El Protocolo de escritorio remoto o RDP es un protocolo de comunicación de red diseñado para permitir la administración remota de estaciones de trabajo o servidores de Windows. En principio, está diseñado para operar sobre un canal encriptado, evitando así que la información transmitida durante la sesión sea vista o escuchada por personas no autorizadas. Si bien su principio de desarrollo es seguro, implementar el uso de este servicio en una empresa requiere ciertas precauciones, de lo contrario puede exponerlo a la pérdida o vulnerabilidad de la información.
Acceder de forma remota a las computadoras de la empresa o incluso de los clientes es una gran ventaja que aumenta la productividad, ya que elimina la necesidad de estar físicamente frente al equipo. El acceso remoto sigue el modelo lógico cliente-servidor. El ordenador al que queremos acceder actúa como “servidor”, y el resto de dispositivos que se conectan a él son los “clientes”. Cuando esta funcionalidad está habilitada, se “abre” un puerto en el servidor, que comúnmente es el número 3389. Los puertos pueden entenderse como las rutas de entrada y salida de información a Internet. Si no se realiza una comunicación en el puerto correcto, se denegará. Además, el enrutador que da acceso al servidor a Internet debe estar configurado para que acepte conexiones al escritorio remoto desde fuera de la red interna.
El escritorio remoto de Windows o RDP, además de ser utilizado en el día a día de las empresas, es también uno de los objetivos de los ciberdelincuentes, y puede convertirse en un riesgo importante para todas las organizaciones que lo tengan habilitado si no cuentan con el suficientes medidas de seguridad. Se utiliza muy a menudo para infectar ransomware, el malware que cifra archivos y pide un rescate.
Ramsomware es el que busca explotar vulnerabilidades en la implementación de RDP a través de Internet. Básicamente, la idea es intentar piratear el acceso para luego poder implementar manualmente el Ransomware en la red de la empresa. Y aunque el ransomware es solo uno de los muchos riesgos que pueden presentarse, puede estar expuesto a otros como. espionaje de información, fuga de información de la empresa, eliminación maliciosa de información, etc.
Lo primero que hay que valorar es si realmente es necesario utilizar un escritorio remoto en la empresa, ya que cualquier servicio público en Internet representa un riesgo añadido para la ciberseguridad de la empresa. Si no es necesario, es recomendable deshabilitar el servicio de escritorio remoto pero, si es necesario, debe:
▸Si debe publicar cualquier aplicación en Internet que resida en un servidor pero que no requiera acceso de publicación por RDP, asegúrese de deshabilitar el acceso remoto manualmente.
▸Si desea dejar el uso de RDP desde fuera de la LAN como alternativa, sería una buena idea usar un firewall que permita el acceso solo desde direcciones IP autorizadas.
▸Si el uso de RDP a través de Internet es obligatorio y no puede restringir el acceso mediante direccionamiento IP, es mejor cambiar el puerto predeterminado, definir solo los usuarios autorizados para acceder a RDP y utilizar contraseñas seguras que dificulten el acceso.
▸Se recomienda en el cortafuegos de la empresa crear reglas específicas para restringir el acceso al servidor de escritorio remoto a un subconjunto controlado de máquinas.
