secure-os.org
ENFRESDEITPT
Todas las guíasQubes OSTailsWhonixLinux endurecidoCifrado de discoModelo de amenaza
malware

¿Qué es un rootkit? Cómo se oculta y cómo eliminarlo (2026)

secure-os· Actualizado 22 de junio de 2026· 5 min de lectura #malware#rootkit#security#threats#detection
Líneas de código fuente en una pantalla oscura

La mayoría del malware busca hacer ruido: cifrar tus archivos, mostrar anuncios, robar una contraseña. Un rootkit quiere lo contrario: pasar desapercibido. Se entierra en lo más profundo del sistema para mantener el control sin que tú lo notes nunca. Esta guía explica qué es un rootkit, cómo se oculta, las señales que debes vigilar y cómo deshacerte de uno.

La respuesta corta

  • Un rootkit es malware creado para ocultarse y dar a un atacante un control privilegiado y duradero sobre un dispositivo.
  • El nombre viene de “root” (el nivel de acceso más alto de un sistema) más un “kit” de herramientas para conservarlo.
  • Su rasgo principal es el sigilo. Un rootkit oculta de forma activa sus propios archivos, procesos y actividad de red para que las herramientas normales no lo vean.

Cómo se oculta un rootkit

Un programa normal aparece en el administrador de tareas y entre tus archivos. Un rootkit no. Se engancha al sistema a bajo nivel e intercepta las mismas peticiones que lo delatarían. Cuando tu antivirus pregunta “¿qué archivos hay aquí?”, el rootkit edita la respuesta en silencio para excluirse a sí mismo. Eso es lo que lo hace peligroso: no solo infecta el sistema, también controla lo que el sistema informa sobre sí mismo.

Un portátil bajo un paraguas protector, que representa la defensa del sistema
Un rootkit se oculta interceptando las propias comprobaciones del sistema, así que las defensas habituales miran una imagen que el malware ya ha retocado.

Los tipos principales

Los rootkits se agrupan según lo profundo que se asienten. Cuanto más profundos, más difícil es encontrarlos y eliminarlos:

  • Rootkits de modo usuario se ejecutan a nivel de aplicación. Son los más comunes y los más fáciles de detectar.
  • Rootkits de modo núcleo se ejecutan dentro del corazón del sistema operativo, con control total. Mucho más difíciles de detectar.
  • Bootkits infectan el proceso de arranque y se cargan antes que el propio sistema operativo.
  • Rootkits de firmware se esconden en el firmware del hardware y pueden sobrevivir incluso a un borrado completo del disco.

Señales de alerta

Como los rootkits se ocultan, las pistas son indirectas. Sospecha si tu equipo se ralentiza sin motivo claro, si la configuración cambia sola, si el software de seguridad se desactiva o no se actualiza, o si tu red muestra tráfico que no puedes explicar. Ninguna de estas señales prueba por sí sola que haya un rootkit, pero juntas, en un equipo que se comporta de forma extraña, merecen una investigación. Aquí es justo donde un modelo de amenazas claro te ayuda a juzgar el riesgo real.

Cómo detectar y eliminar uno

La detección requiere algo más que un análisis de rutina. Como un rootkit en ejecución puede ocultarse de las herramientas del mismo sistema, el método fiable es analizarlo desde fuera: arrancar desde una USB de rescate limpia, de modo que el rootkit no esté en marcha y no pueda camuflarse. Existen escáneres anti-rootkit y herramientas sin conexión específicas para esto.

La eliminación es la parte difícil. Un rootkit de modo usuario a veces se puede limpiar, pero ante una infección a nivel de núcleo o de arranque el consejo honesto es una reinstalación limpia: haz una copia de seguridad de tus datos, borra el disco y reinstala el sistema operativo desde medios de confianza. Ante un posible rootkit de firmware, quizá necesites una actualización del firmware o ayuda con el hardware. En caso de duda, da por hecho que ya no puedes confiar en el sistema y reconstrúyelo. Un rootkit es un tipo de malware, y los mismos hábitos de prevención (actualizaciones, descargas cuidadosas, mínimo privilegio) son los que lo mantienen fuera desde el principio.

En resumen

Un rootkit es malware cuyo único propósito es permanecer oculto mientras da el control a un atacante. Se esconde manipulando lo que el sistema informa sobre sí mismo, por eso los análisis normales pueden pasarlo por alto y por eso a menudo hay que analizar desde fuera del sistema en ejecución. Ante infecciones profundas, una reinstalación limpia es la única solución segura. La mejor defensa es la prevención: mantén el software actualizado, instala solo desde fuentes de confianza y usa una cuenta de usuario estándar en lugar de administrador.

Preguntas frecuentes

¿Qué es un rootkit en palabras sencillas?

Un rootkit es malware diseñado para ocultarse y dar a un atacante un control continuo y de alto nivel sobre tu dispositivo. A diferencia de la mayoría del malware, su objetivo principal es pasar inadvertido: oculta sus propios archivos y su actividad para que ni tú ni tus herramientas de seguridad noten que está en marcha.

¿Cómo sé si tengo un rootkit?

Las señales son indirectas, porque los rootkits se ocultan. Vigila una ralentización inexplicable, una configuración que cambia sola, un software de seguridad que se desactiva o no se actualiza, o un tráfico de red extraño. Ninguna de estas señales prueba por sí sola que haya un rootkit, pero juntas, en un equipo que funciona mal, justifican un análisis desde una USB de rescate limpia.

¿Puede el antivirus eliminar un rootkit?

A veces, con rootkits superficiales de modo usuario. Pero un rootkit en ejecución puede ocultarse de las herramientas del mismo sistema, así que el método fiable es analizarlo desde fuera: arrancando un disco de rescate limpio. Ante rootkits de núcleo, de arranque o de firmware, una reinstalación limpia del sistema operativo suele ser la única eliminación segura.

¿Cuál es la diferencia entre un rootkit y un virus?

Un virus se propaga copiándose dentro de otros archivos y programas. Un rootkit no se centra en propagarse, sino en ocultarse y mantener el control de un sistema que ya ha comprometido. Los dos pueden combinarse: un malware podría usar un virus para propagarse y un rootkit para permanecer oculto una vez dentro.