El aumento considerable del teletrabajo, provocado por el confinamiento decretado en muchos países para evitar la propagación de la COVID-19, ha provocado que muchas empresas expongan muchos de sus sistemas a posibles ataques debido a una mala configuración. Este hecho lo están aprovechando los atacantes desde hace meses, y ahora un estudio de ESET basado en su telemetría revela un incremento notable en el número de clientes únicos que informaron acerca de un intento de ataque vía RDP.
Una nueva realidad laboral
Tal y como ya indicamos hace unos meses, la necesidad de seguir trabajando en remoto ha sido uno de los cambios radicales provocados por la pandemia. Esto supone que muchas personas que no estaban acostumbradas a esta forma de trabajar tienen que enfrentarse a muchos desafíos nuevos a la hora de realizar sus tareas de la forma más eficaz y segura posible.
Por su parte, los delincuentes no han desaprovechado la oportunidad que les han ofrecido millones de empresas en todo el mundo permitiendo las conexiones remotas, sin tener en cuenta la seguridad, para que sus empleados puedan seguir trabajando desde casa. De esta forma, los trabajadores siguen pudiendo acceder a los recursos necesarios para realizar sus tareas pero a costa de poner en peligro los activos de la empresa.
Y es que a pesar de que el Protocolo de Escritorio Remoto de Windows (RDP por sus siglas en inglés) es una herramienta realmente útil para afrontar situaciones como las que estamos viviendo en la actualidad, es también importante que su uso venga acompañado de ciertas medidas de seguridad que impidan que los delincuentes puedan sacar provecho de la situación.
Y es que los ataques están viniendo de múltiples frentes, con amenazas como backdoors, mineros de criptomonedas y el temido ransomware como algunos de sus mayores exponentes. Por tanto, es importante conocer bien la situación y adoptar las medidas de seguridad necesarias para impedir que nuestra empresa también se vea afectada.
Medidas de seguridad contra ataques de fuerza bruta
Los ataques de fuerza bruta no son ninguna novedad, si bien su uso se ha incrementado notablemente durante los últimos meses, especialmente los dirigidos conta RDP. Esto es debido no solo al aumento en el uso por parte de las empresas de este protocolo, sino también a que no terminan de aplicar medidas de seguridad como el uso de contraseñas robustas o capas adicionales de seguridad como el doble factor de autenticación.
Es por ese motivo que los delincuentes encuentran víctimas fácilmente entre aquellas empresas que no han implementado este tipo de conexión remota de forma segura, dirigiendo sus ataques a redes corporativas mal protegidas, accediendo a los sistemas, ganando privilegios y persistencia, realizando movimientos laterales en busca de sistemas con información sensible y robando esa información para, en última instancia, terminar cifrándola y solicitando un rescate a la empresa por su descifrado.
Por suerte, es posible protegerse frente a este tipo de ataques, primero siguiendo una serie de recomendaciones a la hora de configurar este tipo de accesos y luego implementando soluciones de seguridad multicapa capaces de detectar y bloquear este tipo de ataques. En lo que respecta a las medidas de seguridad esenciales, encontramos las siguientes:
- Evitar exponer a Internet aquellos servicios RDP que no sean esenciales y limitar el número de usuarios que pueden conectarse remotamente a la red corporativa a aquellos que sean estrictamente esenciales.
- Utilizar contraseñas robustas para todas aquellas cuentas que puedan utilizar la conexión remota a la red corporativa mediante RDP.
- Usar, siempre que sea posible, una autenticación de doble factor.
- Las conexiones remotas entre los usuarios y la red corporativa se deben realizar siempre mediante una red privada virtual (VPN).
- Si se dispone de un cortafuegos perimetral, se deben desactivar las conexiones remotas a aquellas máquinas locales que no sean esenciales a través del puerto 3389 (TCP/UDP).
- Para evitar que un atacante desactive las soluciones de seguridad instaladas en los equipos en caso de que consiga acceder a ellos remotamente, es importante protegerlos frente a la realización de modificaciones con una contraseña robusta.
- En caso de detectar algún sistema inseguro o que está siendo atacado, debe aislarse de inmediato del resto de la red. Así mismo, la segmentación de redes debe de hacerse de forma que impida los movimientos laterales desde equipos de los empleados a sistemas críticos de la empresa.
Conclusión
El aumento de ataques dirigidos a RDP demuestra el interés de los delincuentes en acceder a los sistemas de las empresas y la importancia que tiene protegerlos. Y es que, actualmente, un ataque de ransomware que se aproveche de una mala configuración del acceso remoto puede poner en una situación muy comprometida a una empresa, independientemente de su tamaño, exponerla a un considerable daño reputacional, multas por incumplimiento de reglamentos como RGPD o incluso conducir a su cierre si no se saben gestionar correctamente este tipo de incidentes y no se cuentan con planes de contingencia y recuperación ante desastres.