Una lupa enfoca la palabra "BOOTKIT" en rojo sobre una calavera, en un fondo de código verde que simula una pantalla de Matrix. Ilustración gráfica sobre malware de arranque.

Bootkit: Malware de Arranque, Cómo Funciona y Cómo Protegerse

Entre las amenazas más avanzadas y difíciles de detectar, el bootkit ocupa un lugar especial. Este tipo de malware ataca una fase crítica del sistema: el arranque del ordenador, incluso antes de que Windows se cargue. Al infectar el MBR (Master Boot ..

Amenazas y Ataques
julio 6, 2025
104
Views

Entre las amenazas más avanzadas y difíciles de detectar, el bootkit ocupa un lugar especial. Este tipo de malware ataca una fase crítica del sistema: el arranque del ordenador, incluso antes de que Windows se cargue.

Al infectar el MBR (Master Boot Record) o el firmware UEFI, un bootkit puede tomar el control del PC desde el encendido, ocultar otros malwares y desactivar las protecciones de seguridad, permaneciendo prácticamente invisible para los antivirus clásicos.

En este artículo, te explicaremos:

  • Qué es un bootkit y cómo funciona.
  • Por qué es tan difícil de detectar y eliminar.
  • Algunos ejemplos conocidos (TDL4, BlackLotus, Petya…).
  • Cómo protegerte eficazmente, especialmente gracias al Secure Boot y al UEFI.

He resumido para ti todo lo que necesitas saber en esta guía completa que te dará una visión completa sobre esta amenaza extremadamente furtiva, pero real.

¿Qué es un bootkit?

Un bootkit (contracción de bootloader y rootkit) es un tipo de malware que se infiltra en la fase de arranque del sistema, mucho antes de que Windows u otro sistema operativo se cargue completamente. Generalmente apunta a:

  • El sector de arranque (MBR) en sistemas antiguos.
  • O el bootloader UEFI (EFI/ESP) en máquinas modernas.

Una vez instalado, el bootkit puede ocultar otros malwares, tomar el control total del sistema e interceptar funciones críticas del sistema, permaneciendo prácticamente invisible.

¿Cómo funciona un bootkit y por qué son tan difíciles de detectar?

Un bootkit actúa desde el arranque del ordenador, incluso antes de que el antivirus o el núcleo de Windows estén activos. Se inserta en la cadena de arranque y carga un código malicioso en memoria, que luego puede:

  • Inyectar componentes maliciosos en el núcleo (kernel).
  • Eludir los controles de integridad.
  • Ocultar archivos, procesos o conexiones de red.

Este funcionamiento a bajo nivel permite al bootkit tomar el control antes de que las protecciones del sistema puedan detectarlo. Por lo tanto, es muy difícil de detectar y aún más complicado de eliminar sin acceso directo al firmware o un entorno de rescate.

Diagrama de Funcionamiento de un Bootkit: Cómo Infectan y se Ocultan
Diagrama que muestra el funcionamiento de un bootkit. El código malicioso se instala en el sector de arranque MBR o firmware EFI, cargándose antes del sistema operativo Windows y ocultándose de los antivirus.

Así, los bootkits no se ejecutan en el marco normal del sistema operativo. Esto significa que:

  • Las herramientas antivirus clásicas no pueden analizarlos, ya que están activos antes de su propio lanzamiento.
  • Algunos bootkits usan firmas digitales válidas, permitiéndoles eludir Secure Boot.
  • Pueden sobrevivir a un formateo o reinstalación del SO, si el sector de arranque o el firmware no se reinician.

¿Qué puede hacer un bootkit?

Las capacidades de un bootkit varían según los casos, pero generalmente incluyen:

  • El espionaje (keylogger, interceptación de tráfico, robo de credenciales).
  • El control total del sistema, incluyendo la elevación de privilegios.
  • La persistencia extrema, incluso después de un formateo clásico.
  • La instalación silenciosa de otros malwares (troyanos, ransomware…).
  • La manipulación de funciones del sistema, haciendo que la máquina sea inestable o totalmente comprometida.

Algunos de estos bootkits apuntaban al robo de información (TDL4, Rovnix), otros estaban diseñados para un impacto destructivo (Petya, NotPetya), mientras que los más recientes (BlackLotus, CosmicStrand) buscan ocultar su presencia sirviendo como base para otros malwares (ransomware, spyware, etc.).

Ejemplos de bootkits conocidos

En MBR

El MBR (Master Boot Record) era históricamente más vulnerable a los ataques de bootkits por varias razones técnicas y estructurales:

  • Ausencia de verificación de integridad: El BIOS (antiguo firmware de los PC) cargaba el MBR sin verificar su legitimidad. No existía ni firma criptográfica, ni sistema de validación por el fabricante.
  • Facilidad de escritura para un malware: Un malware podía usar comandos del sistema simples (\\.\PhysicalDrive0) para escribir directamente en el MBR, sin necesidad de privilegios elevados ni alerta de seguridad.
  • Ausencia de Secure Boot en la época del MBR.

Debido a esto, muchos bootkits surgieron a partir de 2010.

  • TDL4 (Alureon): Uno de los bootkits más difundidos en la década de 2010. Infectaba el MBR para cargar un rootkit al inicio, permitiendo ocultar archivos, desviar el tráfico de red y desactivar las protecciones del sistema. TDL4 representaba una amenaza duradera en Windows XP y Windows 7.
  • Rovnix: Otra amenaza modular de este tipo descubierta alrededor de 2012. Inyectaba código en el MBR y usaba técnicas de persistencia avanzadas. Apuntaba principalmente a datos bancarios, interceptando las sesiones de navegación.
  • Un caso particular: Petya: Es principalmente un ransomware, pero su particularidad es que modificaba el MBR para bloquear el acceso al sistema desde el arranque. En lugar de cifrar los archivos individualmente, reemplazaba el bootloader de Windows con una falsa pantalla de verificación de disco, y luego cifraba la tabla MFT (Master File Table) del disco. Aunque no es un bootkit clásico (ya que no se oculta ni busca persistir), Petya usa las técnicas de los bootkits para tomar el control antes de Windows, y en eso representa un caso híbrido.

En UEFI

El UEFI añade mecanismos de seguridad que buscan dificultar la instalación de bootkits. Sin embargo, existen bootkits UEFI.

  • LoJax: Descubierto en 2018 por los investigadores de ESET. Es el primer malware UEFI observado en estado salvaje, usado en una campaña de espionaje dirigida atribuida al grupo de ciberespionaje APT28 (Fancy Bear), vinculado a Rusia. LoJax no atacaba directamente al sistema Windows, sino al firmware UEFI, modificando el contenido de la partición del sistema EFI (ESP).
Diagrama de cuatro etapas que muestra el mecanismo de persistencia del malware LoJack. El módulo UEFI/BIOS ejecuta un agente persistente que instala un agente secundario, inyecta una DLL en svchost e Internet Explorer, y finalmente descarga e instala el agente de recuperación completo.
Descubre cómo el malware LoJack logra la persistencia en un sistema comprometido. Este diagrama, proporcionado por ESET, detalla las cuatro etapas clave del proceso.
  • CosmicStrand: Descubierto en el firmware de placas base modificadas, este bootkit UEFI inyecta un malware en memoria durante el arranque. Demuestra que los piratas informáticos pueden comprometer un PC desde el firmware, incluso si se reemplaza el disco o se reinstala Windows.
  • BlackLotus: Uno de los bootkits UEFI más temidos. Explota una vulnerabilidad (CVE-2022-21894) para desactivar Secure Boot, eludir BitLocker e instalar una carga persistente desde el arranque. Funciona incluso en máquinas modernas completamente actualizadas. Se trata de un malware vendido originalmente en foros clandestinos, señalando un giro en la sofisticación de los bootkits UEFI.

¿Cómo protegerse de bootkits?

La mejor defensa contra los bootkits se basa en una combinación de buenas prácticas, configuración del firmware y tecnologías modernas.

Activar Secure Boot

Los bootkits obtienen su fuerza del hecho de que se ejecutan antes del sistema operativo, insertándose en el proceso de arranque (MBR o UEFI). Para contrarrestar esta amenaza, Microsoft introdujo, a partir de Windows 8, dos mecanismos complementarios: Secure Boot y ELAM (Early Launch Anti-Malware). Juntos, forman una cadena de confianza diseñada para evitar que cualquier código no autorizado se ejecute al inicio.

  • Secure Boot: Es una función del UEFI que verifica, en el momento del arranque, que cada componente cargado (bootloader, núcleo, controladores críticos) está firmado digitalmente por un editor aprobado (Microsoft u OEM). Si un archivo EFI ha sido modificado o no posee una firma válida, el firmware bloquea su ejecución (Security Violated). Esto busca corregir el problema de la ausencia de verificación de integridad presente en MBR.

Por qué está totalmente contraindicado desactivar el Secure Boot.

ELAM (Early Launch Anti-Malware): Es un controlador antivirus especial que se lanza antes de los controladores de terceros durante el arranque de Windows. Su función es escanear los controladores que se cargan muy temprano (incluidos los inyectados por un bootkit) y bloquear los que son maliciosos o sospechosos. Incluso si un bootkit elude Secure Boot o se inserta más lejos en la cadena de arranque, ELAM puede interceptar su acción en el momento en que intenta inyectar un componente malicioso en el núcleo de Windows.

  • Es una defensa esencial para impedir la carga de código no autorizado al inicio.
  • Forma parte de la estrategia de Microsoft para hacer su SO más seguro.
Diagrama que ilustra la arquitectura de arranque de confianza de Windows, mostrando los pasos desde el arranque UEFI hasta el inicio de sesión, incluyendo Secure Boot, BitLocker y la medición de componentes mediante TPM.
Descubre cómo la arquitectura de arranque de confianza en Windows protege tu sistema desde el inicio. Secure Boot, BitLocker y el TPM trabajan juntos para asegurar un arranque seguro y confiable.

Mantener el firmware actualizado

Los fabricantes de placas base publican regularmente actualizaciones UEFI/BIOS para corregir vulnerabilidades explotables por bootkits.

Por lo tanto, se recomienda:

  • Mantener actualizado el BIOS es esencial.
  • Instalar las actualizaciones de seguridad de Windows. Microsoft puede publicar actualizaciones del firmware EFI a través de Windows Update.
  • Instalar las actualizaciones ofrecidas en las herramientas de los fabricantes de PC OEM.

Usar un antivirus con protección UEFI

Algunos antivirus avanzados (como ESET, Kaspersky, Bitdefender o Windows Defender en máquinas compatibles) escanean el firmware UEFI para detectar posibles modificaciones.

Evitar ISO o instaladores no verificados

Los bootkits pueden instalarse a través de medios comprometidos: unidades USB modificadas, ISO infectados o sistemas pre-infectados. El riesgo existe especialmente al instalar una versión modificada de Windows. No se puede estar seguro de que el autor haya insertado un malware, y en particular un bootkit.

Siempre usar fuentes oficiales.

Usar herramientas especializadas de detección

Herramientas como UEFItool, CHIPSEC o antivirus de arranque seguro (bootables) pueden analizar la integridad del firmware.

¿Cómo eliminar un bootkit?

La eliminación de un bootkit es compleja y depende del tipo de sistema infectado:

  • Para sistemas MBR antiguos: reiniciar el MBR y luego formatear completamente el disco.
  • Para sistemas UEFI: reiniciar el BIOS/UEFI a los parámetros de fábrica, flashear el firmware si es necesario y luego reinstalar el SO con Secure Boot activo.

En algunos casos, usar herramientas de rescate booteables, como:

Los mejores live USB antivirus para desinfectar tu PC

Rootkit y bootkit: ¿cuál es la diferencia?

Un rootkit es un malware furtivo que se ejecuta en el sistema operativo, a menudo a nivel de núcleo (modo kernel), y que sirve para ocultar otros archivos, procesos o conexiones. Se carga después de Windows. Alrededor de 2007, había que usar herramientas como GMER o TDSKiller de Kaspersky para detectar este tipo de malware.

Por su parte, un bootkit es una extensión del rootkit, pero a un nivel aún más bajo: se infiltra en el proceso de arranque, antes de Windows, lo que le da un control total sobre la máquina desde el encendido.

CriterioRootkitBootkit
UbicaciónNúcleo de Windows, controladores, servicios, registroMBR, sector de arranque, firmware UEFI
Momento de ejecuciónDespués del arranque del sistema (post-boot)Antes o durante el arranque del sistema (pre-boot)
Objetivo principalOcultar otros malwares, manipular el sistemaControlar la fase de arranque, inyectar código muy temprano
Modo de acciónInyección en procesos o controladoresReemplazo o modificación del bootloader
FurtividadMuy alta, pero depende de la versión del SOExtrema: el malware actúa antes de que se cargue el sistema
PersistenciaPersistente hasta la limpieza o desactivaciónPuede sobrevivir a un formateo de disco
DetecciónPosible con herramientas avanzadas (antirootkits, EDR)Muy difícil sin análisis de firmware o escaneo UEFI

Etiquetas:
· · ·
Categorías:
Amenazas y Ataques
Angel Mentor https://cybermentor.net

Angel Mentor es un profesional certificado en ciberseguridad cuya misión en CyberMentor.net es simplificar el complejo mundo de la seguridad digital. Con experiencia práctica en el campo, te guía desde la protección de tus dispositivos y tu privacidad hasta el avance de tu carrera profesional en ciberseguridad.

Curso Ciberseguridad Advertisement

Artículos Relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *