A medida que más organizaciones avanzan hacia el trabajo remoto, los equipos distribuidos y los entornos conectados a la nube, las soluciones de acceso remoto se han convertido en herramientas indispensables para permitir la flexibilidad de la mano de obra.
Sin embargo, aunque el auge del acceso remoto es un progreso tecnológico excelente, ha creado más puntos de acceso y más oportunidades para los atacantes.
Hoy en día, los ataques de acceso remoto y la explotación del Protocolo de Escritorio Remoto (RDP) siguen estando entre los métodos de acceso inicial más utilizados por los grupos de ransomware y los ciberdelincuentes.
¿Una tendencia positiva? Ahora disponemos de informes más detallados que nunca. Los proveedores de seguridad, los equipos de IR y los medios de comunicación publican con frecuencia análisis de incidentes que muestran con precisión cómo acceden los atacantes, qué herramientas de acceso remoto utilizan y cómo escalan privilegios.
Para las organizaciones dispuestas a prestar atención, este nivel de transparencia ofrece dos grandes ventajas:
- Verá exactamente cómo se aprovechan las vulnerabilidades de acceso remoto.
- Verá lo que debe cambiar en tu entorno para reducir el riesgo.
En esta guía, desglosamos las vulnerabilidades de acceso remoto más comunes, cómo las aprovechan los atacantes y los pasos concretos que puede dar para proteger tu entorno y evitar los ataques de ransomware basados en RDP.
Vulnerabilidades comunes de acceso remoto
Las vulnerabilidades de acceso remoto son la columna vertebral del éxito de muchos ciberataques. Proporcionan una puerta abierta para que los atacantes se infiltren en su red, roben datos o desplieguen software malicioso.
A medida que se expande el trabajo remoto global, crece el riesgo de acceso remoto. Según el Foro Económico Mundial, los empleos digitales globales aumentarán un 25% para 2030, lo que añadirá millones de nuevos puntos finales remotos que podrían convertirse en potenciales puntos de entrada para los atacantes.
Esto subraya la importancia de comprender estas vulnerabilidades para reforzar su postura de seguridad y evitar posibles brechas.
A continuación, analizamos las vulnerabilidades de acceso remoto más comunes a las que se enfrentan las organizaciones hoy en día:
Falta de información y visibilidad
Muchas organizaciones carecen de una visibilidad y comprensión exhaustivas de los sistemas de acceso remoto, como las configuraciones VPN, los ajustes RDP y los controles de acceso de terceros.
Sin un inventario claro de las herramientas de acceso remoto y los puntos finales, es fácil que se produzcan errores de configuración. Estas lagunas de conocimiento pueden provocar:
- VPN y cortafuegos mal configurados
- Exposición accidental de datos sensibles
- Usuarios no autorizados que acceden a través de dispositivos mal protegidos
Además, los trabajadores remotos pueden conectarse sin saberlo a redes Wi-Fi públicas no seguras, lo que aumenta el riesgo de ataques de intermediario/man-in-the-middle.
Compartir contraseñas y credenciales débiles
Compartir contraseñas es una práctica habitual pero peligrosa. Cuando los empleados comparten credenciales, especialmente para sistemas de acceso remoto, el seguimiento de la responsabilidad se hace difícil.
Las contraseñas reutilizadas o débiles hacen que los sistemas sean vulnerables a los ataques de fuerza bruta o al relleno de credenciales. Además, cuando un empleado se marcha, no cambiar las contraseñas compartidas puede dejar los sistemas expuestos a la explotación mucho después de que el empleado se haya ido.
Software inseguro o anticuado
El ransomware y otros tipos de malware se aprovechan del software sin parches. Muchas organizaciones siguen utilizando software RDP anticuado, clientes VPN u otros sistemas de acceso remoto, que son objetivos conocidos de los ciberdelincuentes. Las vulnerabilidades de estos sistemas:
- Permiten la distribución de malware a través de exploits no parcheados
- Permiten a los atacantes ejecutar código de forma remota
- Proporcionan acceso de puerta trasera a datos y sistemas sensibles
Muchos proveedores de software publican regularmente parches para corregir estas vulnerabilidades, pero no aplicar las actualizaciones deja los sistemas expuestos. El software, los complementos o las extensiones de terceros que no estén actualizados o sean inseguros también pueden proporcionar puntos de entrada involuntarios.
Uso de dispositivos personales para el trabajo a distancia
Los dispositivos personales, los no gestionados por el departamento informático de la organización, suponen un riesgo importante cuando se utilizan para el trabajo. Los empleados pueden conectarse desde:
- Dispositivos personales no seguros, que carecen de controles de seguridad de nivel empresarial.
- Dispositivos que no cumplen las políticas de seguridad de la empresa, como el cifrado de terminales
- TI en la sombra, cuando se utilizan aplicaciones o servicios no autorizados para el trabajo
Estos dispositivos también pueden carecer de actualizaciones periódicas de seguridad, dejando a las organizaciones vulnerables a ataques de malware y ransomware. Los dispositivos personales suelen carecer del mismo nivel de control, supervisión o autenticación que los dispositivos gestionados por la empresa, lo que los hace vulnerables a accesos no autorizados.
Gestión inadecuada de los parches
Muchas organizaciones se enfrentan al reto de parchear y actualizar los sistemas, sobre todo cuando se trata de infraestructuras heredadas o recursos informáticos limitados. Los sistemas sin parches son objetivos fáciles para los ciberdelincuentes, que escanean activamente las redes en busca de vulnerabilidades. Cuando los parches se retrasan o se omiten:
- Los atacantes pueden explotar vulnerabilidades conocidas en el software de acceso remoto
- Las herramientas de ataque automatizadas pueden buscar dispositivos sin parches y comprometerlos.
- El código malicioso puede propagarse por la red utilizando estas vulnerabilidades como puntos de entrada
En el caso del RDP, los atacantes suelen utilizar ataques de fuerza bruta contra servicios vulnerables o sin parches para obtener acceso.
Copias de seguridad vulnerables
Las copias de seguridad son cruciales para la recuperación en caso de ciberataque, pero las copias de seguridad no seguras también pueden ser un objetivo. Los atacantes suelen buscar copias de seguridad en la nube expuestas o datos sin cifrar, utilizándolos como puntos de ataque secundarios. Sin fuertes controles de acceso y cifrado, estas copias de seguridad pueden convertirse en un punto de entrada fácil para el robo de datos o el ransomware.
Mala higiene de los dispositivos
Descuidar las actualizaciones periódicas de los dispositivos y las comprobaciones de seguridad puede aumentar el riesgo de infecciones por malware y ransomware. Con el tiempo, los dispositivos acumulan vulnerabilidades, que:
- Aumentan la superficie de ataque de los ciberdelincuentes
- Permiten el acceso no autorizado si los permisos o certificados de seguridad están obsoletos
- Permiten a los atacantes infectar dispositivos, que más tarde pueden utilizarse como plataformas de lanzamiento para infiltraciones en redes mayores
La higiene periódica de los dispositivos y la actualización del software de seguridad son esenciales para reducir el riesgo de fallos de seguridad.
Ataques de phishing
El phishing sigue siendo uno de los métodos más frecuentes para obtener acceso no autorizado. Los ciberdelincuentes envían:
- Correos electrónicos engañosos que parecen legítimos: Los atacantes suelen enviar correos electrónicos que imitan a empresas, proveedores o departamentos internos de confianza. Estos mensajes pueden incluir facturas falsas, enlaces para restablecer contraseñas o solicitudes urgentes diseñadas para engañar a los usuarios para hacer clic en enlaces maliciosos o compartir información confidencial.
- Smishing (phishing por SMS) o vishing (phishing por voz): Los ciberdelincuentes también utilizan mensajes de texto y llamadas telefónicas para aparentar credibilidad. Los mensajes de smishing pueden contener enlaces a sitios web fraudulentos o solicitudes urgentes para «verificar» su cuenta. El vishing consiste en llamadas que se hacen pasar por bancos, soporte informático o agencias gubernamentales para presionar a las víctimas para que revelen datos de acceso, información financiera o códigos de seguridad.
- Portales de inicio de sesión falsos: Los atacantes crean páginas de inicio de sesión similares para servicios como el correo electrónico o las cuentas en la nube. Estas páginas imitan la marca y las URL reales, engañando a los usuarios para que introduzcan sus nombres de usuario y contraseñas, que luego les son robados.
Los atacantes utilizan ahora tácticas avanzadas, incluido el aprendizaje automático, para elaborar mensajes de phishing personalizados y suplantación de dominios para que sus ataques sean más creíbles. Una vez robadas las credenciales, pueden utilizarse fácilmente para acceder a sistemas de acceso remoto como RDP, VPN o servicios en la nube.
Cómo aprovechan los atacantes las vulnerabilidades de acceso remoto para obtener acceso
Hace tiempo que se sabe que un porcentaje significativo de los ataques de ransomware, independientemente de la variante, comienzan con phishing o con intrusiones basadas en escritorio remoto.
El phishing, que mencionamos en la sección anterior, es un punto de entrada obvio: cuando tiene éxito, entrega a los atacantes una sesión de punto final y credenciales de usuario válidas. Pero los ataques a escritorios remotos (incluidos los realizados a través de herramientas comerciales de acceso remoto) ofrecen el mismo resultado.
Tanto si los atacantes utilizan intentos de fuerza bruta -probando miles de contraseñas- como si utilizan credenciales robadas, compradas o obtenidas de filtraciones anteriores, los ataques basados en RDP siguen siendo igual de eficaces y, por tanto, se sitúan codo con codo con el phishing como principal vector de ataque inicial.
Ejemplos reales de explotación del RDP
Un ejemplo bien documentado es MedusaLocker, una variante de ransomware identificada por primera vez en 2019 que ha resurgido lo suficiente como para provocar un Aviso Conjunto de Ciberseguridad por parte de las agencias gubernamentales. Los operadores de MedusaLocker se centran principalmente en conexiones RDP expuestas, a veces publicadas intencionadamente por conveniencia, otras veces dejadas abiertas accidentalmente. Tras obtener acceso, despliegan el ransomware, cifran los datos críticos y exigen el pago.
Otro caso de gran impacto, documentado por investigadores de Sophos, reveló cómo un grupo que utilizaba el ransomware LockBit se infiltró en una red del gobierno estadounidense a través de RDP. Sorprendentemente, los atacantes realizaron una exploración lateral por la red durante cinco meses sin ser detectados antes de iniciar el despliegue del ransomware.
Cómo los atacantes escalan y se mueven lateralmente utilizando el acceso remoto
Ahora que ya sabe cómo explotan los atacantes las vulnerabilidades de acceso remoto para obtener acceso, vamos a hablar de cómo escalan y se mueven lateralmente utilizando el acceso remoto:
Una vez que los atacantes obtienen acceso local, la siguiente fase lógica, según el Marco ATT&CK de MITRE, es el movimiento lateral. Durante esta fase se suele abusar de los mecanismos de acceso remoto (especialmente RDP interno).
Datos recientes de la empresa de respuesta a incidentes de ransomware Coveware muestran que el movimiento lateral se produce en aproximadamente el 70% de los ataques de ransomware. Sus analistas señalan que esta fase «consiste principalmente en abusar del Escritorio Remoto (RDP) interno tras el acceso inicial».
Al moverse lateralmente, los atacantes escalan permisos, acceden a puntos finales adicionales, localizan datos sensibles y posicionan el ransomware para conseguir el máximo impacto.
Estrategias eficaces para evitar el uso indebido del Acceso remoto en los ataques de ransomware
Dado que los actores de las amenazas abusan constantemente del acceso remoto con fines maliciosos, los responsables de TI y seguridad deben tomar medidas decisivas para reducir el riesgo. A continuación se exponen las acciones más impactantes que pueden emprender las organizaciones para evitar el uso indebido:
Desactivar el acceso remoto desde el exterior
Con frecuencia, los atacantes utilizan la fuerza bruta para robar credenciales en ordenadores de sobremesa y servidores expuestos a la Internet pública. Ni siquiera la reciente actualización de Windows 11 de Microsoft, que bloquea automáticamente los intentos de fuerza bruta RDP, puede mitigar totalmente la amenaza, especialmente cuando los atacantes tienen a mano un conjunto de credenciales robadas.
Con un 59% de organizaciones que experimentan campañas basadas en el phishing centradas en el robo de credenciales, junto con la presencia de servicios de la Dark Web dedicados a la venta de credenciales, debería ser evidente que muchos atacantes ya no confían en la fuerza bruta para obtener acceso.
Siempre que sea factible, elimine el RDP accesible desde el exterior y otras rutas de acceso remoto a nivel de escritorio.
Considere dejar de usar RDP
Para el acceso al escritorio remoto, tanto externo como interno, Microsoft ha tomado medidas para garantizar que sus servicios RDP sean lo más seguros posible. Pero sigue existiendo un doble problema:
- En primer lugar, no todas las organizaciones protegen su RDP en todos los terminales.
- En segundo lugar, incluso si es seguro, las bandas de ransomware buscan ahora exploits de día cero (y están dispuestas a pagar sumas de siete cifras por ellos), y la prevalencia de RDP en casi todos los entornos de Microsoft lo convierte en un objetivo principal para los hackers que buscan formas de aprovecharse de las aplicaciones «commodity» que están ampliamente disponibles.
Cambiar a soluciones de acceso remoto seguras y modernas con controles granulares puede reducir significativamente su superficie de riesgo.
Activar la autenticación segura
La autenticación multifactor (MFA) sigue siendo una de las defensas más eficaces contra el uso indebido del acceso remoto. Exigir un segundo factor, como tarjetas inteligentes, certificados, aplicaciones autenticadoras o llaves de hardware, hace que las contraseñas robadas sean efectivamente inútiles y evita el acceso no autorizado incluso cuando las credenciales están comprometidas.
Actualiza y parchea regularmente el software
Actualizar y parchear regularmente todas las herramientas y el software de acceso remoto es crucial para mantener a raya a los atacantes. Los sistemas sin parches son un objetivo prioritario para los ciberdelincuentes, por lo que estar al día de las actualizaciones es esencial para proteger su red.
Educar y formar a los empleados
Invierta en formación sobre ciberseguridad para concienciar sobre los riesgos asociados al acceso remoto. Formar a su plantilla sobre los peligros del phishing y la gestión de contraseñas ayudará a reducir la probabilidad de robo de credenciales y accesos no autorizados.
También puede interesarle: VNC vs SSH: Cómo elegir el protocolo de acceso remoto adecuado para una administración segura del sistema.
Refuerza la seguridad del acceso remoto con RealVNC antes de que sea demasiado tarde
Las estrategias de ciberseguridad deben evolucionar continuamente para reflejar el panorama actual de las amenazas. Los marcos como MITRE ATT&CK existen por esta misma razón: para ayudar a las organizaciones a mantenerse alineadas con la forma en que operan los atacantes en entornos reales.
El acceso remoto seguirá siendo uno de los principales objetivos de los grupos de ransomware hasta que las organizaciones den prioridad a la configuración de la seguridad en lugar de a la comodidad de la productividad.
Estudiando los patrones de ataque actuales y aplicando las recomendaciones anteriores, las organizaciones pueden reforzar significativamente la seguridad de su entorno de acceso remoto y reducir su superficie de ataque interna y externa.
En resumen: asegurar el acceso remoto no es opcional, es fundamental para evitar riesgos de seguridad.
Ahora es el momento de evaluar sus soluciones de acceso remoto y asegurarse de que son lo suficientemente sólidas como para defenderte de las amenazas actuales.
Obtenga más información sobre cómo las soluciones de acceso remoto seguro de RealVNC pueden ayudar a proteger su red de los ataques de ransomware y bloquear los intentos de acceso no autorizado.
Preguntas frecuentes
A continuación encontrará respuestas a algunas de las preguntas más frecuentes sobre los ataques de acceso remoto.
¿Qué es un ataque de acceso remoto?
Un ataque de acceso remoto se produce cuando los ciberdelincuentes consiguen entrar sin autorización en un sistema o red a través de métodos de acceso remoto como RDP, VPN, SSH o herramientas remotas basadas en la nube. Estos ataques suelen implicar el robo de credenciales, phishing o la explotación de vulnerabilidades no parcheadas. En muchos casos, los atacantes automatizan estos intentos para atacar a un gran número de sistemas expuestos.
¿Qué vulnerabilidades están asociadas al acceso remoto?
Las vulnerabilidades más comunes incluyen RDP mal configurado, contraseñas débiles o reutilizadas, puntos finales expuestos, software obsoleto o sin parches, dispositivos personales inseguros y controles de autenticación insuficientes. Estas debilidades proporcionan a los atacantes puntos de entrada fáciles para comprometer las redes.
¿Cuáles son los tres tipos principales de acceso remoto?
Las principales formas de acceso remoto incluyen:
- Protocolo de Escritorio Remoto (RDP): El RDP se utiliza mucho, pero es un objetivo frecuente debido a los puertos abiertos y a las credenciales débiles.
- Redes Privadas Virtuales (VPN): Las VPN cifran el tráfico, pero pueden ser un único punto de fallo si se ven comprometidas.
- Soluciones de acceso remoto basadas en la nube: Estas herramientas dependen en gran medida de la seguridad de la cuenta y de una configuración adecuada de la MFA.
