La mano de obra mundial se está descentralizando cada vez más. El surgimiento del trabajo a distancia, la externalización y las tecnologías basadas en la nube sigue desdibujando los límites geográficos, al mismo tiempo que permite a las pequeñas y medianas empresas aprovechar un fondo de talento profundo y diverso.

Para mantener las redes que apoyan este tipo de organización de trabajo, muchas pequeñas y medianas empresas (PYMES) dependen de equipos de soporte técnico fuera del sitio utilizando el protocolo de escritorio remoto (RDP) para diagnosticar y reparar problemas de red. RDP permite comunicaciones de red seguras entre un servidor de terminal y un cliente de servidor de terminal. Los administradores de red lo utilizan comúnmente para acceder de forma remota a escritorios y aplicaciones virtuales.

El uso de RDP tiene un cierto nivel de riesgo, sobre todo porque los escritorios remotos no vigilados se están convirtiendo rápidamente en el punto de entrada preferido entre los piratas informáticos. Lamentablemente, muchas empresas se están dejando expuestas por no seguir algunas simples medidas de seguridad.

En este artículo, le mostraremos exactamente cómo funcionan los ataques RDP y qué puede hacer para proteger a su empresa de sucumbir a este tipo de ciberataque. Siga leyendo para evitar convertirse en una de las víctimas del ransomware siguiente.

¿Qué es un ataque de fuerza bruta de RDP?

Imagine un ladrón que tiene un llavero con unos cientos de miles de claves en él. El criminal utiliza las teclas una tras otra en un intento de desbloquear su puerta principal. Cuanto mejor sea su cerradura, más tiempo les llevará entrar. Sin embargo, tarde o temprano, probablemente encontrarán la llave correcta y una vez que estén dentro pueden hacer lo que quieran - desactivar su alarma, robar sus joyas, vandalizar su casa o cambiar las cerraduras y exigirle que pague un rescate para obtener volver adentro. Esta es la premisa básica de un ataque RDP.

En un ataque de fuerza bruta de RDP, los hackers utilizan escáneres de red como Masscan (que puede escanear toda la Internet en menos de seis minutos) para identificar rangos de puertos IP y TCP que son utilizados por los servidores RDP. Después de rastrear uno hacia abajo, los criminales tratan de obtener acceso a la máquina (normalmente como un administrador) mediante el uso de herramientas de fuerza bruta que automáticamente intentan iniciar sesión una y otra vez utilizando innumerables combinaciones de nombre de usuario y contraseña. Durante este tiempo, el rendimiento del servidor puede tener un impacto cuando los ataques consumen recursos del sistema.

Después de horas, días o incluso semanas de ensayo y error sistemático, los hackers pueden eventualmente adivinar el nombre de usuario y la contraseña y tener acceso al servidor - y una vez que están en el potencial de daño es nada menos que catastrófico.

¿Por qué los hackers quieren lanzar un ataque RDP?

Una vez que un atacante tiene acceso a través de RDP, pueden hacer prácticamente cualquier cosa dentro de los límites de privilegio de la cuenta hackeada. Los criminales que han obtenido acceso de administrador pueden hacer más o menos todo lo que quieran, incluyendo deshabilitar software antivirus, instalar malware, robar datos de la empresa, cifrar archivos y mucho más. Como se puede imaginar, este nivel de interrupción puede tener un enorme impacto en la reputación de una empresa, las finanzas y las operaciones cotidianas. Mientras que algunos criminales cibernéticos simplemente quieren crear caos, muchos lanzan ataques RDP con metas fijas en mente, tales como:

Ransomware

La forma más lucrativa de malware es más comúnmente propagada a través de ataques RDP. De hecho, algunos informes estiman que hasta dos tercios de todas las infecciones de ransomware en Q1 2017 fueron entregados a través de RDP. Después de romper, es una cuestión sencilla para los piratas informáticos cifrar archivos del sistema y exigir rescates exorbitantes de sus víctimas. En septiembre de 2016, los hackers utilizaron ataques de escritorio remoto para infectar a las empresas en toda Australia con el ransomware de Crysis.

Keylogging

Si los criminales quieren adoptar un enfoque más sutil, pueden usar un ataque RDP para instalar subrepticiamente un keylogger. Un keylogger es un pedazo minúsculo de malware que se sienta en el fondo y pistas cada tecla que usted presiona sin su conocimiento. Esto se puede utilizar para recopilar datos privados, como información de tarjetas de crédito, contraseñas, información confidencial de la empresa y mucho más.

Disruption

Algunos ataques RDP no tienen un propósito claro más allá de la destrucción sin sentido. El cibercriminal puede simplemente estar aburrido o en busca de notoriedad e infiltrarse en los sistemas de su empresa como un desafío. En este escenario, los hackers pueden tomar archivos personales, eliminar datos o utilizar el servidor de su empresa para distribuir malware a sus clientes.

Hacia fines de 2016, los hackers utilizaron ataques RDP para entrar en los sistemas y activar el malware no detectado conocido como Trojan.sysscan. El troyano buscó en la máquina infectada cookies relacionadas con banca, juegos de azar, sitios web de impuestos y software de Punto de Venta, así como nombres de usuario y contraseñas extraídos, proporcionando a los criminales identidades robadas y grandes cantidades de dinero.

Independientemente del razonamiento del criminal, no se puede negar que un ataque RDP puede tener consecuencias importantes para empresas de cualquier tamaño.

¿Cómo puede proteger su negocio contra ataques de fuerza bruta de RDP?

La clave para combatir los ataques RDP radica en ser proactivo. Como se ha señalado, una vez que un hacker ha ganado la entrada al sistema de su empresa, no hay límite en el estrago que pueden crear. Con esto en mente, debe centrarse principalmente en la prevención del acceso inicial minimizando los riesgos de seguridad de los escritorios remotos. Esto se puede lograr de varias maneras:

1. Nombre de usuario y contraseña fuertes

La cosa más simple y más eficaz que puede hacer para evitar convertirse en una víctima de un ataque de fuerza bruta RDP es cambiar sus detalles de inicio de sesión. Cambiar el nombre de su cuenta a algo más críptico que el predeterminado "Administrador" lo hace dos veces más difícil para los ciberdelincuentes, ya que tienen que adivinar su nombre de usuario, así como su contraseña. Tendrá que deshabilitar la cuenta de administrador existente antes de configurar una nueva.

Además, también querrá asegurarse de que su contraseña esté a la altura. Su contraseña debe ser larga, única, compleja y contener números, símbolos y letras mayúsculas y minúsculas.

2. Establecer restricciones de acceso remoto

Para reducir aún más el riesgo de un ataque, establezca un límite en el número de personas que pueden iniciar sesión con RDP. Si bien todos los que tienen acceso de nivel "Administrador" pueden iniciar sesión en Escritorio remoto de forma predeterminada, es probable que haya muy pocos usuarios en su red que realmente necesiten estos privilegios para realizar su trabajo. Restringir el acceso RDP sólo a aquellos que realmente lo requieren minimiza el riesgo de un agujero de seguridad.

3. Política de bloqueo de cuenta

Como se ha señalado, los ataques RDP de fuerza bruta requieren cientos, miles o incluso millones de intentos de inicio de sesión. Puede ralentizar los ataques configurando una directiva sencilla que bloquea a los usuarios después de un cierto número de intentos durante un período de tiempo especificado.

A continuación, le indicamos cómo configurar una directiva de bloqueo de cuentas en Windows 10 Enterprise / Pro / Education:

1. Abrir el menú Inicio

2. Escriba Herramientas administrativas y abra el programa que aparece bajo 'Mejor coincidencia'

3. En la ventana que se abre, haga doble clic en Local Security Policy para abrir

4. En el lado izquierdo, vaya a Políticas de cuenta> Directiva de bloqueo de cuentas

5. Haga doble clic en la directiva que desea editar

6. Establecer un nuevo valor

7. Haga clic en Aceptar

Tres minutos de bloqueo para tres intentos inválidos es un buen lugar para comenzar si no está seguro de un umbral de intento aceptable.

4. Utilice una puerta de enlace RDP

Una puerta de enlace RDP proporciona un mayor control de red mediante la eliminación del acceso de usuario remoto a todos los recursos de red internos y su sustitución por una conexión RDP punto a punto. Esto le permite determinar quién puede conectarse, qué recursos pueden tener acceso, qué tipo de clientes de autenticación deben utilizar y más.

5. Cambie el puerto RDP

Al escanear Internet, los hackers a menudo buscan conexiones que usan el puerto RDP predeterminado (TCP 3389). En teoría esto significa que puede esencialmente "ocultar" su conexión RDP cambiando el puerto de escucha a otra cosa.

Para ello, utilice el Editor del Registro de Windows para cambiar la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

ADVERTENCIA: La edición del registro puede provocar problemas graves. Realice siempre una copia de seguridad de su registro antes de realizar ediciones y no intente hacer una edición si no está seguro de ninguna manera.

Vale la pena señalar que la seguridad por oscuridad no es un método de protección particularmente fiable o eficaz. Además, muchos escáneres modernos comprueban automáticamente TODOS los puertos para conexiones RDP, no sólo TCP 3389. Sin embargo, algunos usuarios pueden encontrar este método útil para prevenir ataques de RDP.

La prevención es la mejor cura

Una buena solución antivirus como Emsisoft Anti-Malware también puede desempeñar un papel en la identificación y eliminación de cualquier software malicioso que los hackers puedan liberar después de infiltrarse en su sistema. Sin embargo, en la mayoría de los casos, los ciberdelincuentes pueden simplemente desactivar su cortafuegos, antivirus y otro software de seguridad, lo que hace muy difícil para cualquier producto antivirus combatir los ataques RDP una vez que su red ha sido violada.

Si bien esto puede sonar un poco desalentador, pone de relieve la importancia de las medidas preventivas. Armado con la información en este blog estarás mejor equipado para proteger tu negocio contra la creciente amenaza de los ataques RDP.