Un rootkit consiste en un programa que permite un acceso de privilegio de forma continua a un ordenador, aunque se encuentra presente de forma oculta para el control de los administradores del ordenador, ya que en realidad corrompen el funcionamiento normal de las aplicaciones o sistema operativo, es un intruso que se ha colado en el ordenador para hacer daño. Su nombre viene de root (raíz) y kit (conjunto de herramientas).
El rootkit se lo suele asociar con el malware, de hecho suele ser para este fin. Se esconde a sí mismo y a otros archivos, directorios, programas y demás haciendo que se mantenga de forma oculta con la posibilidad de conseguir información accesible o realizar ciertas acciones. Suele ser un atacante el que lo instale en un ordenador habiendo tenido acceso a la raíz (por medio del acceso a la contraseña o alguna vulnerabilidad que se conozca), permitiendo disfrazar la intrusión con la posibilidad de tener acceso al ordenador en todo momento. Puede utilizarse con otros fines, pero lo habitual es que se utilice como malware.
Existen dos tipos: los que funcionan a nivel de aplicación o los que se integran en el núcleo. Existen además kits binarios, del núcleo o de librerías. Los que sean permiten esconder actividades intrusas en el sistema una vez que ha entrado en él.
Suelen reemplazar archivos del programa del sistema con versiones ya modificadas haciendo que realicen las operaciones indicadas, imitan el comportamiento de las aplicaciones originales escondiendo su propia esencia y realizando acciones sin que el administrador lo detecte.
Su detección es bastante complicada, ya que quien debería detectarlo, antivirus u otros programas también puede corromperse por él. En la actualidad, existen métodos de detección que luchan contra ellos, ya que una vez instalados en el ordenador es complicado quitarlos de ahí. Hay que proteger el ordenador incluso desde el momento mismo en el que se va a instalar cualquier cosa, vigilando no introducir en el ordenador algo que pueda hacerle daño, sospechando de cualquier cosa que ofrezca desconfianza. Hay que comprobar si se descargan programas originales, las páginas originales y que todo es como debería ser.
Estos intrusos pueden eliminarse, aunque es más complicado. La mejor forma de evitarlos es evitar el arranque del sistema operativo en el disco en que se encuentra para conocer y eliminarlo. Existen varias herramientas anti-rootkits, tanto de pago como gratuitas, así que esta es la alternativa en caso de que la prevención y todo lo demás haya fallado.
¿Por qué evitarlos mediante la prevención, antivirus y programas especializarlos? Porque puede tratarse de un importante error de seguridad de la empresa, ya que puede hacerse con datos delicados y protegidos, además de que puede afectar al ordenador y otras cosas que se manejan a nivel informático por parte de la empresa.