¿Qué es un rootkit y por qué el de Sony BMG era especial?

Un rootkit es un software diseñado para ocultar su presencia y la de otros programas en un sistema operativo. Normalmente se asocian con malware. Lo que hizo especial al rootkit de Sony BMG es que fue instalado por una empresa legítima, una de las discográficas más grandes del mundo, sin el conocimiento ni el consentimiento informado de sus clientes. Operaba a nivel de kernel (ring 0, el nivel más privilegiado del sistema operativo) y utilizaba técnicas idénticas a las del malware para ocultar archivos, procesos y entradas del registro.

¿Cómo descubrió Mark Russinovich el rootkit de Sony?

Russinovich lo descubrió el 31 de octubre de 2005 mientras probaba RootkitRevealer, una herramienta de detección de rootkits que él mismo había creado. La herramienta detectó archivos y procesos ocultos con el prefijo $sys$ en su propio ordenador. Investigando el origen, rastreó la instalación hasta un CD de música de Sony BMG que había reproducido recientemente en su PC. Publicó sus hallazgos en su blog de Sysinternals, lo que desencadenó el escándalo.

¿Cuántos ordenadores fueron afectados por el rootkit de Sony BMG?

Sony BMG distribuyó aproximadamente 22 millones de CDs con software de protección anticopia problemático. De estos, unos 2 millones contenían XCP (el rootkit de First4Internet) y los 20 millones restantes contenían MediaMax de SunnComm. Se estima que el rootkit XCP se instaló en al menos 568.200 ordenadores en Estados Unidos, según datos de DNS recopilados por Dan Kaminsky. La cifra real a nivel mundial fue probablemente muy superior.

¿Qué consecuencias legales tuvo Sony BMG?

Sony BMG enfrentó demandas colectivas (class action) en múltiples estados de EE.UU., una investigación de la FTC (Federal Trade Commission), acciones legales de la EFF (Electronic Frontier Foundation) y demandas de fiscales generales de varios estados. En enero de 2007, la FTC alcanzó un acuerdo (settlement) con Sony BMG. La empresa tuvo que retirar los CDs afectados, proporcionar herramientas de desinstalación, compensar a los consumidores afectados y comprometerse a no instalar software oculto en el futuro.

¿El rootkit de Sony BMG sigue siendo relevante en 2026?

El rootkit de Sony BMG ya no está activo, pero su legado es enorme. El escándalo impulsó legislación sobre protección al consumidor digital en varios países, cambió las prácticas de la industria DRM y demostró que las corporaciones podían actuar como distribuidores de malware. En el ámbito técnico, popularizó los rootkits entre el público general y aceleró el desarrollo de herramientas de detección. Mark Russinovich, quien descubrió el rootkit, fue contratado posteriormente por Microsoft, donde llegó a ser CTO de Azure.

IntermediohistoriarootkitDRMSonyprivacidadkernel

Rootkits: Sony BMG y el Escándalo que Cambió las Reglas (2005)

En 2005, Mark Russinovich descubrió que Sony BMG instalaba un rootkit oculto en los ordenadores de sus clientes a través de CDs de música. El escándalo que siguió cambió para siempre la industria del DRM, las leyes de protección al consumidor y la percepción pública de los rootkits.

MalwareIntel Research·20 de mayo de 2026·15 min lectura·3 técnicas ATT&CK

Serie: Historia del Malware — Parte 9

El contexto: 2005, la guerra del DRM contra la piratería

A mediados de la década de 2000, la industria discográfica estaba en pánico. Las redes P2P (Napster, LimeWire, BitTorrent) habían normalizado la descarga de música sin pagar. Las ventas de CDs caían año tras año. La RIAA demandaba a adolescentes y abuelas. Y las discográficas buscaban desesperadamente una solución tecnológica que impidiera copiar sus CDs.

La respuesta fue el DRM (Digital Rights Management): sistemas de protección anticopia integrados directamente en los CDs de música. La idea era que, al insertar el CD en un ordenador, un software se instalase automáticamente para controlar cómo el usuario podía reproducir y copiar la música.

Sony BMG Music Entertainment, nacida de la fusión de Sony Music y BMG en 2004, fue una de las compañías más agresivas en esta estrategia. Contrataron a dos empresas para desarrollar tecnología DRM: First4Internet (Reino Unido), que creó XCP (Extended Copy Protection), y SunnComm (EE.UU.), que desarrolló MediaMax CD-3.

Lo que ningún ejecutivo de Sony anticipó es que la "protección anticopia" que habían elegido era, técnicamente, un rootkit. Y que su descubrimiento iba a convertirse en uno de los mayores escándalos de seguridad informática de la historia.

31 de octubre de 2005: Mark Russinovich y el hallazgo accidental

Mark Russinovich no buscaba problemas con Sony. Era un experto en Windows internals, cofundador de Winternals Software y creador de Sysinternals, una suite de herramientas de diagnóstico para Windows que los administradores de sistemas de todo el mundo usaban a diario. Una de esas herramientas era RootkitRevealer, diseñada para detectar software oculto en el sistema operativo.

El 31 de octubre de 2005 (Halloween, una coincidencia apropiada), Russinovich estaba probando RootkitRevealer en su propio ordenador cuando la herramienta detectó algo inesperado: archivos, procesos y claves del registro de Windows que estaban activamente ocultos del sistema operativo. Todos compartían un patrón: el prefijo $sys$ .

Russinovich investigó. Rastreó el origen del software oculto hasta un CD de música de Sony BMG que había reproducido semanas antes: Get Right with the Man del dúo Van Zant. Al insertar el CD y aceptar el EULA (que no mencionaba la instalación de un rootkit), el software XCP se había instalado silenciosamente.

Esa misma noche, Russinovich publicó un análisis técnico detallado en su blog de Sysinternals. El post se tituló "Sony, Rootkits and Digital Rights Management Gone Too Far". En pocas horas, la noticia se propagó por toda la comunidad de seguridad informática.

Anatomía técnica del rootkit XCP

El software XCP (Extended Copy Protection) de First4Internet era mucho más que un sistema DRM convencional. Empleaba técnicas de ocultación que cualquier analista de malware reconocería inmediatamente como rootkit de nivel kernel.

Instalación y persistencia

Al insertar un CD protegido con XCP en un PC con Windows, se mostraba un EULA. Si el usuario aceptaba (requisito para reproducir el CD), se instalaban múltiples componentes:

Componente	Función	Nivel
`$sys$aries`	Driver de filtro del sistema de archivos	Kernel (ring 0)
`$sys$cor.dll`	DLL de intercepción de llamadas al sistema	Kernel
`$sys$crater`	Servicio de protección anticopia	Usuario
`$sys$lim`	Control de reproducción del CD	Usuario
Proceso de Phone-home	Conexión periódica a servidores de Sony	Red

Técnicas de ocultación (rootkit)

El componente más peligroso era el driver de filtro a nivel de kernel. Operaba en ring 0, el nivel de máximo privilegio en la arquitectura x86. Desde ahí, interceptaba llamadas al sistema operativo para ocultar cualquier archivo, proceso, directorio o clave del registro cuyo nombre empezase con $sys$ . Las técnicas específicas incluían:

Hooking de NtQueryDirectoryFile: interceptaba la función del kernel que lista archivos en un directorio. Cualquier entrada con prefijo $sys$ se filtraba antes de llegar al programa que hizo la consulta. El Explorador de Windows, el comando dir, los antivirus: ninguno podía ver estos archivos.
Ocultación de procesos: los procesos con nombre $sys$ no aparecían en el Administrador de Tareas ni en herramientas estándar de listado de procesos.
Ocultación del registro: las claves del registro de Windows usadas por XCP también se ocultaban con el mismo mecanismo.
No proporcionaba desinstalador: el EULA no mencionaba cómo eliminar el software. No existía entrada en "Agregar o quitar programas". El software estaba diseñado para ser permanente.

El problema de seguridad crítico

La ocultación con prefijo $sys$ no era selectiva. Cualquier software que crease un archivo o proceso con ese prefijo quedaría automáticamente invisible. Esto significaba que autores de malware podían aprovechar el rootkit de Sony para ocultar sus propios programas simplemente nombrándolos con el prefijo $sys$ .

Y es exactamente lo que ocurrió. En noviembre de 2005, apenas semanas después de la publicación de Russinovich, se descubrió un troyano (variante de Breplibot) que explotaba esta capacidad. El malware se copiaba a sí mismo con nombres $sys$ para ser invisible en equipos donde estuviera instalado XCP.

Flujo de explotación del rootkit Sony BMG:

1. Usuario inserta CD de Sony → XCP se instala en ring 0
2. Rootkit oculta todo archivo/proceso con prefijo $sys$
3. Malware externo se renombra con prefijo $sys$
4. Antivirus no puede detectar el malware (oculto por Sony)
5. El equipo queda comprometido sin posibilidad de detección estándar

Phone-home: el componente de vigilancia

Cada vez que el usuario reproducía un CD protegido, el software XCP enviaba información a servidores de Sony (connected.sonymusic.com). Estos datos incluían la dirección IP del usuario y un identificador del CD reproducido. Sony podía así rastrear los hábitos de escucha de sus clientes sin su conocimiento efectivo.

Este componente añadía un vector de ataque adicional: la comunicación no estaba cifrada correctamente, lo que permitía ataques man-in-the-middle para interceptar estos datos o potencialmente ejecutar código remoto.

MediaMax: el segundo DRM problemático

XCP no era el único software problemático de Sony BMG. Aproximadamente 20 millones de CDs adicionales contenían MediaMax CD-3, desarrollado por SunnComm Technologies. Aunque menos agresivo técnicamente que XCP, MediaMax tenía sus propios problemas graves:

Característica	XCP (First4Internet)	MediaMax (SunnComm)
CDs afectados	~2 millones	~20 millones
Plataformas	Windows	Windows y macOS
Nivel de operación	Kernel (ring 0)	Usuario
Rootkit	Sí (ocultación activa)	No (pero instalación sin consentimiento)
Instalación	Tras aceptar EULA	Antes de aceptar EULA
Phone-home	Sí	Sí
Desinstalador	No incluido	Existía pero defectuoso

El detalle más escandaloso de MediaMax: se instalaba parcialmente en el ordenador incluso si el usuario rechazaba el EULA. El simple acto de insertar el CD ya desplegaba componentes en el sistema. Esto violaba cualquier pretensión de consentimiento informado.

La respuesta de Sony: negación, arrogancia y retirada forzada

La gestión de la crisis por parte de Sony BMG se convirtió en un caso de estudio de cómo no manejar un incidente de seguridad.

Fase 1: Negación (noviembre 2005)

Cuando Russinovich publicó sus hallazgos, la respuesta inicial de Sony fue minimizar el problema. Thomas Hesse, presidente de la división global de negocios digitales de Sony BMG, declaró en una entrevista con NPR la frase que se haría tristemente célebre:

"La mayoría de la gente, creo, ni siquiera sabe qué es un rootkit, así que ¿por qué deberían preocuparse por ello?"

Esta frase se convirtió en símbolo de la arrogancia corporativa frente a la seguridad informática.

Fase 2: El parche que empeoró todo (noviembre 2005)

Bajo presión pública, Sony BMG lanzó un "parche de desinstalación". Russinovich lo analizó inmediatamente y descubrió que:

No eliminaba el rootkit: solo lo hacía visible de nuevo, pero los archivos seguían en el sistema.
Instalaba software adicional: el "desinstalador" añadía nuevo código con vulnerabilidades propias.
Requería proporcionar email: Sony pedía datos personales para acceder a la herramienta de eliminación.
Contenía un control ActiveX vulnerable: el componente web del desinstalador abría un agujero de seguridad adicional en Internet Explorer.

Fase 3: Retirada forzada (noviembre-diciembre 2005)

Finalmente, ante la presión de la FTC, la EFF, demandas colectivas en múltiples estados y la cobertura mediática masiva, Sony BMG:

Suspendió la fabricación de CDs con XCP
Retiró aproximadamente 4,7 millones de CDs del mercado (cifras iniciales; luego se ampliaron)
Ofreció intercambio gratuito de CDs afectados
Proporcionó una herramienta de desinstalación real (esta vez verificada por investigadores independientes)

En total, Sony BMG había distribuido unos 22 millones de CDs con algún tipo de DRM invasivo. La retirada cubrió solo una fracción.

Consecuencias legales: demandas, la FTC y la EFF

El escándalo desencadenó una cascada legal sin precedentes para un caso de DRM.

Demandas colectivas (class action)

Se presentaron múltiples demandas colectivas en tribunales federales y estatales de Estados Unidos. La Electronic Frontier Foundation (EFF) jugó un papel central, tanto presentando su propia demanda como participando en los acuerdos de conciliación.

Acuerdo con la FTC (enero 2007)

La Federal Trade Commission (FTC) investigó a Sony BMG por violación de leyes federales de protección al consumidor. El acuerdo final estableció:

Obligación	Detalle
Retirada de CDs	Recall de CDs con XCP y MediaMax
Compensación	Hasta 175 USD por consumidor afectado para cubrir costes de eliminación
Herramienta de eliminación	Obligación de distribuir un desinstalador funcional y verificado
Prohibición futura	Sony BMG no podría instalar software oculto sin consentimiento explícito
Destrucción de datos	Eliminar toda información recopilada por el phone-home

Acciones de fiscales generales estatales

Los fiscales generales (Attorneys General) de Texas, California y otros estados también emprendieron acciones legales independientes. Texas fue particularmente agresivo, demandando bajo su ley estatal anti-spyware.

Impacto en la EFF

La EFF utilizó el caso Sony BMG como piedra angular para sus campañas sobre derechos digitales del consumidor. El caso demostró de forma tangible que el DRM podía ser una amenaza directa para la seguridad informática, no solo una molestia para los usuarios.

Conceptos de rootkit: una guía para entenderlos

El escándalo de Sony BMG puso los rootkits en el foco mediático. Para contextualizar por qué lo que hizo Sony era tan grave, es necesario entender qué son y cómo operan.

¿Qué es un rootkit?

Un rootkit es un conjunto de herramientas de software diseñadas para obtener y mantener acceso privilegiado a un sistema mientras ocultan su presencia. El nombre viene del mundo Unix: "root" (acceso de administrador) + "kit" (conjunto de herramientas).

Niveles de operación

Nivel	Ring	Descripción	Ejemplo
Firmware	-2 a -1	Modifica UEFI/BIOS. Sobrevive a reinstalación del SO	Lojax (2018)
Hypervisor	-1	Se ejecuta debajo del SO como hipervisor	Blue Pill (PoC)
Kernel	0	Modifica el núcleo del SO. Máximo privilegio de software	Sony XCP
Driver	0	Se carga como driver del SO	TDL-4
Usuario	3	Modifica aplicaciones y librerías de usuario	Hacker Defender
Bootkit	Pre-SO	Infecta el proceso de arranque (MBR/VBR)	Alureon

El rootkit de Sony BMG operaba a nivel de kernel (ring 0), el mismo nivel donde se ejecuta el propio Windows. Esto le daba la capacidad de interceptar cualquier operación del sistema operativo antes de que llegara a las aplicaciones, incluidos los antivirus.

Técnicas de ocultación comunes

Los rootkits emplean varias técnicas para permanecer invisibles:

System call hooking: interceptar y modificar las respuestas de las funciones del sistema operativo. Es exactamente lo que hacía XCP con NtQueryDirectoryFile.
Direct Kernel Object Manipulation (DKOM): modificar las estructuras de datos internas del kernel para eliminar referencias a procesos o archivos.
File system filter drivers: instalar un driver que filtre el acceso al disco, ocultando archivos específicos. Otra técnica empleada por XCP.
Memory manipulation: modificar la memoria del kernel para alterar el comportamiento del SO sin cambiar archivos en disco.

¿Por qué el rootkit de Sony era particularmente grave?

Tres factores lo hicieron excepcional:

Origen legítimo: fue distribuido por una empresa Fortune 500, no por ciberdelincuentes. Los usuarios confiaban en Sony.
Escala masiva: millones de CDs distribuidos a través de tiendas legítimas en todo el mundo.
Agujero de seguridad universal: el mecanismo de ocultación con prefijo $sys$ era explotable por cualquier malware. Sony había creado involuntariamente una puerta trasera en los ordenadores de sus clientes.

El legado: cómo Sony cambió las reglas del juego

Impacto en la industria del DRM

El escándalo de Sony BMG fue el principio del fin para el DRM agresivo en música. Apple comenzó a vender música sin DRM en iTunes en 2007 (iTunes Plus). Amazon lanzó su tienda de música DRM-free el mismo año. Para 2009, la mayoría de las grandes discográficas habían abandonado el DRM en música digital.

Impacto legislativo

El caso impulsó cambios legales en varios países:

EE.UU.: La FTC reforzó su posición sobre la obligación de transparencia en la instalación de software.
Italia: Se presentó legislación específica sobre protección contra software oculto en productos de consumo.
Varios estados de EE.UU.: Endurecieron sus leyes anti-spyware, usando el caso Sony como precedente.

Impacto en la concienciación pública

Antes de 2005, el término "rootkit" era conocido exclusivamente por profesionales de seguridad informática. Después del escándalo de Sony, el concepto llegó al público general. Los usuarios comenzaron a cuestionar qué software se instalaba realmente en sus ordenadores.

Mark Russinovich: de bloguero a CTO de Azure

El descubrimiento del rootkit de Sony catapultó la carrera de Mark Russinovich. Ya era respetado en la comunidad técnica por Sysinternals, pero el caso Sony lo convirtió en una figura pública. Microsoft adquirió Sysinternals (Winternals Software) en 2006. Russinovich se unió a Microsoft, donde ascendió hasta convertirse en CTO (Chief Technology Officer) de Microsoft Azure, una posición que aún ocupa en 2026.

Conexión con el ecosistema de rootkits (Cluster C06)

El caso Sony BMG no existe en el vacío. Se sitúa dentro de la evolución más amplia de los rootkits como herramienta tanto ofensiva como (irónicamente) corporativa:

Antes de Sony (2003-2004): rootkits como Hacker Defender y FU ya demostraban técnicas avanzadas de ocultación en Windows.
Contemporáneo (2005-2006): rootkits de malware como Rustock aprovechaban técnicas similares a XCP para ocultar botnets.
Después de Sony (2007+): la industria de seguridad desarrolló herramientas de detección más sofisticadas. Microsoft introdujo Kernel Patch Protection (PatchGuard) y driver signing obligatorio en Windows Vista x64.

Línea temporal del escándalo

Fecha	Evento
2003	First4Internet desarrolla XCP para Sony BMG
Principios 2005	Sony BMG comienza a distribuir CDs con XCP en EE.UU.
4 oct 2005	F-Secure contacta a Sony BMG sobre el rootkit. Sony no actúa
17 oct 2005	F-Secure detalla el alcance completo del problema a Sony
31 oct 2005	Russinovich publica su análisis en el blog de Sysinternals
2 nov 2005	La noticia se viraliza en la comunidad de seguridad
10 nov 2005	Sony suspende la fabricación de CDs con XCP
11 nov 2005	Primer troyano que explota el rootkit de Sony (Breplibot)
14 nov 2005	Sony BMG anuncia retirada de CDs e intercambio gratuito
Nov 2005	EFF presenta demanda colectiva
Nov 2005	Fiscal general de Texas demanda a Sony BMG
Dic 2006	Acuerdo preliminar de conciliación (class action)
30 ene 2007	FTC anuncia acuerdo (settlement) con Sony BMG
2007	Sony BMG abandona completamente el DRM en CDs

Lecciones de seguridad para 2026

El caso Sony BMG dejó lecciones que siguen vigentes más de 20 años después:

El software legítimo puede ser malware. La confianza en el origen no garantiza la seguridad del software. Las cadenas de suministro de software son un vector de ataque real, como demostrarían SolarWinds (2020) y Log4Shell (2021) años después.
Los rootkits a nivel de kernel son una amenaza existencial. Cualquier software que opere en ring 0 tiene el poder absoluto sobre el sistema. La industria respondió con Secure Boot, UEFI signing y restricciones cada vez más estrictas sobre drivers de kernel.
"No lo saben, no les importa" no es una defensa. La frase de Thomas Hesse quedó como ejemplo de la arrogancia corporativa frente a la seguridad. La transparencia sobre lo que el software hace en un sistema no es opcional.
Los mecanismos de ocultación universales son armas de doble filo. El prefijo $sys$ demostró que crear un mecanismo de ocultación genérico es crear una vulnerabilidad que será explotada por terceros.
La comunidad de seguridad es la última línea de defensa. Sin Mark Russinovich y su herramienta RootkitRevealer, millones de usuarios habrían seguido con un rootkit corporativo en sus ordenadores indefinidamente.

El escándalo de Sony BMG es un recordatorio de que la seguridad informática no solo es una cuestión técnica. Es una cuestión de ética, transparencia y respeto por los usuarios.

Técnicas MITRE ATT&CK referenciadas

T1014 T1564.001 T1547.006

Preguntas frecuentes

Libros recomendados

The Rootkit Arsenal (Bill Blunden)

Amazon (enlace afiliado)

Windows Internals (Mark Russinovich)