¿Cuáles son los riesgos de seguridad del RDP? | Vulnerabilidades del RDP

Una autenticación débil del usuario y una focalización de puertos son dos de las principales vulnerabilidades presentes en el Protocolo de escritorio remoto (RDP).

Metas de aprendizaje

Después de leer este artículo podrás:

  • Entender los riesgos del Protocolo de escritorio remoto (RDP)
  • Más información sobre cómo protegerte contra estas vulnerabilidades
  • Más información sobre la solución de Cloudflare para la seguridad del RDP

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es el RDP?

El RDP, o Protocolo de escritorio remoto, es uno de los principales protocolos utilizados para las sesiones de escritorio remoto, que es cuando los empleados acceden a los ordenadores de escritorio de su oficina desde otro dispositivo. El RDP está incluido en la mayoría de los sistemas operativos de Windows y también se puede utilizar con los Mac. Muchas empresas dependen del RDP para que sus empleados puedan trabajar desde casa.

¿Cuáles son las principales vulnerabilidades de seguridad del RDP?

Una vulnerabilidad es una brecha o un error en la forma en que está construido un programa informático que permite que los atacantes obtengan un acceso no autorizado. Pensemos en un cerrojo mal instalado en la puerta principal de una casa que deja que entren los delincuentes.

Estas son las vulnerabilidades más importantes del RDP:

  1. Credenciales de inicio de sesión de usuario débiles. La mayoría de los ordenadores de escritorio están protegidos por una contraseña, y los usuarios normalmente pueden elegir el tipo de contraseña que quieran. El problema es que la misma contraseña se suele utilizar también para los inicios de sesión remotos en RDP. Las empresas no suelen gestionar estas contraseñas para garantizar su solidez y, con frecuencia, dejan estas conexiones remotas abiertas a ataques de fuerza bruta o de relleno de credenciales.
  2. Acceso a puertos sin restricciones. Las conexiones RDP casi siempre tienen lugar en el puerto 3389*. Los atacantes pueden suponer que este es el puerto en uso y marcarlo como objetivo para realizar ataques en ruta, entre otros.

*En redes, un puerto es una ubicación lógica, basada en software, que se designa para determinados tipos de conexiones. Por ejemplo, el tráfico HTTP siempre va al puerto 80, mientras que el tráfico HTTPS va al puerto 443. Asignar diferentes procesos a diferentes puertos ayuda a los ordenadores a llevar la cuenta de esos procesos. Por ejemplo, el tráfico HTTP siempre va al puerto 80, mientras que el tráfico HTTPS va al puerto 443.

¿Cuáles son algunas formas de abordar estas vulnerabilidades del RDP?

Para reducir la prevalencia de credenciales de inicio de sesión débiles:

Inicio de sesión único (SSO): muchas empresas ya utilizan servicios de SSO para gestionar los inicios de sesión de los usuarios en diversas aplicaciones. El SSO ofrece a las empresas una forma más fácil de aplicar el uso de contraseñas seguras, así como de implementar medidas aún más seguras como autenticación en dos fases (2FA). Es posible trasladar el acceso remoto de RDP detrás del SSO para apuntalar la vulnerabilidad del inicio de sesión del usuario descrita anteriormente. (Por ejemplo, Cloudflare Zero Trust permite que las empresas hagan esto).

Gestión y aplicación de contraseñas: para algunas empresas, trasladar el RDP detrás del SSO quizá no sea una opción. Como mínimo, deben exigir a los empleados que restablezcan sus contraseñas de escritorio con algo más fuerte.

Para protegerse de los ataques basados en puertos:

Bloquear el puerto 3389: un software de tunelización seguro puede ayudar a impedir que los atacantes envíen peticiones que lleguen al puerto 3389. Con un túnel seguro (por ejemplo, Cloudflare Tunnel) en su lugar, cualquier solicitud que no pase por el túnel será bloqueada.

Reglas del firewall: puede ser factible configurar manualmente un firewall corporativo para que no pueda pasar ningún tráfico al puerto 3389, excepto el tráfico procedente de rangos de direcciones IP de la lista de permitidos (por ejemplo, los dispositivos que se sabe que pertenecen a los empleados). No obstante, este método requiere mucho esfuerzo manual, y sigue siendo vulnerable a los ataques si los atacantes secuestran una dirección IP de la lista de permitidos o están en riesgo los dispositivos de los empleados. Además, suele ser muy difícil identificar y poner en la lista de permitidos todos los dispositivos de los empleados por adelantado, lo que da lugar a continuas solicitudes de TI de los empleados bloqueados.

¿Qué otras vulnerabilidades tiene el RDP?

El RDP tiene otras vulnerabilidades que técnicamente han sido parcheadas, pero que siguen siendo graves si se dejan sin comprobar.

Una de las vulnerabilidades más graves del RDP se llama "BlueKeep." BlueKeep (clasificado oficialmente como CVE-2019-0708) es una vulnerabilidad que permite que los atacantes ejecuten el código que quieran en un ordenador si envían una solicitud especialmente diseñada al puerto adecuado (normalmente el 3389). BlueKeep es un gusano, por lo que puede extenderse a todos los ordenadores de una red sin que los usuarios tengan que hacer nada.

La mejor defensa contra esta vulnerabilidad es desactivar el RDP si no es necesario. Bloquear el puerto 3389 con un firewall también puede ayudar. Por último, Microsoft publicó un parche que corrige esta vulnerabilidad en 2019, y es esencial que los administradores de sistemas instalen este parche.

Como pasa con otros programas o protocolos, el RDP también tiene otras vulnerabilidades, y la mayoría de ellas se pueden eliminar si se utiliza siempre la última versión del protocolo. Los proveedores suelen parchear las vulnerabilidades en cada versión nueva de software que lanzan.

¿Cómo ayuda Cloudflare a asegurar el acceso remoto?

Cloudflare Zero Trust y Cloudflare Tunnel mejoran la seguridad del acceso remoto al acordonar conjuntamente las dos vulnerabilidades principales de RDP descritas anteriormente. Una de las ventajas de utilizar Cloudflare es que, a diferencia del típico firewall corporativo, no está basado en hardware y no requiere configuración manual. Proteger las conexiones RDP con Argo Tunnel suele ser tan sencillo como hacer unos pocos clics desde el panel de control de Cloudflare. Para más información sobre Cloudflare y RDP, lee la entrada de nuestro blog o mira esta demostración.