RDP (Remote Desktop Protocol) es un protocolo propietario desarrollado por Microsoft que permite la comunicación entre una terminal y un servidor Windows en la ejecución de aplicaciones. Significa que se podrá acceder de forma remota a equipos de cómputo sin estar físicamente delante de estos.
El acceso remoto sigue el modelo cliente-servidor. El equipo al que se desea acceder es el servidor, y los dispositivos que se conectan a él son los clientes. Al habilitar esta funcionalidad, se «abre» en el servidor un puerto, comúnmente el 3389. Los puertos pueden entenderse como las vías de entrada y salida de información a Internet. Si una comunicación no se realiza en el puerto correcto, será denegada.
El funcionamiento del protocolo es el siguiente, la información gráfica que genera el servidor es convertida a un formato propio RDP y enviada a través de la red al cliente, que interpretará la información contenida para reconstruir la imagen a mostrar en la pantalla. En cuanto a la introducción de órdenes por parte del usuario, lo que pulse en el teclado y los movimientos del mouse serán redirigidos al servidor. Para un mejor rendimiento en redes menos veloces, el protocolo permite que toda la información que intercambien cliente y servidor se comprima.
Este servicio tiene distintos tipos de aplicaciones: se utiliza frecuentemente para el acceso remoto en la administración de equipos, pero también es cada vez más utilizado en la gestión de servicios de terminal o clientes ligeros (thin clients).
RDP también es uno de los objetivos de los ciberdelincuentes, convirtiéndose en un importante riesgo para las organizaciones si no cuenta con las suficientes medidas de seguridad.
El primer aspecto de seguridad en cualquier sistema es que todo el software sea actualizado a la última versión disponible. Así, las vulnerabilidades públicas no podrán ser utilizadas para atacar a la organización.
Utilizar redes privadas virtuales o VPN como puerta de enlace entre el servidor RDP y el usuario, minimizará los riesgos de sufrir un incidente de seguridad. Una VPN crea una conexión cifrada entre ambos dispositivos, aumentando considerablemente la privacidad de las comunicaciones.
Muchos de los ataques se llevan a cabo utilizando nombres de usuario genéricos como Administrador, por tanto habrá que utilizar nombres de usuario que no sean comunes. También es común que los atacantes intenten utilizar contraseñas débiles por lo que una contraseña robusta reducirá considerablemente la posibilidad de un acceso no autorizado.
Los ataques de fuerza bruta basan su funcionamiento en probar posibles nombres de usuario y contraseña hasta que consiguen el acceso o bien, decidan abandonar el ataque en busca de otro objetivo. Se recomienda aplicar una política de seguridad que tras varios intentos no exitosos, restrinja el acceso del usuario durante un tiempo determinado. El tiempo de bloqueo se incrementa en función del número de intentos no exitosos, llegando a bloquear completamente el usuario.
También puede utilizarse un sistema de doble factor de autenticación para acceder al escritorio remoto. En el cual, además de conocer usuario y contraseña, será obligatorio saber un tercer dato, un código generado en el momento. De preferencia, se utilizarían aplicaciones específicas como mecanismo de doble factor de autenticación en lugar de mensajes SMS, que pueden ser más vulnerables a ataques.
En ocasiones, se puede cambiar el puerto utilizado por defecto para conectarse por RDP (3389). Esto se conoce como seguridad por oscuridad.
Probablemente no todos los usuarios en la organización deberían tener acceso al escritorio remoto, por lo que se debe limitar a los estrictamente necesarios. De esta manera, se reduce el riesgo de que un ciberdelincuente consiga acceso de forma fraudulenta. Es recomendable utilizar NLA (Network Level Authentication), con lo cual los usuarios deben autenticarse en la red antes de intentar acceder al servidor RDP. NLA añade una capa de seguridad ante posibles ataques pero en cualquier caso, debemos mantener actualizada la lista de accesos habilitados, sin olvidar supervisar y monitorizar los accesos remotos.
En el cortafuegos o firewall también se recomienda crear reglas específicas para restringir el acceso al servidor de escritorio remoto. Este filtrado se puede hacer por medio de direcciones IP, permitiendo que únicamente accedan las asociadas a los equipos autorizados.
Utilizar un sistema de escritorio remoto puede ser de gran ayuda al desempeñar las funciones de trabajo diarias pero también puede ser la puerta de entrada de los ciberdelincuentes. Proteger su acceso implantando medidas y políticas de seguridad será vital para evitar ser víctima de un incidente de seguridad.
