Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Español
Entry № 1062

Rootkit

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Rootkit?

RootkitMalware sigiloso que concede y oculta un acceso privilegiado a un sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales.

Un rootkit es un conjunto de herramientas o componentes de kernel/firmware que dan a un atacante un acceso persistente y de alto privilegio, al tiempo que ocultan archivos, procesos, claves de registro, controladores y conexiones de red a los defensores. Los rootkits operan en distintos anillos: modo usuario (hooking de APIs), modo kernel (modificación del núcleo o de la tabla de llamadas al sistema), bootkit (subversión del cargador de arranque) y firmware (UEFI/BIOS); cuanto más profunda es la ubicación, mayor es el sigilo y la capacidad de supervivencia.

Tres hitos ilustran esta escalada. En 2005, el escándalo de la protección anticopia XCP de Sony BMG dejó expuestos millones de PC de consumidores cuando el software del CD instalaba en silencio un rootkit que encubría cualquier archivo que comenzara por $sys$. En 2018, ESET documentó LoJax, el primer rootkit UEFI hallado en el mundo real —atribuido al grupo Sednit/APT28 vinculado a Rusia—, que reescribía la memoria flash SPI para sobrevivir a reinstalaciones del sistema operativo y a cambios de disco. En 2023, BlackLotus se convirtió en el primer bootkit UEFI capaz de derrotar a Secure Boot en un Windows 11 totalmente actualizado, abusando de CVE-2022-21894 ("Baton Drop") para desactivar BitLocker, HVCI y Defender; se vendía en foros por unos 5.000 dólares.

La detección requiere análisis forense de memoria, comprobaciones de integridad/atestación y escaneos offline, ya que no se puede confiar en que un sistema operativo infectado en ejecución informe sobre sí mismo. Las mitigaciones incluyen UEFI Secure Boot con listas de revocación actualizadas (DBX), aplicación obligatoria de controladores firmados, arranque medido basado en TPM y la reducción del software en modo kernel.

flowchart TB
  subgraph Profundidad de sigilo
    U[Rootkit en modo usuario - hooking de APIs] --> K[Modo kernel - modifica las syscalls]
    K --> B[Bootkit - subvierte el cargador de arranque]
    B --> F[Firmware UEFI - persistencia en flash SPI]
  end
  F --> P[Sobrevive a la reinstalacion del SO y al cambio de disco]

Ejemplos

  1. 01

    TDL/TDSS, familia de rootkit en modo kernel de larga duración dirigida a Windows.

  2. 02

    ZeroAccess, usado para ocultar cargas de fraude de clics y minería de Bitcoin.

Preguntas frecuentes

¿Qué es Rootkit?

Malware sigiloso que concede y oculta un acceso privilegiado a un sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales. Pertenece a la categoría de Malware en ciberseguridad.

¿Qué significa Rootkit?

Malware sigiloso que concede y oculta un acceso privilegiado a un sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales.

¿Cómo defenderse de Rootkit?

Las defensas contra Rootkit combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Rootkit?

Nombres alternativos comunes: Kit sigiloso, Malware de nivel root.

Términos relacionados

Véase también