- El usuario root es el superusuario de Linux (UID 0) con control total sobre el sistema.
- sudo y su permiten obtener privilegios de root sin trabajar siempre como superusuario.
- Grupos como sudo o wheel controlan qué usuarios pueden ejecutar tareas administrativas.
- Es esencial limitar el uso de root y saber cómo bloquear o recuperar su contraseña.
Cuando empiezas a trastear con Linux, tarde o temprano te topas con un personaje clave: el usuario root, también conocido como superusuario. Es ese “dueño absoluto” del sistema del que todo el mundo habla, al que a veces hay que recurrir, pero con el que es mejor no jugar más de la cuenta si no quieres dejar el equipo inservible.
En muchas distribuciones modernas casi nunca inicias sesión directamente como root: lo normal es usar comandos como sudo o su para obtener privilegios de administrador puntualmente. Aun así, la cuenta root sigue existiendo (salvo que se bloquee a propósito) y entender bien qué hace, cómo se gestiona y qué riesgos tiene es fundamental para moverte con soltura por Linux.
Qué es exactamente el usuario root en Linux
En cualquier sistema GNU/Linux existe una cuenta especial llamada root, que es el administrador absoluto del sistema operativo. Esta cuenta tiene permisos totales para leer, modificar o borrar cualquier archivo, cambiar configuraciones críticas, instalar y desinstalar software o gestionar el resto de usuarios.
Desde el punto de vista técnico, el usuario root se identifica porque tiene UID 0 y, normalmente, GID 0 y pertenece al grupo root. En la práctica, en Linux no importan tanto los nombres de usuario como los identificadores numéricos (UID y GID), de manera que cualquier cuenta con UID 0 se considera superusuario, aunque no se llame literalmente “root”.
Esta cuenta es comparable al usuario administrador de Windows, pero con aún más libertad y poder de decisión. Root puede romper casi cualquier mecanismo de seguridad del propio sistema porque, sencillamente, está por encima de ellos. Es una herramienta imprescindible para administrar Linux, pero también el punto más peligroso si se usa sin cuidado.
Una forma muy fácil de identificar si estás actuando como root es fijarte en el prompt de la terminal: en un usuario normal suele acabar en un símbolo dólar ($), mientras que con root termina en una almohadilla (#). Además, el nombre de usuario que aparece a la izquierda será “root” cuando has iniciado sesión con esa cuenta.
Tipos de usuarios en Linux y papel del superusuario
Linux organiza la seguridad mediante un sistema de permisos basado en usuarios y grupos. No todas las cuentas pueden hacer lo mismo, y eso es justo lo que te protege de que una simple aplicación o un error humano eliminen el sistema entero.
Básicamente, en un equipo típico podemos distinguir tres tipos de cuentas: usuarios normales, usuarios del sistema (daemons) y el usuario root. Cada una tiene un conjunto de permisos bien distinto y un papel concreto.
Los usuarios normales son las cuentas de uso diario, con UID a partir de 1000 en la mayoría de distribuciones. Están pensados para trabajar, navegar, programar o jugar sin poder tocar la base del sistema. Por defecto no pueden instalar paquetes del sistema, modificar archivos en directorios como /etc o /usr, ni administrar otros usuarios.
Luego están los denominados “usuarios del sistema” o de servicio. Son cuentas especiales con UIDs bajos que se emplean para ejecutar demonios y servicios en segundo plano (servidores web, bases de datos, etc.). Estos usuarios suelen tener permisos muy restringidos para minimizar el impacto de un fallo de seguridad en un servicio concreto.
Por último, tenemos al protagonista: root, el único usuario con control global sobre el equipo. No tiene prácticamente restricciones: puede leer cualquier archivo, matar procesos ajenos, cambiar permisos o montar y desmontar sistemas de archivos. Precisamente por eso la filosofía de Unix y Linux insiste tanto en usarlo solo cuando sea estrictamente necesario.
Diferencia entre ser root y tener privilegios de root
Aquí viene una matización importante que a veces se pasa por alto: no es lo mismo “ser root” que “tener privilegios de root”. Ser root, como decíamos antes, es tener UID 0 (y normalmente GID 0). Eso implica que el sistema te trata internamente como superusuario en todo momento.
Sin embargo, muchas distribuciones modernas (Ubuntu, Debian, Fedora, openSUSE, etc.) permiten que usuarios normales obtengan privilegios de root de forma temporal usando sudo o su. En ese caso sigues siendo tú (UID distinto de 0), pero para uno o varios comandos concretos el sistema te deja actuar “como si” fueras root.
Esto se gestiona a través de varios mecanismos: por ejemplo, /etc/sudoers decide qué usuarios pueden ejecutar sudo y con qué permisos. Otros sistemas se basan en grupos especiales, como wheel o sudo, a los que debes pertenecer para poder usar sudo. De esta forma, no hace falta iniciar sesión como root a diario, sino solo elevar privilegios cuando toca.
En distribuciones como openSUSE, Void Linux o varias basadas en Red Hat, es habitual que el grupo wheel sea el encargado de controlar quién puede usar sudo o su. Si tu usuario no aparece en ese grupo al ejecutar el comando id, no tendrá esos privilegios, por mucho que la cuenta root exista en el sistema.
Grupos especiales: sudo y wheel según la distribución
Dependiendo de la familia de Linux que uses, el grupo asociado a privilegios administrativos cambia. Es importante tener esto claro para saber a qué grupo hay que añadir a tu usuario cuando quieras que pueda usar sudo.
En Debian, Ubuntu y derivadas (Linux Mint, Pop!_OS, etc.), el grupo clave es sudo. Cualquier cuenta que pertenezca a este grupo podrá ejecutar comandos con privilegios elevados anteponiendo la palabra sudo y escribiendo su propia contraseña.
En cambio, en CentOS Stream, AlmaLinux, Rocky Linux y muchas otras distribuciones de la familia Red Hat, el grupo relevante es wheel. Los usuarios añadidos a wheel, si la configuración de sudoers lo permite, podrán usar sudo o su con permisos de administrador.
Para añadir un usuario a estos grupos se utiliza el mismo comando, cambiando solo el nombre del grupo. Por ejemplo, en sistemas tipo Red Hat harías algo así: usermod -aG wheel nombre_usuario. Y en Debian o Ubuntu: usermod -aG sudo nombre_usuario. Después puedes comprobar el resultado con groups nombre_usuario o id nombre_usuario.
En el caso de SUSE y openSUSE, el enfoque es ligeramente distinto. Hay paquetes como system-group-wheel o system-user-mail que crean y configuran los grupos especiales. Además, la gestión de sudo se hace ajustando el archivo /etc/sudoers con visudo, habilitando líneas como ALL ALL=(ALL) ALL y, si se desea, opciones como Defaults targetpw para controlar de qué usuario se pide la contraseña.
Comandos clave: sudo, su y su nombre_usuario
Para trabajar en el día a día sin vivir como root, Linux propone varios comandos que te permiten elevar privilegios de forma controlada. Los más importantes son sudo y su, y aunque a veces se usan indistintamente, en realidad apuntan a usos diferentes.
sudo está pensado para que un usuario normal, miembro del grupo adecuado o autorizado en /etc/sudoers, pueda ejecutar un comando con privilegios de root sin abandonar su sesión. Solo afecta a la orden concreta que escribas detrás de sudo; cuando termina, vuelves automáticamente a tus permisos normales.
Por ejemplo, para instalar un programa mediante el gestor de paquetes APT en Debian o Ubuntu, tendrías que hacer algo como: sudo apt install vlc. Si no pones sudo delante, un usuario normal no tiene permiso para tocar el sistema global de paquetes. Lo mismo sucede al actualizar el sistema con sudo apt-get update.
su, en cambio, es el comando clásico para cambiar de usuario. Sin argumentos suele implicar “cámbiame a root”, por lo que te pedirá la contraseña de la cuenta root (no la tuya). A partir de ese momento, toda la sesión estará bajo la identidad del nuevo usuario, normalmente root, hasta que escribas exit o cierres la terminal.
También puedes usar su nombrecuentausuario para cambiar a otro usuario distinto de root, siempre que tengas su contraseña o permisos adecuados. Es una forma muy útil de probar configuraciones con otra cuenta o de hacer administración sin salir de la sesión actual.
Es frecuente que, al hacer su desde tu usuario normal, se sigan leyendo archivos de configuración de tu shell (como .bashrc o .zshrc). Eso explica que, si tienes funciones personalizadas para el prompt o para Git, al cambiar a root puedan aparecer errores si esas funciones no están definidas en el entorno de root. No es que root no exista, sino que el entorno de shell se ha heredado parcialmente.
Principales usos del usuario root y de los privilegios elevados
El superusuario no solo está ahí “por si acaso”: hay muchas tareas de administración para las que es obligatorio tener permisos root o usar sudo. Algunas de las más habituales en cualquier sistema Linux son las siguientes.
En primer lugar, la instalación y eliminación de software. Los gestores de paquetes del sistema (apt, dnf, zypper, pacman…) requieren privilegios de administrador para modificar el software instalado globalmente. Es decir, si quieres instalar Gparted, por ejemplo, deberías hacer algo como sudo apt install gparted o, si ya estás como root, simplemente apt install gparted.
Otra tarea clásica que exige root es editar archivos de configuración del sistema, ubicados en directorios como /etc. Para ello, se suele invocar un editor de texto con sudo. Un ejemplo típico es modificar el archivo de hosts con sudo nano /etc/hosts o tocar configuración de servicios de red, cortafuegos, etc.
El cambio de contraseña de la propia cuenta root también requiere privilegios elevados. Si quieres establecer o modificar esa clave, deberás usar sudo passwd root para asignar una nueva contraseña al superusuario. Una vez ejecutado, el sistema te pedirá introducirla dos veces para confirmarla.
Hay operaciones que, por su propia naturaleza, pueden ser delicadas o peligrosas y, por tanto, solo se permiten a root. Por ejemplo, el comando rm con opciones recursivas puede borrar directorios enteros del sistema, por lo que ciertas rutas críticas solo pueden tocarse con privilegios de administrador.
Incluso acciones aparentemente sencillas como reiniciar o apagar el equipo mediante comandos de terminal (reboot, poweroff) suelen requerir permisos de superusuario, al menos en entornos de servidor o en configuraciones más tradicionales.
Mostrar asteriscos al escribir la contraseña en sudo (pwfeedback)
Por defecto, cuando introduces tu contraseña al usar sudo, no se muestra ningún carácter en pantalla: ni asteriscos ni puntos. Esta decisión se tomó históricamente como medida de seguridad para que nadie pudiese deducir la longitud de la contraseña mirando por encima del hombro.
Sin embargo, para muchos usuarios esto resulta poco amigable, porque no hay una confirmación visual de que realmente se están recibiendo las pulsaciones. Por eso existe una opción de configuración llamada pwfeedback, que permite que sudo muestre un asterisco por cada carácter que escribes.
Para activarla, hay que editar la configuración de sudo con la herramienta visudo, que es la forma segura de modificar /etc/sudoers. Desde una terminal, ejecutarías algo como: sudo visudo. Dentro del editor, deberás añadir la línea Defaults pwfeedback en un lugar apropiado del archivo.
Una vez guardados los cambios, la próxima vez que ejecutes un comando con sudo verás asteriscos mientras escribes la contraseña. Si en algún momento prefieres volver al comportamiento tradicional, basta con volver a abrir visudo y eliminar esa línea, guardando después de nuevo el archivo.
Riesgos reales de usar root sin precaución
Que el usuario root tenga poderes casi ilimitados tiene un precio: cualquier error cometido con estos privilegios puede ser catastrófico. Por eso las distribuciones fomentan el uso de sudo y el trabajo habitual con cuentas normales, reduciendo al máximo el tiempo que pasas como superusuario.
Uno de los peligros más obvios es la eliminación accidental del sistema de archivos. Comandos como rm -rf / o rm -rf /*, ejecutados como root o con sudo, pueden borrar en cuestión de segundos todos los archivos del sistema, dejando el equipo completamente inutilizable. Incluso variantes aparentemente inocentes, como rm -rf $directorio/*, se convierten en un problema grave si la variable está vacía y se expande a una ruta no deseada.
Otro riesgo importante es la instalación de software malicioso con privilegios de administrador. Si descargas y ejecutas scripts o paquetes de origen dudoso mientras tienes acceso root, le estás dando vía libre a un posible atacante para instalar rootkits, spyware o cualquier tipo de malware con capacidad de esconderse a muy bajo nivel.
También resulta especialmente delicado cambiar permisos de archivos críticos del sistema con comandos como chmod. Un error del estilo chmod 000 /etc/ puede hacer que el sistema quede inarrancable, al no poder leer sus propios archivos de configuración. En algunos casos, la única salida práctica es reinstalar desde cero o recurrir a servicios de recuperación profesional.
Por todo ello, cada vez que uses sudo, su o trabajes directamente como root, es fundamental revisar muy bien los comandos antes de pulsar Intro y asegurarte de que no hay rutas mal tecleadas ni variables imprevistas. Un simple despiste con privilegios de usuario normal suele ser reparable; con root, puede que no haya vuelta atrás.
Política de root en Ubuntu y otras distribuciones modernas
Distribuciones como Ubuntu llevan años apostando por deshabilitar la cuenta root para el inicio de sesión directo por defecto. En su lugar, durante la instalación te crean un usuario normal que pertenece al grupo de administradores (sudo) y que es el que usarás a diario.
La idea es sencilla: realizas el trabajo normal con tu usuario de siempre y, cuando necesitas privilegios de administración, usas sudo. Ejecutas la tarea y, en cuanto termina, vuelves a ser un usuario limitado. Así es mucho más difícil que te olvides abierto un terminal como root haciendo cosas cotidianas.
Si intentas iniciar sesión en una consola de texto con root en un Ubuntu recién instalado, verás que no puedes, porque la contraseña de root está bloqueada (no está definida). Eso no significa que la cuenta no exista, sino que no se puede utilizar directamente para autenticarse con contraseña.
Quien quiera, no obstante, puede habilitar la cuenta root asignándole una clave manualmente. Para ello basta con ejecutar desde la cuenta administrativa: sudo passwd root. El sistema pedirá tu contraseña de usuario y, después, la nueva contraseña de root por duplicado.
A partir de ahí, podrás iniciar sesión como root en la consola de texto, verás el prompt con almohadilla (#) y tendrás un entorno completo de superusuario. Eso sí, la recomendación oficial sigue siendo usarlo solo para tareas puntuales y volver a dejarlo bloqueado cuando no sea necesario.
Habilitar e iniciar sesión como root en la interfaz gráfica
Dar un paso más allá y iniciar sesión como root en el entorno gráfico (GDM en Ubuntu, por ejemplo) es algo que la mayoría de distribuciones desaconsejan fuertemente. Aun así, es posible hacerlo con ciertos ajustes, asumiendo los riesgos que conlleva.
En Ubuntu, por ejemplo, después de haber establecido una contraseña para root, GDM sigue sin permitir iniciar sesión gráfica con esa cuenta por defecto. Esto se debe a que su archivo de configuración viene preparado para bloquearla expresamente y a ciertas reglas de PAM.
Para levantar esa restricción podrías editar, como administrador, el archivo /etc/gdm3/custom.conf y, en la sección , añadir la línea AllowRoot=true. Así indicas al gestor de sesiones que acepte autenticaciones con root.
Después habría que modificar /etc/pam.d/gdm-password, comentando una línea del tipo auth required pam_succeed_if.so user != root quiet_success anteponiendo una almohadilla (#). De ese modo PAM deja de bloquear explícitamente al usuario root en el login gráfico.
Finalmente, en algunos casos conviene ajustar el archivo /root/.profile, sustituyendo líneas como mesg n 2> /dev/null || true por un pequeño bloque condicional que solo intente ejecutar mesg si la sesión es interactiva (por ejemplo, mediante if `tty -s`; then mesg n; fi), evitando mensajes de error al iniciar sesión.
Tras reiniciar, en la pantalla de GDM podrás elegir “¿No está en la lista?” y escribir “root” como nombre de usuario, seguido de su contraseña. El sistema mostrará avisos claros sobre el peligro de usar la sesión gráfica como root, y se comportará como si fuera la primera vez que ese usuario entra en el escritorio, con el asistente de bienvenida habitual.
Desactivar o bloquear la cuenta root de forma segura
Si has habilitado la cuenta root para tareas específicas o heredas un sistema en el que está activa, es muy buena idea volver a deshabilitarla en cuanto ya no la necesites. De ese modo reduces la superficie de ataque y evitas que la contraseña de root circule alegremente entre varios usuarios.
Una forma muy sencilla de bloquearla es usar el comando sudo passwd -l root desde una cuenta con permisos administrativos. Lo que hace esta orden es deshabilitar la contraseña actual de root, sustituyéndola por un valor imposible (añadiendo un carácter ! al principio del hash en /etc/shadow), de modo que ya no se puede autenticar con contraseña.
Ten en cuenta, eso sí, que eso no elimina la cuenta root ni impide que se usen otros métodos de autenticación, como claves SSH, si estuvieran configuradas. Simplemente bloquea el uso de la contraseña tradicional.
Otra alternativa consiste en recurrir a usermod con opciones como sudo usermod --lock --expiredate 1970-01-02 root. Con ello marcas la cuenta como bloqueada y con una fecha de expiración ya pasada, dificultando todavía más su uso directo para iniciar sesión.
En entornos multiusuario, donde muchas personas tienen acceso físico o remoto a la máquina, bloquear root y gestionar los permisos mediante sudoers y grupos como sudo o wheel es la estrategia más segura y fácil de auditar, como ocurre al blindar un NAS con seguridad en QNAP. Así cada acción administrativa queda asociada a un usuario concreto y se puede registrar en los logs.
Cómo recuperar la contraseña de root si la has perdido
Si por cualquier motivo pierdes la contraseña de root o la has deshabilitado y necesitas volver a activarla, Linux ofrece varias vías para recuperarla. Las dos más habituales pasan por usar el GRUB (arrancando en modo recuperación) o iniciar el sistema desde un LiveCD.
La opción del GRUB suele ser la más directa en equipos de escritorio. Al encender el ordenador, accedes al menú de GRUB y seleccionas las “Opciones avanzadas” para tu distribución. Dentro de ellas, eliges la entrada que menciona el “Recovery Mode” o modo de recuperación.
Al entrar en ese modo, el sistema te ofrecerá un menú de opciones, entre ellas una llamada “root” que abre una consola con privilegios de superusuario. Desde ahí, lo primero suele ser remontar el sistema de archivos con permisos de escritura usando algo como: mount -o rw,remount /.
Una vez que el sistema de archivos raíz está en modo lectura-escritura, puedes ejecutar passwd root para establecer una nueva contraseña para la cuenta root. Tras introducirla dos veces, conviene sincronizar los datos con disco mediante sync y reiniciar el equipo con reboot para aplicar los cambios.
La otra vía es usar un LiveCD (por ejemplo, un USB de Ubuntu en modo “Probar sin instalar”). Arrancas desde ese medio, eliges “Probar Ubuntu” y abres una terminal. Desde ahí puedes obtener privilegios de root en el entorno Live con sudo su.
Después, deberás identificar la partición donde está instalado tu Linux original, por ejemplo ejecutando fdisk -l para listar discos y particiones. Cuando sepas cuál es (pongamos que es /dev/sda1), creas un punto de montaje con mkdir /mnt/recover y montas la partición con mount /dev/sda1 /mnt/recover.
El siguiente paso es hacer un chroot al sistema instalado, es decir, “entrar” en él como si fuera tu raíz actual. Para lograrlo usas chroot /mnt/recover. A partir de ahí, todos los comandos se ejecutan como si estuvieras dentro del sistema que quieres reparar.
Dentro del chroot, bastará con ejecutar passwd root para definir una nueva contraseña. Cuando termines, sales del chroot, desmontas la partición si lo deseas y reinicias el equipo arrancando normalmente desde el disco duro. La nueva clave de root ya estará activa.
Preguntas frecuentes sobre root, sudo y su
En el uso diario de Linux suelen repetirse varias dudas relacionadas con el superusuario. Algunas de las más habituales tienen que ver con la diferencia entre root y sudo, la conveniencia de iniciar sesión directamente como root y qué hacer si olvidas la contraseña.
La respuesta corta es que root es la cuenta con UID 0 y control total del sistema, mientras que sudo es una herramienta que permite a otros usuarios ejecutar comandos como root sin convertirse en él permanentemente. Su, por su parte, cambia de usuario (por defecto a root) y requiere normalmente la contraseña del usuario de destino.
En cuanto a si es buena idea usar root para el día a día, la recomendación general es un “no” bastante rotundo. Lo razonable es trabajar siempre con un usuario normal y elevar privilegios solo cuando haga falta. Cuanto menos tiempo pases con poderes de superusuario, menos posibilidades tendrás de liar alguna gorda por accidente.
Si olvidas la contraseña de root, el procedimiento más correcto es recurrir al modo recuperación desde GRUB o al uso de un LiveCD para redefinirla con passwd, tal y como hemos visto. Es preferible hacer esto que intentar “atajos” inseguros, porque así mantienes el control sobre quién puede convertirse en root y cuándo.
En definitiva, entender bien cómo funciona root, cómo se combinan herramientas como sudo y su, qué papel juegan los grupos sudo o wheel y qué pasos seguir para habilitar, bloquear o recuperar la cuenta de superusuario te da un control real sobre tu sistema Linux y te evita muchos sustos. Usar root con cabeza, solo cuando toca y revisando siempre los comandos, es la mejor forma de disfrutar de la potencia de Linux sin poner en riesgo tus datos ni la estabilidad del equipo.
