema preparado y alerta incluso frente a amenazas de malware ocultas, mantendrás tu empresa a salvo de bootkits y otros ataques de rootkit.