Carrera Profesional en Rootkit Analysis: Guía Completa de Roles, Skills y Mercado Laboral

Quién analiza rootkits (y por qué importa)

El análisis de rootkits no es un puesto de trabajo. Es una competencia que atraviesa varios roles en ciberseguridad, todos con un denominador común: entender cómo funcionan los sistemas operativos a nivel más bajo que el malware que intentan proteger.

Los rootkits representan la categoría de amenazas más técnicamente exigente del panorama actual. Operan en kernel-mode, manipulan estructuras internas del SO, se esconden de herramientas de detección y, en los casos más avanzados, sobreviven a reinstalaciones del sistema operativo. Analizar estas amenazas requiere un perfil que pocos profesionales dominan, lo que convierte esta especialización en una de las más demandadas y mejor remuneradas del sector.

Esta guía mapea los roles donde este conocimiento es crítico, el roadmap de skills necesario, y cómo construir una carrera sólida en este nicho.

Los seis roles donde vive el rootkit analysis

Malware Analyst (Kernel Specialist)

El perfil más directo. Recibe muestras de rootkits capturadas por honeypots, EDRs o equipos de respuesta a incidentes, y las desensambla hasta entender cada función. Documenta técnicas de ocultación, mecanismos de persistencia, protocolos C2 y artefactos forenses.

Día típico: recibir un driver sospechoso detectado por telemetría, cargarlo en IDA Pro, identificar que instala un SSDT hook para ocultar procesos, documentar los IOCs y escribir una regla YARA para detección futura.

Threat Researcher

Investiga campañas APT que utilizan rootkits como componente de persistencia. Conecta familias de rootkits con actores de amenaza, documenta la evolución de técnicas y publica investigación que alimenta a la comunidad defensiva.

Día típico: rastrear la evolución de un bootkit UEFI atribuido a un grupo APT, correlacionar infraestructura C2 con campañas anteriores, y preparar un informe técnico que conecte TTPs con el framework MITRE ATT&CK.

Kernel Security Engineer

Construye las defensas. Desarrolla mecanismos de protección a nivel de kernel: callbacks de integridad, drivers anti-tamper, monitores de integridad de tablas de syscalls. Trabaja en vendors de EDR/XDR o en equipos de seguridad de sistemas operativos.

Día típico: implementar un driver que detecte manipulación de DKOM en tiempo real, escribir tests de integración contra muestras conocidas de rootkits, y revisar un bypass reportado de PatchGuard que afecta a la última build de Windows.

DFIR Specialist (Digital Forensics & Incident Response)

Responde a incidentes donde se sospecha la presencia de rootkits. Captura dumps de memoria, analiza evidencia forense con Volatility y GMER, determina el alcance de la compromisión y produce informes para remediación.

Día típico: un cliente reporta comportamiento anómalo en servidores. Capturas un dump de memoria, ejecutas pslist vs psscan en Volatility, detectas un proceso oculto por DKOM, identificas el driver malicioso y documentas la cadena completa de compromisión para el equipo de remediación.

Vulnerability Researcher

Busca vulnerabilidades en drivers y componentes de kernel que podrían ser explotadas por rootkits. Analiza la técnica BYOVD (Bring Your Own Vulnerable Driver), identifica drivers legítimos firmados con vulnerabilidades, y reporta responsablemente.

Día típico: fuzzing de un driver legítimo de un fabricante de hardware, descubrir un write-what-where primitivo explotable desde user-mode, escribir un PoC defensivo y coordinar la divulgación con el vendor.

EDR/XDR Engineer

Desarrolla la lógica de detección en productos de seguridad endpoint. Implementa reglas de detección para técnicas específicas de rootkits (hooks, callbacks maliciosos, drivers sin firma), y optimiza el rendimiento del agente para no degradar el sistema.

Día típico: analizar una nueva técnica de evasión de EDR publicada en un blog de investigación, implementar detección en el kernel driver del producto, escribir tests de regresión y validar que no genera falsos positivos en la base de clientes.

Roadmap de skills: tres niveles

Nivel 1: Fundamentos (6-12 meses)

Sin estos fundamentos, todo lo demás es castillo en el aire. No hay atajos.

Programación en C/C++. Los rootkits están escritos en C. Los sistemas operativos están escritos en C. Las herramientas de análisis están escritas en C/C++. No necesitas ser un experto, pero sí leer y entender código C con punteros, estructuras, callbacks y manejo de memoria a nivel bajo. Proyectos recomendados: escribir un keylogger simple en C (user-mode, para entender hooks), implementar una linked list manual, crear un programa que interactúe con la API de Windows a bajo nivel.

Assembly x86/x64. Leer assembly, no escribirlo desde cero. IDA Pro y Ghidra te mostrarán las funciones del rootkit desensambladas. Necesitas reconocer patrones: llamadas a funciones del kernel (syscalls), manipulación de registros, saltos condicionales, convenciones de llamada (x64 fastcall en Windows, System V ABI en Linux). Recurso clave: el curso "Architecture 1001: x86-64 Assembly" de OpenSecurityTraining2 es gratuito y excelente.

OS Internals (Windows + Linux). Cómo gestiona el kernel la memoria, los procesos, los threads, los drivers, las syscalls y las estructuras internas. En Windows: EPROCESS, PEB, TEB, SSDT, IDT, GDT, PatchGuard, Driver Signing. En Linux: task_struct, VFS, syscall table, kernel modules (LKM), eBPF, LSM hooks. Libro obligatorio: Windows Internals de Russinovich para Windows; Linux Kernel Development de Robert Love para Linux.

Reverse engineering básico. Usar IDA Pro (o Ghidra, gratuito) para abrir un binario, navegar funciones, renombrar variables, entender el flujo de ejecución. Analizar 5-10 binarios simples (crackmes) hasta que leer assembly sea natural. Recurso: los retos de crackmes.one ordenados por dificultad.

Nivel 2: Herramientas especializadas (12-24 meses)

WinDbg (kernel debugging). Configurar debugging remoto entre dos VMs (debugger + debuggee), poner breakpoints en funciones del kernel, inspeccionar estructuras de datos en vivo, analizar crash dumps (BSOD). WinDbg es la herramienta fundamental para entender qué hace un rootkit en tiempo de ejecución. Comandos esenciales: !process 0 0, dt nt!_EPROCESS, !drvobj, lm, bp.

GDB (kernel debugging en Linux). Debugging de kernel modules con QEMU + GDB, inspección de la syscall table, análisis de LKMs maliciosos. Configurar un entorno con kernel compilado con símbolos de debug.

Volatility Framework. Análisis forense de memoria offline. Plugins clave para rootkits: pslist/psscan (detección de procesos ocultos), ssdt (hooks en syscall table), callbacks (notificaciones del kernel), modscan (drivers ocultos), malfind (inyección de código). Práctica: descargar dumps de memoria de CTFs y analizarlos.

IDA Pro / Ghidra (análisis avanzado). Más allá de lo básico: análisis de drivers (.sys), reconstrucción de tipos con estructuras del kernel, uso de type libraries de Windows/Linux kernel, scripting para automatizar análisis repetitivo (IDAPython, Ghidra scripts).

Desarrollo de drivers. Escribir un driver de Windows (WDM o WDF) y un kernel module de Linux. No para crear rootkits, sino para entender la superficie que explotan. Registrar callbacks, interactuar con el Object Manager, crear dispositivos virtuales. Este conocimiento es la diferencia entre leer sobre rootkits y entender cómo funcionan.

UEFI basics. Entender el proceso de arranque: firmware UEFI, Secure Boot, chain of trust, DXE drivers, runtime services. Los bootkits modernos (BlackLotus, MosaicRegressor) operan aquí. Herramienta: UEFITool para inspeccionar firmware images.

Nivel 3: Especialización avanzada (24+ meses)

Hypervisor internals. Cómo funcionan VT-x/AMD-V, EPT (Extended Page Tables), VMCS, VM exits. Rootkits de tipo blue-pill crean un hypervisor malicioso por debajo del SO. Entender este nivel requiere leer los manuales de Intel/AMD y experimentar con hypervisores educativos como SimpleVisor o HyperPlatform.

Firmware analysis. Extraer y analizar firmware SPI flash con herramientas como CHIPSEC, UEFITool y binwalk. Identificar implants en firmware, analizar DXE drivers maliciosos, entender el flujo de arranque completo desde el reset vector.

Exploit development (kernel). Desarrollar exploits para vulnerabilidades de kernel de forma controlada y ética. Entender primitivas: arbitrary read/write, type confusion, use-after-free en el kernel pool. Esto no es para atacar: es para entender qué vulnerabilidades explotan los rootkits para obtener ejecución en Ring 0.

Desarrollo de herramientas de detección. Crear tus propias herramientas: un minidriver que monitorice integridad de SSDT, un scanner de hooks inline, un verificador de integridad de kernel code sections. Este es el nivel donde pasas de consumidor de herramientas a creador.

Certificaciones relevantes

No todas las certificaciones valen lo mismo. Estas cuatro son las que el mercado reconoce para este nicho.

GREM (SANS FOR610). GIAC Reverse Engineering Malware. La certificación más directamente aplicable. Cubre análisis estático, dinámico, desofuscación, y análisis de documentos maliciosos. Es generalista en malware pero proporciona la base metodológica sólida. Coste: ~8.500 USD (curso + examen). Alternativa más económica: preparar por tu cuenta con el material de FOR610 y presentar solo el examen (~2.500 USD).

OSCE3 (Offensive Security). Combina tres certificaciones: OSEP + OSED + OSWE. La parte de OSED (Offensive Security Exploit Developer) es la más relevante: cubre desarrollo de exploits en Windows, bypass de protecciones y shellcoding avanzado. Requiere nivel técnico alto y dedicación seria. Coste total: ~5.000 USD.

eCMAP (INE/eLearnSecurity). Certified Malware Analysis Professional. Más accesible económicamente que GREM, con un examen práctico que requiere analizar muestras reales y producir un informe. Buen punto de entrada. Coste: ~400-600 USD con suscripción INE.

OSEP (Offensive Security). Evasion Techniques and Breaching Defenses. Cubre técnicas de evasión de EDR, inyección de procesos, bypass de AMSI y AppLocker. Relevante para entender las técnicas que los rootkits usan para evadir defensas. Coste: ~1.600 USD.

Recomendación práctica: empieza por eCMAP si el presupuesto es limitado, luego GREM para credibilidad en el mercado, y OSED/OSEP cuando busques roles senior.

Ruta de aprendizaje recomendada

Libros fundamentales

1. Practical Malware Analysis (Sikorski & Honig). El libro de entrada al reverse engineering de malware. Cubre herramientas, técnicas y metodología. Empieza aquí.
2. Rootkits and Bootkits (Matrosov, Rodionov & Bratus). El libro definitivo sobre rootkits. Desde técnicas clásicas hasta UEFI. Léelo después de tener fundamentos de RE.
3. Windows Internals Part 1 & 2 (Russinovich et al.). Referencia obligatoria para entender las estructuras del kernel de Windows que los rootkits manipulan.
4. The Art of Memory Forensics (Ligh et al.). Todo sobre análisis forense de memoria con Volatility. Esencial para DFIR.
5. Linux Kernel Development (Robert Love). Fundamentos del kernel Linux. Necesario para rootkits Linux (Diamorphine, Reptile, Adore-NG).

Cursos online

• OpenSecurityTraining2 (gratuito): Architecture 1001, Malware Analysis, Rootkits. Calidad universitaria, coste cero.
• SANS FOR610 (de pago): el estándar de la industria para reverse engineering de malware.
• Offensive Security OSED: explotación de binarios y bypass de protecciones.
• Pluralsight/INE: cursos de malware analysis y memory forensics a precio accesible.

CTFs y laboratorios prácticos

• Flare-On Challenge (Mandiant): CTF anual de reverse engineering. Los retos de años anteriores están publicados con soluciones.
• CyberDefenders: plataformas con desafíos de DFIR que incluyen análisis de dumps de memoria con rootkits.
• Hack The Box: máquinas con componentes de kernel exploitation.
• Laboratorio propio: dos VMs (Windows + Linux), muestras educativas (Diamorphine, Reptile, rootkits de código abierto), WinDbg/GDB configurado para kernel debugging remoto.

Mercado laboral: quién contrata y cuánto paga

Tipos de empleadores

Vendors de AV/EDR (CrowdStrike, SentinelOne, ESET, Kaspersky, Sophos, Bitdefender). Los mayores empleadores de rootkit analysts. Necesitan ingenieros que analicen amenazas nuevas, escriban firmas de detección y desarrollen la lógica de sus productos a nivel kernel. Ofrecen los equipos más especializados y acceso a telemetría masiva.

Big Tech Security Teams (Microsoft MSRC/DART, Google Project Zero/TAG, Apple Security). Equipos internos de seguridad de los fabricantes de sistemas operativos. Investigan vulnerabilidades, analizan amenazas que afectan a sus plataformas y desarrollan mecanismos de protección del kernel. Los roles más competitivos del sector.

Gobierno y Defensa (INCIBE-CERT, CCN-CERT, ENISA, NSA TAO/CES, GCHQ). CERTs nacionales, agencias de inteligencia y unidades militares de ciberdefensa. Analizan amenazas APT con componentes de rootkit/firmware. Requisitos de seguridad (habilitaciones) y, generalmente, salarios por debajo del sector privado compensados con estabilidad.

Consulting y servicios DFIR (Mandiant, CrowdStrike Services, NCC Group, WithSecure). Respuesta a incidentes para clientes. Cuando una organización sospecha de un rootkit en su infraestructura, estos equipos realizan el análisis forense. Trabajo variado pero con alta carga de viajes y urgencia.

CERT/CSIRTs (sectoriales o nacionales). Equipos de respuesta que coordinan y analizan incidentes para un sector (financiero, energía, telecomunicaciones) o un país. Combinan análisis técnico con coordinación inter-organizacional.

Startups de seguridad. Empresas más pequeñas desarrollando productos de seguridad a nivel kernel: anti-cheat, DRM, protección de endpoints especializada. Menos estructura, más impacto individual, equity como parte de la compensación.

Rangos salariales aproximados (2025-2026)

Los salarios varían significativamente por geografía, experiencia y tipo de empleador. Estas cifras son orientativas para roles que requieren competencia demostrable en kernel security.

Europa (EU/UK):

• Junior (0-2 años): 35.000-50.000 EUR
• Mid (2-5 años): 50.000-80.000 EUR
• Senior (5+ años): 80.000-120.000 EUR
• Principal/Staff: 110.000-160.000 EUR
• Nota: España se sitúa en el rango bajo-medio de estos números. Alemania, Países Bajos y UK en el rango alto.

Estados Unidos:

• Junior: 80.000-110.000 USD
• Mid: 110.000-160.000 USD
• Senior: 150.000-220.000 USD
• Principal/Staff: 200.000-300.000+ USD (Big Tech, incluye RSUs)

Remoto (empresas US que contratan EU):

• Generalmente 70-85% del rango US, que resulta en salarios muy competitivos para residentes en EU.

El nicho de kernel security y rootkit analysis paga por encima de la media de ciberseguridad debido a la escasez de talento. Un senior con experiencia demostrable en análisis de rootkits reales puede negociar en el rango alto.

Construir un portfolio que demuestre competencia

En este campo, tu portfolio vale más que tu CV. Los hiring managers buscan evidencia tangible de que sabes hacer el trabajo.

Blog técnico

Publica análisis de rootkits open source y muestras educativas. Un buen post analiza una técnica específica (SSDT hooking, DKOM, eBPF rootkit) con capturas de WinDbg/GDB, explica el mecanismo y propone detección. No necesitas descubrir nada nuevo: un análisis claro y riguroso de una técnica conocida demuestra más que un post superficial sobre algo novedoso.

Contribuciones a proyectos open source

Contribuir a Volatility (plugins de detección), YARA (reglas para rootkits), CHIPSEC (módulos de análisis de firmware), o herramientas de kernel security. Un PR aceptado en Volatility pesa más en una entrevista que cualquier certificación.

CTF writeups

Publica soluciones detalladas de retos de reverse engineering y kernel exploitation de competiciones como Flare-On, DEF CON CTF o Pwn2Own. El proceso de resolución es tan valioso como la solución.

Conferencias y presentaciones

No necesitas hablar en Black Hat el primer año. Empieza con meetups locales, BSides, o conferencias regionales. Una charla de 20 minutos sobre "Cómo analicé mi primer rootkit Linux con Volatility" tiene más impacto del que imaginas para abrir puertas profesionales.

Herramientas propias

Crear una herramienta pequeña pero funcional: un scanner de hooks SSDT, un monitor de kernel callbacks, un parser de estructuras de kernel para un formato específico. Publícalo en GitHub con documentación clara.

Comunidades y recursos

kernelmode.info. Foro histórico de discusión sobre drivers de Windows, rootkits y técnicas a nivel kernel. Archivo invaluable de conocimiento técnico.

Volatility Foundation. La comunidad alrededor del framework Volatility. Su Slack y GitHub son puntos de conexión con profesionales de memory forensics.

SANS DFIR community. Blog, webcasts y el summit anual. Red de profesionales de incident response que frecuentemente trabajan con rootkits.

r/ReverseEngineering y r/Malware (Reddit). Comunidades activas con discusiones técnicas, papers y recursos compartidos.

Twitter/X security community. Investigadores de CrowdStrike, Kaspersky GReAT, ESET Research y Microsoft publican hallazgos en tiempo real. Seguir a los autores de los papers y análisis que lees es la forma más rápida de mantenerse actualizado.

Discord de CTF teams. Equipos como LiveOverflow, Pwn2Own participants y comunidades de Hack The Box tienen servidores donde se discuten técnicas de kernel exploitation.

Cómo esta serie te prepara

Los artículos de esta serie sobre rootkits y bootkits no son solo teoría. Cada uno mapea directamente a skills del roadmap profesional.

Fundamentos (Nivel 1):

• Taxonomía completa de rootkits: entender la clasificación que usarás en informes profesionales y en entrevistas.
• Historia de rootkits (FU a BlackLotus): contexto histórico que todo profesional del campo necesita.

Herramientas y técnicas (Nivel 2):

• SSDT hooking, DKOM, PatchGuard bypass: las técnicas que analizarás en muestras reales.
• Detección con Volatility y GMER: la metodología forense que aplicarás en incidentes.
• Laboratorio WinDbg para rootkit analysis: el entorno práctico donde desarrollarás tus skills.

Análisis de muestras reales (Nivel 2-3):

• ZeroAccess, Necurs/Rustock, TDL4, Hacker Defender: rootkits reales con técnicas que siguen apareciendo en amenazas modernas.
• Diamorphine, Reptile, Suterusu: rootkits Linux open source que puedes analizar legalmente.

Amenazas avanzadas (Nivel 3):

• LoJax, MoonBounce, MosaicRegressor, CosmicStrand: firmware rootkits de APTs reales.
• BlackLotus: el primer bootkit que bypassa Secure Boot en UEFI.
• Blue Pill: conceptos de hypervisor rootkits.
• CHIPSEC para detección de firmware rootkits: herramienta esencial para Nivel 3.

Un día en la vida: tres escenarios

Escenario 1: Malware Analyst en vendor de EDR

08:30. Llegas y revisas la cola de muestras priorizadas por telemetría. Un driver .sys flaggeado en 3 clientes diferentes tiene prioridad alta.

09:00. Abres el driver en IDA Pro. Identificas que registra un callback de creación de procesos (PsSetCreateProcessNotifyRoutine) y un minifilter de filesystem. Empiezas a documentar las funciones.

10:30. El driver intercepta NtQuerySystemInformation para filtrar su propio proceso de la lista. Clásico rootkit user-mode via kernel driver. Lo confirmas con el análisis estático y escribes la primera regla YARA.

12:00. Montas un lab con dos VMs (debugger + debuggee), cargas el driver y lo depuras en vivo con WinDbg. Capturas el comportamiento exacto de ocultación.

14:00. Escribes el informe técnico: IOCs (hashes, mutex, registry keys), técnicas ATT&CK (T1014, T1562.001), regla YARA, y propuesta de detección para el producto.

16:00. Code review de la regla de detección implementada por el equipo de ingeniería. Validas contra la muestra y contra el corpus de benignos para evitar falsos positivos.

Escenario 2: DFIR Specialist en consultora

Lunes 07:00. Llamada de emergencia: un banco sospecha compromisión en servidores de bases de datos. Comportamiento anómalo en red, pero antivirus no detecta nada.

Lunes 10:00. En sitio. Capturas dumps de memoria de 3 servidores con WinPmem antes de tocar nada más. Chain of custody documentada.

Lunes 14:00. Primer análisis con Volatility. pslist muestra 47 procesos. psscan muestra 49. Dos procesos ocultos. Uno de ellos tiene conexiones de red a una IP en un ASN sospechoso.

Martes. Análisis profundo. El rootkit usa DKOM para desenlazar procesos y un minifilter para ocultar archivos en disco. Identificas el vector de entrada: un driver legítimo vulnerable (BYOVD) explotado para cargar el rootkit sin firma.

Miércoles-Jueves. Documenta la cadena completa de ataque, produces el informe forense con timeline, IOCs y recomendaciones de remediación. El equipo de sistemas del banco inicia la limpieza.

Escenario 3: Kernel Security Engineer en equipo de SO

09:00. Revisas un reporte de bug bounty: un investigador ha encontrado un bypass de un mecanismo de protección del kernel en la última versión.

10:00. Reproduces el bypass en tu laboratorio. Confirmas que permite cargar un driver sin firma explotando una race condition en la verificación de firma.

11:00-16:00. Desarrollas el parche. Añades una verificación adicional con lock apropiado, escribes tests de regresión que cubran el vector exacto del bypass y 3 variantes potenciales.

16:00. Code review con el equipo. Discutes si el fix puede impactar rendimiento en operaciones normales de carga de drivers. Ajustas el approach para minimizar impacto.

17:00. El parche entra en el pipeline de testing automatizado. Si pasa, estará en el próximo security update.

Perspectiva defensiva: investigación responsable

Todo el conocimiento descrito en esta guía tiene un propósito: defender sistemas y organizaciones contra amenazas reales. La comunidad de kernel security opera bajo principios claros.

Divulgación responsable. Si descubres una vulnerabilidad que podría facilitar un rootkit, coordinas con el vendor antes de publicar. Los programas de bug bounty de Microsoft, Linux kernel, Intel y AMD son los canales apropiados.

Entornos aislados. Todo análisis de rootkits se realiza en máquinas virtuales sin acceso a red de producción. Los laboratorios están diseñados para contener, no para propagar.

Publicación con contexto defensivo. Cuando publiques análisis técnicos, incluye siempre detección y mitigación junto con la descripción de la técnica. Un writeup que explica cómo funciona un rootkit sin explicar cómo detectarlo es incompleto.

Legalidad. Analizar malware en tu propio laboratorio es legal. Desplegar rootkits en sistemas ajenos sin autorización es un delito en todas las jurisdicciones. La línea es clara: tu laboratorio, tus reglas. Sistemas ajenos, permisos escritos o nada.

El campo del rootkit analysis necesita más profesionales cualificados. Las amenazas a nivel de kernel y firmware no van a desaparecer. Si esta serie te ha dado las bases técnicas, esta guía te muestra el camino para convertir ese conocimiento en una carrera profesional sólida, bien remunerada y con impacto real en la defensa de infraestructuras críticas.