Si es víctima de un delito informático, le recomendamos hacer la respectiva denuncia en el CAI Virtual

RDP (Remote Desktop Protocol) es un protocolo de comunicación de red diseñado para permitir la administración remota de estaciones de trabajo o servidores Windows. En principio está diseñado para operar sobre un canal encriptado previniendo así que la información transmitida durante la sesión pueda ser vista o escuchada por personas no autorizadas.

Aunque su principio de desarrollo es seguro, implementar el uso de este servicio en una compañía requiere ciertas precauciones, de lo contrario se puede exponer a pérdida o vulnerabilidad de la información.

Muchas empresas colombianas, especialmente PyMEs, son blancos potenciales ya que algunos de los programas contables más populares del mercado no fueron desarrollados para funcionar en internet, y los desarrolladores los implementan mediante escritorio remoto para que los usuarios que se encuentran fuera de la sede central puedan usarlos. Si la implementación se hace bien el riesgo es bajo, pero esto no es lo que ocurre en la mayoría de los casos.

Riesgos de usar RDP sobre internet:

Todo el mundo conoce qué es Ransomware y busca la manera de evitar ser infectados por este tipo de malware, aunque principalmente se propaga vía correo malicioso, como por ejemplo, correos obligando o incitando al usuario a abrir archivos adjuntos infectados o dirigiendolo a sitios web a través de enlaces en el correo que le sugieren descargar archivos infectados, publicidad de descarga de aplicaciones, complementos de navegadores falsos o haciendo uso de exploits en aplicaciones vulnerables.

Otro modo de propagación de Ramsomware es el que busca aprovechar vulnerabilidades en implementación de RDP sobre internet. La idea básicamente es tratar de hackear el acceso para poder luego manualmente desplegar el Ransomware en la red de la compañía.

Y aunque Ransomware es solo uno de los tantos riesgos que se pueden presentar, se puede estar expuestos a otros como por ejemplo. espionaje de la información, fuga de la información de la empresa, eliminación malintencionada de la información, etc.

Para prevenir este tipo de amenazas recomendamos lo siguiente:

  • Evite publicar el puerto RDP sobre internet, si es el caso puede implementar una VPN y permitir solo el acceso a través de la red LAN.

  • Si debe publicar en internet una aplicación, cualquiera que sea, que reside en un servidor pero no requiere publicar el acceso por RDP, asegúrese de deshabilitar el acceso remoto manualmente.

  • Si quiere dejar como una alternativa el uso de RDP desde fuera de la red LAN (Sobre internet), sería buena idea usar un firewall que permita el acceso solo desde direcciones IP autorizadas.

  • Si es obligatorio el uso de RDP sobre internet y no puede restringir el acceso por direccionamiento IP, lo más recomendable será cambiar el puerto por defecto (3389), definir solo usuarios autorizados para el acceso a RDP y usar contraseñas fuertes que dificulten el acceso a fuerza bruta.


Medidas de seguridad:

  1. Implementar un servicio de VPN depende de la infraestructura de la compañía, habitualmente los dispositivos perimetrales tales como, UTMs, Firewalls o Routers disponen de herramientas que permiten la fácil implementación de una VPN.

  2. Si no requiere el uso de RDP pero si debe publicar una aplicación alojada en un servidor Windows, por ejemplo, servidor web en IIS, bases de datos, aplicación contable, etc. Lo mejor es deshabilitar el acceso al RDP, para ello basta con desactivarlo en la configuración del sistema de Windows.

  3. Con G Data Client Security Business o G Data Endpoint Protection Business tiene la opción de usar Firewall in-host administrado y centralizado todo desde la consola de administración de G Data. Para restringir desde dónde, qué días y qué rango horario  realice lo siguiente:

    1. Ingrese a la consola de administración de G Data.
    2. Seleccione en el panel izquierdo el o los equipos a los que desea aplicar la nueva regla.

    3. En el panel derecho ingrese en la pestaña Cortafuegos -> Conjunto de reglas.

    4. Si no tiene ningún conjunto de reglas creado, haga clic en Nuevo, en caso contrario cree una nueva regla.

    5. En el asistente para crear una nueva regla, ingrese el nombre de la regla, seleccione la dirección de conexión entrante, haga clic en asignar puertos e ingrese el puerto de escritorio remoto (por defecto 3389).

    6. Adicionalmente si quiere restringir el acceso a nivel de horas y días de la semana marque las opciones como mejor se acomode a sus necesidades.

    7. Para finalizar indique la dirección IP o rango de direcciones desde donde se desea permitir el acceso. Por último haga clic en aceptar.

    8. G Data por defecto crea una regla para el escritorio remoto llamada Remote Desktop, búsquela en la lista y elimine la regla.


    9. Haga clic en Aplicar para guardar todos los cambios.

  4. Si no le es posible restringir el acceso al servicio de RDP, lo más aconsejable es cambiar el puerto de escucha a otro diferente y adicionalmente usar contraseñas robustas y solo permitir los usuarios que deberían tener acceso por escritorio remoto. Esto le ayudará a prevenir ser atacado por ingreso a fuerza bruta buscando el acceso con usuarios conocidos y contraseñas aleatorias, como por ejemplo, el usuario Administrador, Administrator, Admin, Soporte, Sistemas, etc.

    Toda la información de cómo cambiar el puerto de escucha de RDP la encuentra en el sitio de soporte de Microsoft:
    https://support.microsoft.com/es-es/help/306759/how-to-change-the-listening-port-for-remote-desktop