El RDP es un arma de doble filo para los equipos de TI | Esencial pero explotable
El Protocolo de Escritorio Remoto o RDP, por sus siglas en inglés, es una tecnología impresionante desarrollada por el gigante tecnológico Microsoft, permite acceder y controlar otro ordenador por medio de una red.
Es como llevar tu computadora de oficina contigo a cualquier lugar. Para las organizaciones, eso significa que el personal de TI puede gestionar sistemas de forma remota y que los empleados pueden trabajar desde casa o desde cualquier ubicación, convirtiendo a un RDP en un elemento clave en el entorno laboral moderno.
No obstante, hay un inconveniente, ya que el RDP es accesible por medio de Internet, por lo que también se ha convertido en un objetivo principal para los ciberdelincuentes. Si alguien logra acceder sin autorización, podría tomar el control total de tu sistema y, por esta razón, es importante asegurar el RDP de manera adecuada.
Más del 50% de los clientes de las pequeñas y medianas empresas o Pymes, además de proveedores de servicios gestionados, MSPs, utilizan el RDP en sus operaciones cotidianas, debido a su eficiencia y flexibilidad.
En primer lugar, reduce los costes y el tiempo de inactividad, ya que los equipos de TI pueden resolver problemas técnicos de forma remota, eliminando costes de desplazamiento y reduciendo retrasos. Además, esto asegura la continuidad del negocio; tanto trabajadores como administradores pueden acceder de forma segura a los sistemas empresariales desde cualquier ubicación.
También, favorece la gestión escalable de TI, ya que los MSPs pueden supervisar múltiples redes de clientes desde una sola interfaz. A pesar de sus beneficios, el uso generalizado del RDP lo convierte en un vector de ataque muy atractivo, lo que exige una vigilancia y monitoreo constante para garantizar su seguridad.
Como es normal, el RDP se comunica por medio del puerto 3389. No obstante, informes recientes de ciberseguridad publicados en el año 2024, han destacado una tendencia preocupante. Los actores maliciosos han comenzado a escanear el puerto 1098, una ruta alternativa menos conocida para identificar sistemas RDP vulnerables.
Para dimensionar esta amenaza, sensores han detectado más de 740 mil direcciones IP diferentes escaneando servicios de RDP diariamente, con una cantidad significativa de estos intentos provenientes de un solo país.
Los hackers maliciosos utilizan estos escaneos para localizar sistemas mal configurados, débiles o desprotegidos. Luego, intentan acceder forzando contraseñas, explotando vulnerabilidades y con todo tipo de trucos. Para las empresas como las pymes y MSPs, esto significa un mayor riesgo de violaciones de datos, infecciones de ransomware y tiempos de inactividad inesperados.
Los expertos de Microsoft son conscientes de estos riesgos y se disponen a lanzar actualizaciones regularmente para corregir vulnerabilidades de seguridad. En el mes de diciembre del año pasado, el gigante tecnológico abordó 9 vulnerabilidades críticas relacionadas con los servicios de Escritorio Remoto de Windows, asegurando que fallos conocidos no pudieran ser explotados con facilidad.
Exponer el RDP a Internet suele ser el resultado de una mala configuración en lugar de una elección deliberada. En las últimas 28 mil pruebas de penetración de redes externas realizadas por firmas de ciberseguridad, se han encontrado más de 360 instancias de RDP expuestas a Internet. En las redes internas, se han detectado casi 500 casos de BlueKeep, una vulnerabilidad crítica del RDP.
