¿Qué es el RDP en informática y para qué sirve?

Casi tan antiguo como el propio Windows, el servicio RDP se utiliza en muchas empresas para los más diversos fines. Debido a que su uso está tan extendido, también es blanco de cibercriminales que buscan emplearlo para acceder a los sistemas de una organización, por lo cual puede generar varios impactos si está mal administrado.

Si bien los datos más recientes de este 2022 muestran un descenso en las detecciones de los ataques dirigidos al servicio RDP, esta caída viene luego de dos años de crecimiento constante, sobre todo a partir del comienzo de la pandemia, donde muchos cibercriminales, principalmente los grupos de ransomware, intentaron explotar el RDP para lograr acceso a los sistemas víctimas.

Hablemos primero de las características y beneficios que ofrece el protocolo de escritorio remoto, más conocido como RDP.

¿Qué es el RDP?

El acrónimo RDP proviene del inglés Remote Desktop Protocol, que en español se traduce como Protocolo de Escritorio Remoto, y permite a un usuario acceder remotamente al escritorio de una computadora sin necesidad de estar físicamente cerca. La forma más común de conectarse a este servicio es a través de un cliente disponible por defecto en Windows. Podrá encontrar este servicio al presionar el menú Inicio y buscar Remote Desktop Connection si tiene configurado Windows en inglés.

Para que la conexión sea posible, un servidor de terminal (Terminal Service) debe estar activo y configurado correctamente para recibir conexiones. Este servidor tiene habilitado el cifrado por defecto para que el acceso sea más seguro, puede transferir sonidos e incluso archivos entre hosts si ha sido configurado para permitir esto.

Para qué sirve el RDP

Si está trabajando desde su casa o si alguna vez ha necesitado acceder de manera remota a la computadora de su trabajo o a un servidor, probablemente ya haya disfrutado de los beneficios que puede brindar esta herramienta, ya que este es el propósito para el cual RDP fue concebido: permitir a las personas acceder de forma remota al escritorio de sus equipos. Sin embargo, en manos equivocadas puede convertirse en un arma de control remoto que permite a los cibercriminales convertir el equipo víctima en un equipo zombi que forme parte de una botnet y que reciba órdenes para realizar acciones maliciosas. Recordemos que desde esa conexión, una persona o un atacante puede abrir carpetas, descargar y cargar archivos y ejecutar programas en el equipo como si estuviera frente al equipo.

Por qué se habla tanto de ataques al RDP

Con el crecimiento del teletrabajo a raíz de la pandemia y luego la adopción del trabajo híbrido, donde las personas trabajan unos días desde su casa y otros días van a la oficina, creció el uso del servicio RDP como forma para lograr que los trabajadores puedan continuar con sus actividades de manera remota.

El problema es que al tratarse de un servicio que normalmente se pone a disposición directamente en Internet, ya que por defecto el servidor recibe las peticiones de conexión desde el puerto TCP 3389, se vuelve susceptible a diversos tipos de ataques, como son los ataques de fuerza bruta o los ataques que buscan explotar vulnerabilidades en RDP, como es el caso de BlueKeep.

Para tener una idea de la magnitud en el incremento de los ataques de fuerza bruta al RDP en los últimos años, entre el primer y último trimestre de 2020 fue de 768%.

Entonces, la preocupación por el uso del RDP están relacionadas con:

El número de servidores expuestos: según datos de Shodan, en junio de 2022 la cantidad de equipos (tanto de organizaciones como de usuarios finales) con el puerto 3389 expuestos a Internet es de más de 3.9 millones. En Brasil se registraron más de 60 mil equipos, en México son aproximadamente 25.000, en Argentina 9.500 y en Colombia poco más de 8.000. Si bien la cantidad de equipos expuestos es importante, vale la pena destacar que la cifra se redujo considerablemente en los últimos dos años.

El uso de contraseñas débiles: los números que mencionamos antes nos dicen que si alguien en Internet realiza una búsqueda similar encontrará esa cantidad de direcciones IP correspondientes a estos equipos con el puerto 3389 abiertos. Con estas IP en la mano, el atacante simplemente abre Remote Desktop y completa la IP que encontró. De esta manera, aparecerá la pantalla de inicio de sesión del servidor al que está intentando acceder para que el atacante coloque las credenciales de acceso correspondientes. Así de simple.

Imaginemos, por ejemplo, que el administrador de los sistemas de una organización cometió el error de configurar con una contraseña débil, como 123456, por ejemplo, el acceso remoto. Cualquiera que intente esta combinación simple tendrá acceso administrativo al servidor de alguien. Lamentablemente, esto es demasiado común.

Si sumamos a este escenario el uso por parte de los cibercriminales de los ataques de fuerza bruta, el riesgo es aún mayor, ya que incluso si el administrador no hubiera utilizado una contraseña tan simple, los cibercriminales son capaces de crear un script con solo 5 líneas de comando que realice un escaneo de todos los servidores que quiera y pruebe en ellos combinaciones de nombres de usuario y contraseñas hasta lograr acceder a un sistema de manera remota. Y lo peor de todo es que el conocimiento necesario para lanzar ataques de fuerza bruta es básico.

Las vulnerabilidades existentes: las vulnerabilidades son un problema inherente a cualquier servicio y el RDP no está ajeno a esto. A lo largo de los años se han descubierto distintas vulnerabilidades alrededor de este protocolo y una de las últimas y qué más atención despertó es la denominada BlueKeep (CVE -2019-0708). Esta vulnerabilidad, que fue parcheada hace un tiempo, permite ejecutar comandos de forma remota en el servidor de destino, lo que hace que se comporte de la manera que el atacante desea.

Qué puede hacer un atacante a través de RDP

Si un atacante logra conectarse remotamente a un servidor de Windows desde Internet utilizando RDP e inicia sesión como administrador de la computadora víctima, en un primer momento lo más probable es que el atacante haga una tarea de reconocimiento para descubrir quién, cómo y cuándo se utiliza el host. Muchas son las acciones maliciosas que puede realizar un atacante si logra iniciar sesión. Algunas de ellas son:

  • borrar archivos de registro que contienen evidencia de su presencia en el sistema
  • deshabilitar las copias de seguridad programadas y las shadow copies
  • deshabilitar el software de seguridad o configurar exclusiones en él (lo cual está permitido para los administradores)
  • descargar e instalar varios programas en el servidor
  • borrar o sobrescribir copias de seguridad antiguas, si están accesibles

Muchos grupos de ransomware usan el servicio RDP para lograr acceso a los sistemas de una organización y luego descargar el malware.

Cómo mantener el entorno seguro

Si bien la cantidad de organizaciones con el servicio RDP expuesto a Internet bajó en el último tiempo, el número sigue siendo importante, lo que indica que muchas empresas siguen siendo susceptibles a posibles ataques intentando explotar las debilidades antes mencionadas en torno al uso del RDP para acceder a los sistemas de las organizaciones.

Para minimizar el riesgo de que esto ocurra, lo primero que se recomienda es deshabilitar RDP si no lo necesita para minimizar el riesgo, pero si necesita emplearlo es aconsejable cambiar el puerto (3389) que por defecto se usa para recibir las conexiones. Para ello, Microsoft publicó una guía para hacer esto en distintas versiones de Windows.

Regresar a Noticias
Contáctanos
Llámanos
PGP/GPG Key
For encrypted email communications, use the following PGP/GPG key:

PGP/GPG key: 0x07269380
Fingerprint: E637 674B B744 19223837 D14E 76C1 0E32 0726 9380
Visítanos
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.
English Español