¿Cuándo apareció el primer rootkit?

El concepto se remonta a los años 80 en Unix (modificar binarios del sistema para ocultar acceso). El primer rootkit de kernel documentado para Windows fue FU Rootkit (1999), que introdujo la técnica DKOM (Direct Kernel Object Manipulation) para ocultar procesos.

¿Qué fue el escándalo de Sony BMG?

En 2005, Sony BMG distribuyó CDs de música con un rootkit (XCP) que se instalaba automáticamente en PCs Windows al insertar el CD. Ocultaba archivos del DRM pero también vulnerabilidades que el malware podía explotar. El escándalo resultó en demandas colectivas y retirada de millones de CDs.

¿Cuál fue el primer bootkit in-the-wild?

TDL4/Alureon (2008) fue el primer bootkit masivo: infectaba el MBR para cargarse antes que Windows y sobrevivir a reinstalaciones. En su pico, infectó millones de máquinas.

¿Cuál fue el primer rootkit UEFI real?

LoJax (2018), atribuido a APT28 (Fancy Bear/GRU). Fue el primer rootkit UEFI documentado in-the-wild. Modificaba el firmware UEFI para persistir incluso tras reinstalación del OS.

¿BlackLotus es el rootkit más avanzado?

BlackLotus (2022) es significativo por ser el primer bootkit UEFI que bypasea Secure Boot en sistemas Windows actualizados. Pero los implants de firmware SPI (MoonBounce, CosmicStrand) son técnicamente más avanzados porque residen en el chip de firmware, no en la partición ESP.

IntermediorootkitshistoriacronologíaevoluciónFU RootkitBlackLotus

Historia de los Rootkits: De FU Rootkit (1999) a BlackLotus (2022)

Cronología completa de los rootkits más influyentes. Desde FU Rootkit y DKOM (1999) hasta BlackLotus y los UEFI implants (2022). Cada hito que cambió la carrera armamentística entre atacantes y defensores a nivel de kernel.

MalwareIntel Research·21 de mayo de 2026·9 min lectura

Serie: Rootkits y Bootkits — Parte 2

25 años de rootkits: una carrera que no termina

La historia de los rootkits es la historia de la carrera armamentística más técnica en ciberseguridad. Cada innovación defensiva (firmas de drivers, Secure Boot, HVCI) genera una respuesta ofensiva (BYOVD, bypass de Secure Boot, firmware implants). Entender esta evolución ayuda a predecir hacia dónde van las amenazas.

Timeline completo

Era 1: los orígenes Unix (1980s-1990s)

Año	Evento	Significado
~1983	Primeros rootkits Unix	Reemplazo de binarios del sistema (ps, ls, netstat) para ocultar acceso no autorizado
1994	"Rootkit" como término	El término se acuña en la comunidad hacker para referirse a un kit de herramientas que mantiene acceso root
1996	Linux Rootkit v3/v4 (lrk)	Colección de binarios modificados para Linux. Ampliamente distribuido
1997	Hernan Ochoa publica SucKIT	Rootkit de kernel Linux que hookea syscalls via /dev/kmem

Era 2: kernel rootkits en Windows (1999-2007)

Año	Rootkit	Técnica	Impacto
1999	FU Rootkit	DKOM: manipular lista de procesos del kernel para ocultar procesos	Primer rootkit DKOM para Windows. Cambió el paradigma de ocultación
2000	NTRootkit (Greg Hoglund)	SSDT hooking en Windows NT	Primer rootkit público con hooking de SSDT. Hoglund publicó el concepto y el código
2003	Hacker Defender	Combinación de hooking user-mode + kernel hooks	Rootkit configurable, ampliamente usado. Marcó la era de rootkits "comerciales" del underground
2004	FUTo	Evolución de FU con técnicas adicionales de ocultación	Mejoró DKOM con ocultación de drivers y threads
2005	Sony BMG XCP	Rootkit comercial en CDs de música	Escándalo masivo: empresa legítima distribuyendo rootkit a millones de usuarios
2005	Shadow Walker	Manipulación de page tables para ocultar memoria	Concepto avanzado de ocultación a nivel de memoria virtual
2006	Rustock	Rootkit de kernel para botnet de spam	Uno de los rootkits más resilientes. La botnet Rustock envió 30.000 millones de spam emails diarios
2006	Unreal.A	Rootkit que ocultaba archivos via NTFS alternate data streams	Combinó rootkit con técnicas de evasión de filesystem

El escándalo Sony BMG (2005)

Merece detalle por su impacto cultural:

Sony BMG incluía software DRM (XCP, de First4Internet) en CDs de música
Al insertar el CD en un PC Windows, el DRM se instalaba automáticamente
El DRM usaba técnicas de rootkit para ocultar sus archivos (cualquier archivo que empezara con $sys$ era invisible)
Mark Russinovich (creador de Sysinternals, ahora en Microsoft) descubrió el rootkit usando su propia herramienta RootkitRevealer
El rootkit tenía vulnerabilidades que cualquier malware podía explotar (ocultar archivos renombrándolos con $sys$ )
Resultado: demandas colectivas, retirada de millones de CDs, Sony pagó millones en compensaciones

Lección: las técnicas de rootkit no son patrimonio exclusivo del malware. Pero usarlas en software comercial contra tus propios clientes tiene consecuencias.

Era 3: bootkits (2007-2015)

Año	Bootkit	Técnica	Impacto
2007	Mebroot (Torpig)	MBR infection	Primer bootkit moderno: infectaba el MBR para cargarse antes que Windows
2008	TDL4/Alureon	MBR bootkit + rootkit kernel	El bootkit más exitoso. Millones de infecciones. Sobrevivía reinstalación del OS
2008	Sinowal/Mebroot v2	MBR + AES encryption	Evolucionó con cifrado para dificultar análisis
2010	ZeroAccess	Kernel rootkit + P2P C2	Rootkit con infraestructura P2P para resiliencia. Cripto-minería como payload
2011	TDL4 última versión	MBR bootkit + 64-bit	Primera versión que infectaba sistemas 64-bit
2011	Olmasco/Max++	VBR bootkit	Infectaba Volume Boot Record en vez de MBR
2012	Necurs	Kernel rootkit para botnet	La botnet más grande del mundo (9 millones+ de bots). Rootkit protegía el bot
2013	Carberp	MBR bootkit + banking trojan	Combinaba bootkit con robo de credenciales bancarias
2014	Uroburos/Turla	Kernel rootkit sofisticado	APT ruso (FSB). Rootkit de kernel para espionaje de largo plazo

TDL4/Alureon: el rey de los bootkits

TDL4 fue el bootkit más exitoso de la historia:

Infectó millones de sistemas Windows
Sobrevivía a reinstalación del OS (el MBR persistía)
Versión 64-bit bypasseaba la obligación de drivers firmados en Windows x64
Usado para click fraud, distribución de malware, y spam
Microsoft colaboró con fuerzas del orden para desmantelar la botnet (Operation b71, 2012)

PatchGuard y la respuesta de Microsoft

En 2005, Microsoft introdujo PatchGuard (Kernel Patch Protection) en Windows x64:

PatchGuard verifica periódicamente la integridad de estructuras críticas del kernel
Si detecta modificaciones (SSDT hooks, IDT hooks, etc.), causa BSOD
Esto hizo que los rootkits de kernel basados en hooking fueran más difíciles en x64
Los atacantes respondieron con: BYOVD, bootkits (cargar antes que PatchGuard), y técnicas de evasión de PatchGuard

Era 4: UEFI y firmware (2015-presente)

Año	Rootkit	Tipo	Atribuido a	Significado
2018	LoJax	UEFI rootkit	APT28 (GRU, Rusia)	Primer UEFI rootkit in-the-wild documentado
2019	MosaicRegressor	UEFI firmware implant	Desconocido (sospecha China)	Implant en firmware SPI, sobrevive cambio de disco
2021	FinSpy UEFI bootkit	UEFI bootkit	FinFisher (spyware comercial)	Spyware comercial con capacidad UEFI
2021	ESPecter	UEFI bootkit (ESP)	Desconocido	Modificaba la partición ESP
2022	MoonBounce	SPI flash implant	Lazarus (DPRK)	Implant en chip SPI flash de la placa madre
2022	CosmicStrand	UEFI firmware rootkit	Desconocido (sospecha China)	Rootkit en firmware UEFI, descubierto por Kaspersky
2022	BlackLotus	UEFI bootkit	Criminal (vendido en underground)	Primer bootkit que bypasea Secure Boot en Windows actualizado

LoJax: el primero UEFI in-the-wild

Descubierto por ESET en 2018, atribuido a APT28 (Fancy Bear, GRU ruso):

APT28 usaba un módulo legítimo de LoJack (software antirrobo) como base
Modificaban el firmware UEFI para incluir su payload
El payload se cargaba cada vez que el sistema arrancaba, antes que Windows
Sobrevivía a reinstalación de Windows y formateo de disco
Usado para espionaje de largo plazo contra organizaciones gubernamentales y militares

BlackLotus: bypass de Secure Boot

BlackLotus (2022) fue significativo por ser accesible (vendido por ~5.000 USD en foros underground) y por bypassear Secure Boot:

Explotaba CVE-2022-21894 ("Baton Drop") en el bootloader de Windows
Aunque Microsoft parcheó la vulnerabilidad, los bootloaders vulnerables firmados seguían siendo válidos para Secure Boot
BlackLotus usaba un bootloader firmado vulnerable como trampolín para cargar su propio código
Una vez cargado, deshabilitaba Defender, HVCI, y BitLocker
Persistía en la partición ESP (no en el firmware SPI)

Respuesta de Microsoft

Microsoft respondió con un plan multi-fase:

Fase 1: parche para CVE-2022-21894
Fase 2: revocar bootloaders vulnerables en la DBX (Secure Boot deny list)
Fase 3: actualizar la política de Secure Boot para prevenir rollback
La revocación completa tardó más de un año debido a la complejidad de no romper sistemas legítimos

La evolución de las defensas

Año	Defensa	Contra qué protege
2005	PatchGuard (Windows x64)	Hooking de SSDT, IDT, sys_call_table
2006	Driver Signing (Windows x64)	Drivers no firmados
2011	Secure Boot (UEFI)	Bootloaders no firmados
2015	Device Guard (Windows 10)	Ejecución de código no firmado
2017	HVCI (VBS)	Código del kernel no verificado
2020	Kernel DMA Protection	Ataques via DMA
2022	Vulnerable Driver Blocklist	BYOVD con drivers conocidos
2024	Smart App Control (Windows 11)	Binarios no confiables

Cada defensa es bypasseada eventualmente, pero eleva el nivel de sofisticación necesario. Los rootkits de kernel simples (SSDT hooking) ya no funcionan en Windows moderno. Los APTs han migrado a UEFI y firmware.

El estado actual (2026)

Lo que ha cambiado

Los rootkits de kernel "commodity" (para malware masivo) han prácticamente desaparecido. PatchGuard, driver signing y EDR los hacen inviables
BYOVD es ahora el método estándar para obtener kernel access (en vez de escribir un driver rootkit propio)
Los rootkits UEFI/firmware son exclusivos de APTs de nivel estatal
En Linux, los rootkits LKM siguen siendo viables (menos protecciones que Windows) y eBPF rootkits son una amenaza emergente

Lo que viene

Rootkits en TEE (Trusted Execution Environment): explotar enclaves seguros (SGX, TrustZone)
Rootkits en GPUs: ejecutar código persistente en firmware de GPU
AI-powered evasion: usar ML para adaptar el rootkit a las defensas detectadas
Supply chain rootkits: rootkits insertados en firmware durante la manufactura

Mapeo MITRE ATT&CK

Era	Técnica principal	ATT&CK ID
User-mode rootkits	Hijack Execution Flow	T1574
Kernel rootkits	Rootkit	T1014
LKM rootkits	Kernel Modules and Extensions	T1547.006
MBR bootkits	Pre-OS Boot: Bootkit	T1542.003
UEFI bootkits	Pre-OS Boot: System Firmware	T1542.001
Firmware implants	Modify System Image	T1601
BYOVD (para instalar rootkit)	Exploitation for Privilege Escalation	T1068

Fuentes y referencias

Matrosov, A. et al. "Rootkits and Bootkits." No Starch Press, 2019.
Hoglund, G. & Butler, J. "Rootkits: Subverting the Windows Kernel." Addison-Wesley, 2005.
Russinovich, M. "Sony, Rootkits and Digital Rights Management Gone Too Far." Mark's Blog, 2005.
ESET. "LoJax: First UEFI Rootkit Found in the Wild." ESET Research, 2018.
ESET. "BlackLotus UEFI Bootkit Analysis." ESET Research, 2023.
Kaspersky. "MoonBounce: The Dark Side of UEFI Firmware." GReAT, 2022.
Kaspersky. "CosmicStrand: UEFI Firmware Rootkit." GReAT, 2022.
Microsoft. "Guidance for Blocking Vulnerable Drivers." Microsoft Security Blog.
MITRE ATT&CK. "Pre-OS Boot (T1542)." https://attack.mitre.org/techniques/T1542/

Preguntas frecuentes

Libros recomendados

Rootkits and Bootkits (Matrosov et al.)

Amazon (enlace afiliado)

The Rootkit Arsenal (Blunden)