Con los primeros confinamientos provocados por la crisis sanitaria que nos trajo la pandemia llegó también la imposición del teletrabajo a marchas forzadas. Si bien la experiencia demostró ser muy útil para mantener la productividad durante esos meses difíciles, también puso de manifiesto que las medidas de seguridad implementadas para poder trabajar remotamente aún dejan bastante que desear, con un protagonista claro como es el protocolo de escritorio remoto o RDP.
RDP, una puerta de entrada a las redes corporativas
Si a los pocos meses de declararse la pandemia ya pudimos comprobar el notable incremento de los ataques de fuerza bruta dirigidos a RDP, ahora, casi dos años después, podemos confirmar que sigue siendo uno de los ataques preferidos por los delincuentes para tratar de comprometer la seguridad de las redes corporativas.
De hecho, lejos de disminuir, estos ataques contra RDP han seguido realizándose, y debido a que permiten la conexión remota a un sistema dentro de una red corporativa son algo muy explotado por aquellos delincuentes que se dedican a conseguir acceso inicial a estas redes para luego revenderlo a otros grupos criminales, como aquellos que se dedican al robo y cifrado de información.
Recientemente Microsoft lanzaba sus boletines periódicos de seguridad y, entre las vulnerabilidades que corregía, se encontraba una que permitía la ejecución remota de código en RDP. Si bien los ataques de fuerza bruta siguen protagonizando la mayoría de intentos de acceder de forma remota a la red interna de una empresa, vemos como los delincuentes aumentan su arsenal de cara a lanzar ataques usando este protocolo.
Un problema serio en España
Precisamente, España ha sido uno de los países donde más se ha observado un incremento de los ataques de fuerza bruta contra RDP en los últimos años. Además, en el último informe de amenazas correspondiente al segundo cuatrimestre de 2021 vimos como además era el país donde más de estos ataques se habían detectado, según la telemetría de ESET.
Tampoco parece que esa tendencia haya disminuido, ya que si observamos el ranking de las amenazas más detectadas a diario en España según ESET vemos como los ataques de fuerza bruta contra RDP suelen estar en las primeras posiciones, y que hay días en los que esta diferencia es bastante notable con respecto al resto de amenazas.
Esto supone un problema grave para aquellas empresas que aún no han adoptado unas medidas de seguridad mínimas para proteger el acceso remoto a los ordenadores de su red interna. Puede que ahora no haya tanta gente teletrabajando como lo hubo al inicio del confinamiento, pero sigue siendo un número importante de conexiones remotas que se mantienen sin revisar su seguridad.
Cuando revisamos la configuración de este acceso remoto vemos como muchos solamente lo tienen protegido por un usuario y contraseña, que no siempre son lo suficientemente seguras o que incluso pueden haberse filtrado o ser reutilizadas de otros servicios. Los delincuentes se aprovechan de esta y otras circunstancias, como la ausencia de una VPN para conectarse remotamente o la no utilización de un segundo factor de autenticación que impida que se pueda acceder remotamente con solo probar contraseñas al azar.
Conclusión
Todo apunta a que vamos a seguir viendo como los delincuentes utilizan tanto la fuerza bruta como vulnerabilidades para aprovechar fallos de seguridad en el protocolo RDP o en su configuración. Por ese motivo es importante aplicar medidas de seguridad como las ya comentadas, además de contar con una solución de seguridad que sea capaz de detectar los intentos de uso de exploit que suelen realizarse una vez los atacantes han conseguido el acceso inicial.