Imagen de la noticia

Redacción. El escritorio remoto de Windows o RDP (Remote Desktop Protocol) es una herramienta integrada por defecto en el sistema operativo de Microsoft utilizada a diario por empresas de todo el mundo.

Esta tecnología puede ser de gran ayuda a la hora de desempeñar las funciones de trabajo diarias, pero también puede ser la puerta de entrada de los ciberdelincuentes, pudiendo convertirse en un importante riesgo para todas las organizaciones que lo tienen habilitado si no cuenta con las suficientes medidas de seguridad.

Así lo ha advertido el Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio de Economía y Empresa a través de la Secretaría de Estado para el Avance Digital, en su último boletín de seguridad, apuntando que el escritorio remoto de Windows es frecuentemente utilizado para infectar con ransomware, el malware que cifra los archivos y pide un rescate.

Según el estudio del especialista británico de software y hardware de seguridad, Sophos, titulado RDP Exposed - The Threat That's Already at Your Door, hecho público el pasado mes de julio y puesto de relieve por el INCIBE, en tan solo un mes se registraron 4,3 millones de intentos de inicio de sesión fraudulentos en 10 dispositivos utilizados como señuelos o honeypots con RDP habilitado por defecto, ubicados en diferentes zonas geográficas.

Otros hechos destacables es que el primer ataque se produjo tan solo 1 minuto y 20 segundos después de hacer públicos en Internet los honeypots, y todos ellos fueron atacados una vez transcurridas 15 horas desde su publicación.

Los principales nombres de usuario atacados fueron los que tienen por defecto los sistemas operativos, como administrator, admin, user o ssm-user utilizado en AWS (Amazon Web Services), y fueron atacados tanto usuarios sin privilegios, como administradores. Además, la mayoría de los ataques centraban su foco en contraseñas débiles.

El estudio de Sophos revela que los ciberdelincuentes utilizan ataques de fuerza bruta, que consisten en probar múltiples credenciales de acceso, es decir, usuario y contraseña, de forma automatizada contra los objetivos. En caso de conseguir acceso, pasan al siguiente objetivo, que generalmente será instalar malware.

Además de los ataques de fuerza bruta, otro vector de ataque que pueden utilizar los ciberdelincuentes son las vulnerabilidades descubiertas no parcheadas.

Una vez consiguen acceder al equipo de la víctima, los ciberdelincuentes tienen como principal objetivo la instalación de malware, pudiendo ser este de varios tipos: ransomware (malware que cifra la información y pide un rescate), cryptojacking (utilizar los recursos del sistema para minar criptomonedas), malware (roba información y datos confidenciales, como contraseñas de acceso a otros servicios) e infecciones que convierten al equipo vulnerado en un zombi, controlado remotamente por ciberdelincuentes, formando parte de una botnet.

Para evitar ser víctima de los ciberdelincuentes a través del escritorio remoto, desde el INCIBE recomiendan, entre otras medidas, que todo el software que se utilice esté actualizado a la última versión disponible, utilizar redes privadas virtuales o VPN, nombres de usuario y contraseñas robustas, bloquear la cuenta del usuario tras varios intentos de acceso no exitosos, utilizar un sistema de doble factor de autenticación, cambiar el puerto por defecto de RDP en caso de no utilizar una solución VPN para acceder al escritorio remoto y crear reglas específicas en el cortafuegos o firewall de la empresa para restringir el acceso al servidor de escritorio remoto a un subconjunto de máquinas controlado.

Utilizamos cookies propias y de terceros para posibilitar y mejorar su experiencia de navegación por nuestra web. Si continua navegando, consideramos que acepta su uso.