25/4/24, 9:36 ¿Es seguro tu escritorio remoto?

| Empresas | INCIBE

INICIO / EMPRESAS / Blog / ¿Es seguro tu escritorio remoto?

¿Es seguro tu escritorio

remoto?
Fecha de publicación 22/08/2019

Autor
INCIBE (INCIBE)

Acceder de forma remota a equipos de la empresa o incluso de clientes es una gran ventaja que
aumenta la productividad ya que elimina la necesidad de estar físicamente delante del equipo.
Este tipo de acceso se conoce comúnmente como escritorio remoto, existiendo en el mercado
un gran número de soluciones, aunque una de las más utilizadas, debido a su integración por
defecto en el sistema operativo Windows, es RDP , por sus siglas en inglés Remote Desktop
Protocol.

El acceso remoto sigue el modelo lógico de cliente-servidor. El equipo al que queremos acceder
Este
hace sitio web yutiliza
de «servidor», el restocookies propias
de dispositivos y de
que tercerosa para
se conecten él sonel
loscorrecto funcionamiento
«clientes». Cuando se y visualización del sitio web por
parte
habilita delfuncionalidad
esta usuario, asísecomo
«abre»la
enrecogida
el servidorde
unestadísticas tal y como es
puerto, que comúnmente seelrecoge
númeroen la política de cookies en la columna
"finalidad".
3389. Los puertosPuede
puedencambiar la configuración
entenderse como las vías deuentrada
obtener másde
y salida información.
información a
Internet. Si una comunicación no se realiza en el puerto correcto, será denegada. Además, habrá
que configurar el router que da al servidor acceso a Internet, para que acepte las conexiones al
CONFIGURACIÓN DE COOKIES
escritorio remoto desde fuera de la red interna. Esto último no será necesario si utilizamos una
solución VPN para cifrar las comunicaciones entre los equipos cliente y servidor.

RECHAZAR TODAS

ACEPTAR TODAS

https://www.incibe.es/empresas/blog/seguro-tu-escritorio-remoto 1/8
25/4/24, 9:36 ¿Es seguro tu escritorio remoto? | Empresas | INCIBE

Riesgos de utilizar el escritorio

remoto
El escritorio remoto de Windows o RDP, además de ser utilizado en el día a día de las empresas,
es también uno de los objetivos de los ciberdelincuentes, pudiendo convertirse en un
importante riesgo para todas las organizaciones que lo tienen habilitado si no cuenta con las
suficientes medidas de seguridad. Es muy frecuente que sea utilizado para infectar con
ransomware, el malware que cifra los archivos y pide un rescate.

¿Cómo atacan RDP los ciberdelincuentes?

Sophos ha publicado recientemente un estudio después de analizar durante un mes los
ataques que sufren los servidores RDP accesibles desde Internet. En dicho estudio se utilizaron
como señuelos 10 dispositivos (honeypots) con RDP habilitado por defecto, ubicados en
diferentes zonas geográficas. Estos son algunos datos destacables que se pueden obtener del
estudio y que reflejan el interés que presentan este tipo de servicios para los ciberdelincuentes:

se registraron 4,3 millones de intentos de inicio de sesión fraudulentos en un período de

30 días;
el primer ataque se produjo tan solo 1 minuto y 20 segundos después de hacer públicos en
Internet los honeypots;
todos los honeypots fueron atacados una vez transcurridas 15 horas desde su publicación;
los principales nombres de usuario atacados fueron los que tienen por defecto los
sistemas operativos, como administrator, admin, user o ssm-user utilizado en AWS
(Amazon Web Services);
fueron atacados tanto usuarios sin privilegios, como administradores;
la mayoría de ataques centraban su foco en contraseñas débiles.

El estudio muestra que los ciberdelincuentes utilizan ataques de fuerza bruta, que consisten en
probar múltiples credenciales de acceso, es decir usuario y contraseña, de forma automatizada
contra los objetivos. En caso de conseguir acceso, pasan al siguiente objetivo, que generalmente
será instalar malware.
Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por
partededel
Además losusuario, así
ataques de como
fuerza la recogida
bruta, dedeestadísticas
otro vector tal y como
ataque que pueden selosrecoge en la política de cookies en la columna
utilizar
"finalidad". Puede
ciberdelincuentes son lascambiar la configuración
vulnerabilidades descubiertasuno
obtener másElinformación.
parcheadas. pasado mes de mayo
desde Protege tu Empresa publicamos un aviso advirtiendo de una vulnerabilidad crítica en el
escritorio remoto de Windows que afecta a versiones antiguas, aunque todavía muy utilizadas,
como Windows 7 o Windows Server 2008, y que permite al atacante instalar malware sin que el
usuario se percate. Pese a no ser un vector de ataque tan utilizado como la fuerza bruta, estas
vulnerabilidades suponen un importante riesgo si no se encuentran debidamente parcheadas.

¿Cuál es el objetivo de los

ciberdelincuentes?
https://www.incibe.es/empresas/blog/seguro-tu-escritorio-remoto 2/8
25/4/24, 9:36 ¿Es seguro tu escritorio remoto? | Empresas | INCIBE
Los ciberdelincuentes, una vez que obtienen acceso en el equipo de la víctima, tienen como
principal objetivo la instalación de malware, pudiendo ser este de varios tipos:

Ransomware, el malware que cifra la información y pide un rescate. Este tipo de amenaza
ha pasado de propagarse por medio del correo electrónico con ingeniería social, a hacerlo
a través de servicios RDP vulnerables.
Cryptojacking que consiste en utilizar los recursos del sistema para minar criptomonedas.
El minado de criptomonedas ha desplazado al ransomware como amenaza más común y
rentable .
Malware que roba información y datos confidenciales, como contraseñas de acceso a otros
servicios.
Infecciones que convierten a tu equipo en un zombi, controlado remotamente por
ciberdelincuentes, formando parte de una botnet.

¿Por qué lo atacan los

ciberdelincuentes?
Los ciberdelincuentes tienen su objetivo en este servicio por varios factores:

Existe un número elevado de dispositivos potencialmente vulnerables. Utilizando

buscadores específicos, como Shodan, que permite realizar búsquedas aplicando
diferentes filtros para identificar dispositivos conectados a Internet, nos podemos hacer
una idea del número global de equipos con servicios RDP abiertos en Internet. Esto
aumenta considerablemente las posibilidades de que uno de ellos sea vulnerable por tener
contraseñas débiles, por defecto o por no estar parcheado.
Para realizar la siguiente búsqueda en Shodan, se ha utilizado el filtro «port» indicando el
habitualmente utilizado en servidores RDP, el 3389.

La siguiente búsqueda se centra exclusivamente en servidores RDP abiertos a Internet

pero ubicados exclusivamente en España. Para ello se utilizará el filtro «country» y su
Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por
correspondiente valorasí
parte del usuario, quecomo
identifica a Españade
la recogida «ES».
estadísticas tal y como se recoge en la política de cookies en la columna
"finalidad". Puede cambiar la configuración u obtener más información.

https://www.incibe.es/empresas/blog/seguro-tu-escritorio-remoto 3/8
25/4/24, 9:36 ¿Es seguro tu escritorio remoto? | Empresas | INCIBE

Desde Shodan también se pueden ver capturas de pantalla de los servidores de escritorio
remoto, lo cual en sí mismo ya puede ser considerado una fuga de información que un
ciberdelincuente podría utilizar para futuros ataques.

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por
parte del usuario, así como la recogida de estadísticas tal y como se recoge en la política de cookies en la columna
"finalidad". Puede cambiar la configuración u obtener más información.

https://www.incibe.es/empresas/blog/seguro-tu-escritorio-remoto 4/8
25/4/24, 9:36 ¿Es seguro tu escritorio remoto? | Empresas | INCIBE

La posibilidad de automatización de los ataques. Los ciberdelincuentes utilizan

herramientas específicas con las que pueden probar multitud de usuarios y contraseñas
en múltiples víctimas. Además pueden utilizar la potencia computacional de las botnet
para así tener una mayor de posibilidad de éxito.

Recomendaciones de seguridad para

el escritorio remoto
Lo primero que se tiene que valorar es si realmente es necesario utilizar un escritorio remoto en
la empresa, ya que cualquier servicio público en Internet supone un riesgo añadido a la
ciberseguridad de la empresa. Si no es necesario conviene deshabilitar el servicio de escritorio
remoto. Para ello es recomendable que contactes con el servicio técnico o el administrador de la
red.

En caso de ser necesario para las labores de la empresa, se han de tener en cuenta las siguientes
consideraciones para que su uso suponga el mínimo riesgo posible.

Sistemas actualizados
El primer aspecto de seguridad en cualquier sistema es que todo el software que se utilice debe
estar actualizado a la última versión disponible. Así, las vulnerabilidades públicas no podrán ser
utilizadas para atacar a la organización.
Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por
parte
Como del
ya se usuario,
indicó así como
en el aviso la recogida
anterior, de estadísticas
siguen existiendo dispositivostal y como
cuyo sevida
ciclo de recoge
ha en la política de cookies en la columna
"finalidad".
terminado, comoPuede cambiar
por ejemplo la configuración
Windows u obtener
XP o Windows Server 2008, más información.
o algunos como Windows 7
que están a punto de terminar. Se debe evitar utilizar sistemas operativos sin soporte aunque
ante vulnerabilidades tan críticas como la anterior sigan recibiendo parches de seguridad.

Redes privadas virtuales

Utilizar redes privadas virtuales o VPN como puerta de enlace entre el servidor RDP y el usuario
minimizará los riesgos de sufrir un incidente de seguridad. Una VPN crea una conexión cifrada
entre ambos dispositivos, por lo que se aumenta considerablemente la privacidad de las

https://www.incibe.es/empresas/blog/seguro-tu-escritorio-remoto 5/8
25/4/24, 9:36 ¿Es seguro tu escritorio remoto? | Empresas | INCIBE
comunicaciones. Al igual que sucede con el resto del software, el servidor VPN debe estar
actualizado a la última versión.

Esta es la opción que ofrece más garantías de seguridad cuando se tiene que
acceder por medio de un escritorio remoto a través de Internet a un equipo de la
organización.

Utilizar la combinación VPN más escritorio remoto aumentará el nivel de seguridad, ya que hay
una doble barrera hasta la información de la empresa. En caso de que los ciberdelincuentes
consigan acceso por medio del servidor VPN, todavía tendrían que conseguir acceso al escritorio
remoto.

Nombres de usuario y contraseñas

robustas
Como se mostró en el estudio sobre ataques que reciben los escritorios remotos en Internet,
muchos se hacen utilizando nombres de usuario genéricos como Administrador, por tanto habrá
que utilizar nombres de usuario que no sean comunes. Así será más difícil que los ataques de
fuerza bruta sean exitosos.

Además es común que los ataques utilicen contraseñas débiles por lo que utilizando una
contraseña robusta lo más larga posible se reducirá considerablemente la posibilidad de que se
produzca un acceso no autorizado. Se deben utilizar nombres de usuario no genéricos y
contraseñas robustas, tanto para acceder al servidor VPN, como al escritorio remoto.

Bloqueo de cuenta
Los ataques de fuerza bruta basan su funcionamiento en probar posibles nombres de usuario y
contraseña hasta que consiguen el acceso o deciden abandonar el ataque en busca de otro
objetivo. Se recomienda aplicar una política de seguridad que restrinja el acceso del usuario
durante un tiempo determinado tras varios intentos no exitosos. El tiempo de bloqueo
aumentará en función del número de intentos no exitosos llegando incluso a bloquear
completamente el usuario atacado.

Doble factor de autenticación

Utilizar un sistema de doble factor de autenticación para acceder al escritorio remoto dotará de
un plus extra de seguridad a la organización. Para ello, además de tener que conocer el binomio
usuario/contraseña, será obligatorio saber un tercer dato (huella, código generado en el
momento, etc.). Se utilizarán preferiblemente aplicaciones específicas como mecanismo de
doble factor de autenticación en lugar de mensajes SMS, ya que estos son más vulnerables a
ataques.
Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por
parte del usuario, así como la recogida de estadísticas tal y como se recoge en la política de cookies en la columna

Cambiar el puerto por defecto de RDP

"finalidad". Puede cambiar la configuración u obtener más información.

En caso de no utilizar una solución VPN para acceder al escritorio remoto, se recomienda
cambiar el puerto utilizado por defecto para conectarse. Comúnmente, la conexión al servicio de
escritorio remoto de Windows se hace por medio del puerto 3389. Si se cambia por otro distinto,
se dificultará los ataques automatizados que llevan a cabo los ciberdelincuentes. Esto se conoce
como seguridad por oscuridad.

Listas de acceso mediante NLA

https://www.incibe.es/empresas/blog/seguro-tu-escritorio-remoto 6/8
25/4/24, 9:36 ¿Es seguro tu escritorio remoto? | Empresas | INCIBE
Probablemente no todos los usuarios de la empresa deben tener acceso al escritorio remoto por
lo que se debe limitar este a los estrictamente necesarios. Limitando el número de usuarios
posibles con acceso, se reduce el riesgo de que un ciberdelincuente consiga acceso de forma
fraudulenta. Para ello, es recomendable utilizar NLA, por sus siglas en inglés Network Level
Authentication. Mediante esta tecnología, los usuarios deben autenticarse en la red de la
empresa antes de poder hacerlo en el servidor RDP. NLA añade una capa extra de seguridad
ante posibles ataques ya que se requiere una doble autenticación. En cualquier caso, debemos
mantener la lista de accesos habilitados actualizada, sin olvidar supervisar y monitorizar los
accesos remotos.

Reglas del cortafuegos

En el cortafuegos o firewall de la empresa también se recomienda crear reglas específicas para
restringir el acceso al servidor de escritorio remoto a un subconjunto de máquinas controlado.
Este filtrado se puede hacer por medio de direcciones IP, permitiendo que únicamente accedan
las asociadas a los equipos de la empresa.

Utilizar un sistema de escritorio remoto puede ser de gran ayuda a la hora de desempeñar las
funciones de trabajo diarias pero también puede ser la puerta de entrada de los
ciberdelincuentes. Proteger su acceso implantando medidas y políticas de seguridad será vital
para evitar ser víctima de un incidente de seguridad.

Protección Movilidad Ciberdelito Buenas prácticas

Tags Empresas
Vulnerabilidad Actualización Empresa Buenas prácticas Concienciación Fraude Protección Correo electrónico CMS Políticas Phishing

Ciberdelito Malware Web Comercio minorista Ingeniería social Microsoft Testimonios Industria Comercio mayorista Sistema operativo

Comunicaciones Salud Movilidad Educación Plan director Navegador Contratación Amenaza Adobe Logística Android

Suplantación de identidad Windows Construcción 0day Continuidad Apple Infografía Reporte de incidentes SMS Ciberseguridad

Eventos Privacidad Colaborador Java Seguridad Oracle Comercio electrónico Identidad Privacidad seguridad Router

Copia de seguridad Informática Virtualización Comercio Formación Actualidad IoT Filtración de datos Reputación Cloud Riesgos

Cadena de Suministro Banca Pequeña empresa Email Defensa Sentido común Fuga de información Robo de datos Cifrado Contraseña

Información personal Legislación Acceso no autorizado Administración pública Turismo Transporte Postal Fabricación Química

Este sitio web

Alimentario utilizade
Distribución cookies propias
energía y de terceros
Infraestructura TIC paraempresa
Mediana el correcto funcionamiento
Punto de intercambio deyinternet
visualización
Pérdidadel sitio web
de datos por
Cisco
parte del usuario, así como la recogida de estadísticas tal y como se recoge en la política de cookies en la columna
Brecha de seguridad Gestión de identidades Ciberdelincuencia Cibercrimen Online Vishing Móvil Ransomware Configuración
"finalidad". Puede cambiar la configuración u obtener más información.
Confiabilidad Guía DNS Redes sociales Prevención Infraestructura crítica TIC Tratamiento de aguas Industria química Energía nuclear

Sector bancario Ferrocarril Agua potable Aguas residuales Suministradores de agua Distribuidores de agua Farmacéutica/Farmacéutico

Producción Química Distribución Química Industria alimentaria Electricidad Sistemas urbanos calefacción Sistemas urbanos refrigeración Gas

Hidrógeno Fabricante de software Producción de energía Fabricante de hardware Transporte de energía Industria nuclear Producción nuclear

Espacio Motor de búsqueda en línea Registros de dominios de primer nivel Prestadores de servicios de confianza Financiero

Infraestructuras de mercados financieros Comprar Denegación de servicio Asociación Ocio Herramientas Dato personal Asuntos legales

Ayuda Agua NIS2 Pyme Seguro Pentesting Threat intelligence Telegram TikTok Ciberespionaje Investigación Falso

https://www.incibe.es/empresas/blog/seguro-tu-escritorio-remoto 7/8
25/4/24, 9:36 ¿Es seguro tu escritorio remoto? | Empresas | INCIBE

Derechos de acceso Profesionales Telefonía Historias reales Outlook Ordenador Hacker App Movistar iOS App fraudulenta

Mensajería instantánea WhatsApp Ataque Windows mobile Spyware Antivirus Conexiones Google Smishing Internet Aplicación

Correos Hardware Sanidad SGSI Energía Marítimo Sanitario Medicamento Crudo Mercado en línea Electrónico Aéreo

Centrales nucleares Marketplace PayPal Redes Inyección Entretenimiento General Evento Cortafuego Routers Biometría

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por
parte del usuario, así como la recogida de estadísticas tal y como se recoge en la política de cookies en la columna
"finalidad". Puede cambiar la configuración u obtener más información.

https://www.incibe.es/empresas/blog/seguro-tu-escritorio-remoto 8/8