Una autenticación débil del usuario y una focalización de puertos son dos de las principales vulnerabilidades presentes en el Protocolo de escritorio remoto (RDP).
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El RDP, o Protocolo de escritorio remoto, es uno de los principales protocolos utilizados para las sesiones de escritorio remoto, que es cuando los empleados acceden a los ordenadores de escritorio de su oficina desde otro dispositivo. El RDP está incluido en la mayoría de los sistemas operativos de Windows y también se puede utilizar con los Mac. Muchas empresas dependen del RDP para que sus empleados puedan trabajar desde casa.
Una vulnerabilidad es una brecha o un error en la forma en que está construido un programa informático que permite que los atacantes obtengan un acceso no autorizado. Pensemos en un cerrojo mal instalado en la puerta principal de una casa que deja que entren los delincuentes.
Estas son las vulnerabilidades más importantes del RDP:
*En redes, un puerto es una ubicación lógica, basada en software, que se designa para determinados tipos de conexiones. Por ejemplo, el tráfico HTTP siempre va al puerto 80, mientras que el tráfico HTTPS va al puerto 443. Asignar diferentes procesos a diferentes puertos ayuda a los ordenadores a llevar la cuenta de esos procesos. Por ejemplo, el tráfico HTTP siempre va al puerto 80, mientras que el tráfico HTTPS va al puerto 443.
Para reducir la prevalencia de credenciales de inicio de sesión débiles:
Inicio de sesión único (SSO): muchas empresas ya utilizan servicios de SSO para gestionar los inicios de sesión de los usuarios en diversas aplicaciones. El SSO ofrece a las empresas una forma más fácil de aplicar el uso de contraseñas seguras, así como de implementar medidas aún más seguras como autenticación en dos fases (2FA). Es posible trasladar el acceso remoto de RDP detrás del SSO para apuntalar la vulnerabilidad del inicio de sesión del usuario descrita anteriormente. (Por ejemplo, Cloudflare Zero Trust permite que las empresas hagan esto).
Gestión y aplicación de contraseñas: para algunas empresas, trasladar el RDP detrás del SSO quizá no sea una opción. Como mínimo, deben exigir a los empleados que restablezcan sus contraseñas de escritorio con algo más fuerte.
Para protegerse de los ataques basados en puertos:
Bloquear el puerto 3389: un software de tunelización seguro puede ayudar a impedir que los atacantes envíen peticiones que lleguen al puerto 3389. Con un túnel seguro (por ejemplo, Cloudflare Tunnel) en su lugar, cualquier solicitud que no pase por el túnel será bloqueada.
Reglas del firewall: puede ser factible configurar manualmente un firewall corporativo para que no pueda pasar ningún tráfico al puerto 3389, excepto el tráfico procedente de rangos de direcciones IP de la lista de permitidos (por ejemplo, los dispositivos que se sabe que pertenecen a los empleados). No obstante, este método requiere mucho esfuerzo manual, y sigue siendo vulnerable a los ataques si los atacantes secuestran una dirección IP de la lista de permitidos o están en riesgo los dispositivos de los empleados. Además, suele ser muy difícil identificar y poner en la lista de permitidos todos los dispositivos de los empleados por adelantado, lo que da lugar a continuas solicitudes de TI de los empleados bloqueados.
El RDP tiene otras vulnerabilidades que técnicamente han sido parcheadas, pero que siguen siendo graves si se dejan sin comprobar.
Una de las vulnerabilidades más graves del RDP se llama "BlueKeep." BlueKeep (clasificado oficialmente como CVE-2019-0708) es una vulnerabilidad que permite que los atacantes ejecuten el código que quieran en un ordenador si envían una solicitud especialmente diseñada al puerto adecuado (normalmente el 3389). BlueKeep es un gusano, por lo que puede extenderse a todos los ordenadores de una red sin que los usuarios tengan que hacer nada.
La mejor defensa contra esta vulnerabilidad es desactivar el RDP si no es necesario. Bloquear el puerto 3389 con un firewall también puede ayudar. Por último, Microsoft publicó un parche que corrige esta vulnerabilidad en 2019, y es esencial que los administradores de sistemas instalen este parche.
Como pasa con otros programas o protocolos, el RDP también tiene otras vulnerabilidades, y la mayoría de ellas se pueden eliminar si se utiliza siempre la última versión del protocolo. Los proveedores suelen parchear las vulnerabilidades en cada versión nueva de software que lanzan.
Cloudflare Zero Trust y Cloudflare Tunnel mejoran la seguridad del acceso remoto al acordonar conjuntamente las dos vulnerabilidades principales de RDP descritas anteriormente. Una de las ventajas de utilizar Cloudflare es que, a diferencia del típico firewall corporativo, no está basado en hardware y no requiere configuración manual. Proteger las conexiones RDP con Argo Tunnel suele ser tan sencillo como hacer unos pocos clics desde el panel de control de Cloudflare. Para más información sobre Cloudflare y RDP, lee la entrada de nuestro blog o mira esta demostración.