El Protocolo de Escritorio Remoto (RDP) es una innovadora tecnología desarrollada por Microsoft que permite acceder y controlar otra computadora a través de una red. Es como llevar la computadora de tu oficina contigo a cualquier lugar. Para las empresas, esto significa que el personal de TI puede administrar sistemas de manera remota y los empleados pueden trabajar desde casa o desde cualquier ubicación, convirtiendo al RDP en una herramienta clave en el entorno laboral actual.

Sin embargo, hay un inconveniente: dado que RDP es accesible a través de Internet, también se convierte en un blanco atractivo para los ciberdelincuentes. Si un atacante obtiene acceso no autorizado, podría tomar el control del sistema. Por esta razón, es crucial implementar medidas de seguridad para proteger RDP adecuadamente.

¿Por qué los equipos de TI siguen usando RDP a pesar de los riesgos?

Más del 50 % de los clientes de pequeñas y medianas empresas (PYMEs) y proveedores de servicios administrados (MSP) de Kaseya confían en RDP para sus operaciones diarias debido a su eficiencia y flexibilidad:

  • Reducción de costos y tiempos de inactividad: los equipos de TI pueden solucionar problemas técnicos de forma remota, eliminando gastos de viaje y demoras.
  • Continuidad del negocio: empleados y administradores pueden acceder a los sistemas de la empresa de manera segura desde cualquier ubicación.
  • Gestión de TI escalable: los MSP pueden supervisar múltiples redes de clientes desde una sola interfaz.

A pesar de estos beneficios, el uso extendido de RDP lo convierte en un objetivo atractivo para ataques cibernéticos, lo que requiere una vigilancia constante para garantizar su seguridad.

Nuevas amenazas: el aumento de escaneos en el puerto 1098

Generalmente, RDP se comunica a través del puerto 3389. Sin embargo, recientes informes de seguridad, como el de la Shadowserver Foundation en diciembre de 2024, han revelado una tendencia preocupante: los ciberdelincuentes han comenzado a escanear el puerto 1098, una ruta alternativa menos conocida, para identificar sistemas RDP vulnerables.

Para ponerlo en contexto, sensores honeypot han detectado hasta 740,000 direcciones IP distintas escaneando servicios RDP diariamente, con una parte significativa de estos intentos originados en un solo país. Los atacantes utilizan estos escaneos para localizar sistemas mal configurados o sin protección, y luego intentan acceder mediante ataques de fuerza bruta o explotando vulnerabilidades.

Para las PYMEs y los MSP, esto representa un mayor riesgo de violaciones de datos, infecciones de ransomware y tiempos de inactividad imprevistos.

Mantenerse actualizado con los parches de seguridad

Microsoft es consciente de estos riesgos y publica regularmente actualizaciones para corregir vulnerabilidades de seguridad. En diciembre de 2024, la compañía solucionó nueve fallos críticos en los Servicios de Escritorio Remoto de Windows.

En la actualización de enero de 2025, se abordaron dos vulnerabilidades adicionales (CVE-2025-21309 y CVE-2025-21297). Sin los parches correspondientes, estas fallas podrían permitir a los atacantes ejecutar código malicioso en un sistema sin necesidad de credenciales.

Cómo vPenTest de Kaseya fortalece la seguridad de RDP

En la mayoría de los casos, la exposición de RDP a Internet se debe a errores de configuración. En 28,729 pruebas de penetración en redes externas realizadas recientemente, se detectaron 368 instancias de RDP expuestas a la red pública. En entornos internos, se encontraron 490 instancias vulnerables al exploit BlueKeep.

Para fortalecer la seguridad de las redes internas y externas, herramientas como vPenTest son esenciales. Sus principales ventajas incluyen:

  • Pruebas de penetración automatizadas: permite realizar simulaciones de ataques en redes internas y externas para detectar vulnerabilidades antes que los atacantes.
  • Soporte multiusuario: diseñado para equipos de TI multifuncionales, permitiendo gestionar múltiples tareas de seguridad dentro de la plataforma.
  • Informes detallados y panel de control: proporciona análisis completos con resúmenes ejecutivos y reportes técnicos detallados, facilitando la toma de decisiones en ciberseguridad.

Por primera vez, los profesionales de TI pueden realizar pruebas de penetración a gran escala y con mayor frecuencia, reforzando la seguridad de sus sistemas.

Cómo Datto EDR mejora la protección de RDP

Para reforzar la seguridad, herramientas como Datto Endpoint Detection and Response (EDR) ofrecen una capa adicional de protección con características avanzadas:

  • Detección en tiempo real: monitorea el tráfico RDP en busca de patrones inusuales, como intentos de acceso sospechosos o uso irregular de puertos, generando alertas inmediatas.
  • Respuestas automatizadas: bloquea o aísla automáticamente amenazas detectadas, evitando posibles intrusiones.
  • Informes detallados: proporciona registros completos que ayudan a analizar incidentes de seguridad y fortalecer la protección futura.

Con Datto EDR, las empresas pueden seguir aprovechando las ventajas de RDP sin comprometer la seguridad de sus sistemas.

Consejos prácticos para proteger RDP

Para reducir el riesgo de ataques a RDP, es recomendable seguir estas mejores prácticas:

Mantener el software actualizado: instalar siempre los últimos parches de seguridad.
Restringir el acceso: limitar el uso de RDP solo a personal autorizado y cambiar el puerto por defecto (3389).
Habilitar autenticación multifactor (MFA): añadir una capa extra de seguridad dificulta los accesos no autorizados.
Exigir contraseñas seguras: establecer credenciales complejas para minimizar ataques de fuerza bruta.

Siguiendo estas recomendaciones, se puede reducir significativamente la exposición de RDP a amenazas cibernéticas.

RDP sigue siendo esencial, pero la seguridad debe evolucionar

El Protocolo de Escritorio Remoto ha revolucionado la forma en que operan las empresas, permitiendo el trabajo remoto y la administración eficiente de sistemas. Sin embargo, como cualquier herramienta poderosa, conlleva riesgos.

Dado que los atacantes continúan explorando nuevas vulnerabilidades, como el puerto 1098, es crucial mantenerse al día con las actualizaciones de seguridad y adoptar las mejores prácticas.

Al aplicar parches regularmente, restringir el acceso, usar autenticación multifactor y herramientas avanzadas como Datto EDR, las organizaciones pueden aprovechar la flexibilidad de RDP sin comprometer su seguridad.

FUENTE: thehackernews.com

You May Also Like

La nueva falla de Glibc otorga a los atacantes acceso raíz en las principales distribuciones de Linux

HKN FEED

Alerta de Seguridad: Complemento Fraudulento de WordPress Pone en Riesgo Sitios de E-commerce

HKN FEED

CERT-UA advierte: el sistema de alerta temprana Dark Crystal ataca la defensa ucraniana mediante mensajes de señales maliciosos.

HKN FEED