Acceder a sus servidores o estaciones de trabajo de escritorio de forma remota es una excelente manera de administrarlos; pero también debe saber que el acceso remoto representa un blanco de ataque para los cibercriminales.
Por ejemplo, si los cibercriminales logran acceder al inicio de sesión del administrador de su controlador de dominio, serán dueños de su infraestructura Windows y esto rápidamente podría causar estragos en su organización. Desde el envío de correos electrónicos corporativos a departamentos de contabilidad, el desvío de la propiedad intelectual de su empresa, o hasta el cifrado de todos los archivos de la misma para retenerlos y luego obtener dinero a cambio de un rescate, los ataques dirigidos al protocolo de escritorio remoto (RDP) pueden llegar a ser muy malos.
En este contexto, aunque principalmente haremos mención al "RDP", nos referimos a todo tipo de software de escritorio remoto y acceso remoto, incluidos VNC, PC Anywhere, TeamViewer, etc., y no solo al RDP de Microsoft. La buena noticia es que hay muchas formas de protegerse contra los ataques de RDP, comenzando por apagarlo. Si realmente no necesita el acceso remoto, desactivarlo es lo más simple.
Si necesita permitir dicho acceso, hay una variedad de formas de restringirlo a los buenos:
En primer lugar, permita el acceso solo desde las direcciones IP internas que provienen del servidor VPN de su empresa. Esto tiene el beneficio adicional de no exponer de manera pública los puertos de conexión al RDP.
Hablando de exponer puertos, si esa es su única opción, es posible que desee modificar el puerto de conexión al RDP a uno no estándar para así evitar que gusanos simplistas ataquen su red a través de sus puertos RDP. Sin embargo, tenga en cuenta que la mayoría de los escáner de red verifican la actividad RDP en todos los puertos, por lo que esto debe verse como "seguridad por oscuridad", ya que prácticamente no proporciona seguridad adicional contra atacantes medianamente sofisticados. Tendrá que estar extremadamente atento a la revisión del acceso a la red y las actividades de inicio de sesión en los registros de su servidor RDP, ya que puede ser más una cuestión de cuándo y no si un atacante accede a su red.
Lectura relacionada: Recomendaciones de seguridad para el teletrabajo en tiempos de COVID‑19
En segundo lugar, asegúrese de habilitar la autenticación multifactor (MFA, por sus siglas en inglés) para usuarios remotos como otra capa de autenticación.
En tercer lugar, siempre que sea posible, solo permita conexiones RDP entrantes desde las direcciones IP públicas de sus usuarios. La forma más sencilla para que los colaboradores que trabajan de manera remota puedan buscar su dirección IP pública es buscar en Google “Cuál es mi dirección IP” (probar en inglés “What is my IP address”) y el primer resultado será su dirección IP. Luego, los colaboradores remotos pueden proporcionar esa información al equipo de TI o de Seguridad para que su empresa u organización pueda crear una lista blanca de direcciones IP permitidas. También es posible crear una lista blanca de direcciones IP habilitadas al permitir su subred, ya que las direcciones IP dinámicas en redes domésticas normalmente seguirían dentro de una subred después del reinicio del router u otro mantenimiento de la red en el lado del cliente final.
Incluso si asegura su acceso al RDP, tenga en cuenta que recientemente ha habido una serie de exploits en su contra, así que, para evitar problemas, asegúrese de que esté completamente parcheado. Puede encontrar más información sobre cómo asegurar RDP en el artículo Por qué desconectar RDP de Internet para evitar ser víctima de un ataque.