Las personas que ahora se ven obligadas a trabajar desde casa debido a la cuarentena del coronavirus aún necesitan hacer su trabajo de la manera más eficiente posible. En muchos casos, el personal de TI y otros empleados necesitan conectarse de forma remota a los escritorios y servidores de la oficina, y para ello suelen confiar en el protocolo de escritorio remoto (RDP) de Microsoft integrado en Windows.

Sin embargo, RDP presenta varios riesgos de seguridad, especialmente si el acceso, las cuentas y la autenticación necesarios no están configurados correctamente. En una publicación de blog publicada el jueves, McAfee explica cómo los ciberdelincuentes aprovechan el acceso RDP y qué pueden hacer las organizaciones para protegerse.

En su publicación de blog "Los ciberdelincuentes están aprovechando activamente RDP para apuntar a organizaciones remotas", McAfee explicó que RDP a menudo se ejecuta en servidores Windows, incluidos servidores web y servidores de archivos. En algunos casos, también se utiliza con sistemas de control industrial.

Muchos sistemas con RDP están expuestos a Internet; la cantidad de sistemas expuestos aumentó de alrededor de 3 millones en enero de 2020 a más de 4,5 millones en marzo. Junto a este incremento, también ha aumentado el volumen de ataques contra puertos RDP.

Imagen: McAfee

VER: Cómo trabajar desde casa: guía para profesionales de TI sobre teletrabajo y trabajo remoto (Premium de TechRepublic)

Además, McAfee descubrió un aumento en la cantidad de credenciales RDP que se venden en mercados clandestinos, muchas a precios relativamente bajos. En un ejemplo, las credenciales de RDP de un importante aeropuerto internacional se intercambiaron en la dark web por solo $10.

Los piratas informáticos suelen obtener el control de las cuentas con acceso RDP a través de ataques de contraseña de fuerza bruta. Dichos ataques son particularmente efectivos contra contraseñas débiles, que todavía se usan con demasiada frecuencia. Las contraseñas más utilizadas analizadas por McAfee para cuentas RDP fueron "test", "1", "12345", "password", "Password1", "1234", "[email protected]", "123" y "123456". “Algunos sistemas RDP ni siquiera tenían una contraseña.

Las fallas también se descubren a menudo en RDP, lo que obliga a Microsoft a lanzar parches de seguridad. Uno de los ejemplos recientes más infames es la vulnerabilidad BlueKeep que surgió en 2019. En enero, Microsoft también tuvo que corregir fallas relacionadas con Remote Desktop Gateway, que se utiliza para proteger las conexiones remotas. Pero las organizaciones deben aplicar los parches de Microsoft, de lo contrario, seguirán siendo vulnerables a las vulnerabilidades de RDP.

Los delincuentes que obtienen acceso remoto a una organización a través de RDP pueden usarlo para una variedad de propósitos nefastos. Es posible que estén utilizando un sistema legítimo para enviar spam. Pueden usar la máquina comprometida para distribuir malware o plantar un criptominero, que aprovecha la potencia inactiva de la CPU para extraer criptomonedas. También pueden usar un sistema remoto para realizar fraudes adicionales, como el robo de identidad.

Con la transición al trabajo remoto tan rápida y abrupta, los piratas informáticos saben que es posible que muchas organizaciones no cuenten con los controles y restricciones de seguridad adecuados para RDP.

Para evitar que se explote RDP en su organización, McAfee ofrece las siguientes pautas:

  • No permita conexiones RDP a través de Internet abierto.
  • Utilice contraseñas complejas y autenticación multifactor.
  • Bloquee a los usuarios y bloquee o haga caducar las direcciones IP que tengan demasiados intentos fallidos de inicio de sesión.
  • Utilice una puerta de enlace RDP.
  • Limite el acceso a la cuenta del administrador del dominio.
  • Minimice el número de administradores locales.
  • Use un firewall para restringir el acceso.
  • Habilite el modo de administración restringida.
  • Habilite la autenticación de nivel de red (NLA).
  • Asegúrese de que las cuentas de administrador local sean únicas y limite qué usuarios pueden conectarse mediante RDP.
  • Considere la colocación dentro de la red.
  • Considere usar una convención de nomenclatura de cuentas que no revele información de la organización.
Imagen: Getty Images/iStockphoto