• 27/08/2019

Tu escritorio remoto puede comprometer tu ciberseguridad

Ciberseguridad

El Escritorio Remoto de Windows o RDP (Remote Desktop Protocol) es la forma más popular y utilizada de acceso remoto a equipos de la empresa o de clientes. Y si bien aumenta la productividad de la empresa al eliminar la necesidad de estar físicamente frente del equipo, puede convertirse en un importante ciberriesgo para las organizaciones que lo tienen habilitado si no cuenta con las suficientes medidas de seguridad: es muy frecuente que sea utilizado para ciberataques de ransomware (malware que cifra los archivos y pide un rescate), cryptojacking (minado de criptomonedas usando tu equipo) y robo de información.

INCIBE, Instituto Nacional de Ciberseguridad, sociedad dependiente del Ministerio de Economía y Empresa a través de la Secretaría de Estado para el Avance Digital y entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital, apuntó recientemente en su blog que el escritorio remoto (RDP) de Windows se utiliza frecuentemente como puerta de acceso de los ciberdelincuentes a equipos y servidores de empresa.
 

La amenaza de ciberataques vía RDP

INCIBE basa su aviso en un reciente informe publicado por Sophos (especialista británico de software y hardware de seguridad) RDP Exposed - The Threat That's Already at Your Door, en el que explica los resultados de analizar durante un mes los ataques que sufren servidores RDP. Sophos empleó como señuelos 10 dispositivos (honeypots) con RDP habilitado por defecto, en diversas áreas geográficas y activos durante 30 días.

Los resultados del informe de Sophos destacan el interés que despiertan los RDP entre los ciberdelincuentes:

  • 4,3 millones de intentos de inicio de sesión fraudulentos
  • primer ataque pasados 1 minuto y 20 segundos desde que se publicaron en Internet los señuelos
  • todos los honeypots atacados 15 horas despues su publicación
  • los principales nombres de usuario atacados fueron los que tienen por defecto los sistemas operativos (como administrator, admin, user o ssm-user...)
  • fueron atacados usuarios sin privilegios y administradores
  • la mayoría de ataques utilizaron ataques de fuerza bruta (prueba de múltiples credenciales de acceso user-contraseña de forma automatizada).
  • también se empleo otro vector de ataque: vulnerabilidades no parcheadas que representan una puerta abierta a la instalación de malware no detectado.
     

¿Cómo mejorar la de seguridad del Escritorio Remoto?

¿Debemos renunciar a nuestro RDP porque no es completamente seguro? Rotundamente no, si el RDP nos ayuda positivamente en la gestión de nuestro negocio. Lo que sí recomienda INCIBE  y Efika apoya plenamente es trabajar para el que Escritorio Remoto de nuestra organización sea un entorno de trabajo seguro:

  • Sistemas siempre actualizados a la última versión disponible para evitar que las vulnerabilidades públicas sean utilizadas por ciberdelincuentes (evitando utilizar sistemas operativos sin soporte).
     
  • Utlizar redes privadas virtuales (VPN) como puerta de enlace entre servidor RDP y usuario para evitar incidentes de seguridad. Las VPN crean conexiones cifradas que aumentan la privacidad de las comunicaciones. Mantenga también actualizado a la última versión su servidor VPN. 
     
  • Nombres de usuario y contraseñas robustas. Cuanto menos comunes los nombres de usuario, y más largas y robustas las contraseñas, mejor seguridad.
     
  • Bloqueo temporal de cuenta tras accesos sin éxito. Aplicar políticas de seguridad que incluso bloqueen la cuenta al usuario atacado en caso de reincidencia.
     
  • Cambiar el puerto por defecto de RDP, si no va a utilizar una solución VPN para acceder al escritorio remoto. Como el puerto común de conexión es el 3389, utilizar otro distinto dificultará las acciones de los ciberdelincuentes. 
     
  • Listas de acceso mediante Network Level Authentication (NLA) NLA añade una capa extra de seguridad porque requiere doble autenticación: primero en el servidor de la empresa y luego en el servidor RDP. 
     
  • Emplear Políticas de Firewall que filtren el acceso al servidor de escritorio remoto a un subconjunto de máquinas controlado (por ejemplo, mediante direcciones IP).
     

En Efika podemos ayudarle a desplegar escritorios remotos seguros y a mejorar la seguridad de sus despliegues actuales. Creemos en que la mejor seguridad de su ecosistema informático se consigue combinando capas de seguridad: un buen mantenimiento informático preventivo que cree y gestione políticas de acceso y utilización de los sistemas de la empresa (Usuarios/Contraseñas robustas; Gestión de Usuarios, Firewall, RDP, VPN); Actualizando el software para aplicar los parches de seguridad más modernos evitando debilidades públicadas; Formando y concienciando a su personal acerca de cómo detectar y actuar en caso de ciberataques.

Contacte con Efika. Sabemos cómo ayudarle.


Tags: acceso remoto, ciberataque, ciberdelincuente, ciberseguridad, contraseñas, cryptojacking, cryptovirus, malware, Microsoft, ransomware, secuestro de archivos, simulador de ciberataques, usuario

Categorías

Tags