Acceso remoto seguro-antes limitado a personal informático selecto- se ha convertido en un elemento imprescindible para empresas de distintos tamaños, a medida que los centros de trabajo se vuelven híbridos o deslocalizados. Flex Index Informe Flex 2T 2024 revela que el porcentaje de empresas con sede en EE.UU. que han adoptado esta configuración empresarial ha subido al 37% en 2024 desde el 20% del año anterior. Además, los empleados que viajan, los proveedores de la cadena de suministro y los proveedores de servicios externos suelen necesitar acceso remoto.
El aumento del número de usuarios que acceden a recursos sensibles de la red en más dispositivos y desde más lugares incrementa la amenaza de riesgos para la seguridad. Según el último informe de IBM, el coste medio mundial de las violaciones de datos asciende a 1.000 millones de euros. 4,88 millones de dólares. Furthermore, the research shows that recovery from such breaches can take over 100 days.
A la luz de estas tendencias, los empresarios -desde las pequeñas empresas hasta las compañías globales- deben seleccionar el software de acceso remoto más fiable para proteger los datos empresariales. Estas soluciones conceden acceso exclusivo a los usuarios autorizados, impidiendo las amenazas basadas en la web, como el ransomware y el malware.
En este artículo analizaremos uno de los nombres más populares y veteranos del mercado: GoToMyPC. Vamos a evaluar sus características para determinar si es una herramienta viable para tus necesidades de asistencia remota.
Resumen de las funciones de seguridad de GoToMyPC
El software GoToMyPC -lanzado en 2003- es un producto de LogMeIn, un proveedor SaaS de soluciones de conectividad y asistencia. GoToMyPC ofrece planes de uso individual/personal y de nivel empresarial (Pro y Corporate). paquetes.
Garantizar el acceso autorizado
Dos elementos pretenden garantizar un uso seguro de GoToMyPC:
Autenticación de dos factores (2FA)
GoToMyPC utiliza 2FA para una capa adicional de verificación de identidad. Pide a los usuarios que introduzcan una contraseña o un código enviado por mensaje de texto antes de acceder a la plataforma. Además, el software limita el número de intentos de inicio de sesión para evitar ataques de hackers.
Código de acceso y contraseñas
GoToMyPC requiere contraseñas (de al menos ocho caracteres alfanuméricos) y códigos de acceso para evitar que tu cuenta se vea comprometida. La plataforma también te pide que introduzcas una contraseña antes de utilizarla en un dispositivo en el que esté instalada. A continuación, debes introducir otra contraseña o código de acceso para el dispositivo que vayas a ver o controlar a distancia.
Evitar intentos no autorizados
GoToMyPC impide que los actores maliciosos entren en las cuentas de los usuarios a través de estas funciones:
Protocolos de encriptación
El software utiliza la norma de encriptación avanzada (AES) de 256 bits, de nivel bancario, para garantizar la privacidad de la actividad de los usuarios (chats, pulsaciones de teclado o entradas de ratón) y de los datos (transferencias de archivos o capturas de pantalla) intercambiados entre los dispositivos conectados, ya sean móviles o de sobremesa.
Otras funciones de privacidad
Otras funciones de seguridad de GoToMyPC son el “blanqueo de pantalla”, que pone la pantalla de un dispositivo anfitrión desatendido en negro o verde para impedir que otros vean tus operaciones remotas. El software sólo puede blanquear PCs anfitriones. Para mayor seguridad visual, los administradores pueden activar el bloqueo del ordenador remoto para bloquear automáticamente el acceso al ordenador anfitrión tras desconectarse de una sesión remota. También pueden activar la función “bloquear teclado y ratón” mientras se estén realizando sesiones remotas.
Examinar las vulnerabilidades de seguridad de GoToMyPC
A pesar de su infraestructura de seguridad, los usuarios de GoToMyPC pueden tener que protegerse contra la repetición de estas ciberamenazas, que la plataforma experimentó en los últimos años:
Acceso no autorizado
En casos separados, la empresa notificó a los usuarios que debían restablecer sus contraseñas debido a estos incidentes:
Ataques con contraseña
Incluyen “ataques de reutilización”, en los que los ciberdelincuentes utilizan nombres de usuario y contraseñas obtenidos maliciosamente de otros sitios web para acceder a cuentas de GoToMyPC.
Ataques Man-in-the-middle (MITM)
En estos incidentes, los hackers roban información sensible escuchando o interceptando las comunicaciones entre dos partes, normalmente el usuario y la red. GoToMyPC utiliza “AES en modo de retroalimentación de cifrado” (CFB) para contrarrestar estas maniobras. El CFB impide que los actores de amenazas generen claves falsificadas para obtener acceso a distancia e interferir en las comunicaciones.
Retrasos en la actualización del software
Los usuarios de GoToMyPC también han experimentado ralentizaciones durante las actualizaciones de software o cuando otros programas o sistemas operativos como Windows ejecutan sus actualizaciones y afectan a su plataforma.
Riesgos del retraso en las actualizaciones
Los comentarios tras las actualizaciones de GoToMyPC muestran principalmente una ralentización de las operaciones empresariales. Además de las molestias y la pérdida de productividad, las actualizaciones tardías pueden hacer que los usuarios sean susceptibles de sufrir ciberataques, que provocan pérdidas económicas y daños a la reputación. Los fallos de seguridad sin parchear hacen que los sistemas sean vulnerables a los atacantes que buscan puntos de entrada en la conexión remota.
Historial de brechas de seguridad y vulnerabilidades de GoToMyPC
Los usuarios de GoToMyPC habían sufrido dos brechas importantes con seis años de diferencia entre ellas. Sigue leyendo para saber más sobre estos incidentes y cómo actuó la empresa.
Incidentes pasados
Junio de 2016
GoToMyPC admitió haber sufrido un “ataque de contraseña muy sofisticado”. Citrix -que entonces era propietaria de la plataforma antes de ser adquirida por LogMeIn en 2017- dijo que se trataba de un “ataque de reutilización de contraseñas”. En tales circunstancias, los hackers que consiguen una contraseña para una cuenta intentan utilizarla para acceder a otras cuentas de la persona (correo electrónico, redes sociales y banca). Semanas antes del incidente, Facebook, Twitter, Netflix, Reddit, GitHub y TeamViewer también sufrieron el mismo ataque.
Noviembre de 2022
GoToMyPC inició una investigación tras detectar “actividad inusual en nuestro entorno de desarrollo y en el servicio de almacenamiento en la nube de terceros”. Su hallazgos compartidos en enero de 2024 revelaron que “un actor de amenazas exfiltró (robó) copias de seguridad cifradas” y una clave de cifrado para una parte de estas copias.
Vulnerabilidades abordadas
Respuesta al incidente de 2016
Citrix anunció un restablecimiento obligatorio de la contraseña para todos los usuarios autorizados de GoToMyPC. La empresa recordó a los usuarios que crearan contraseñas únicas y seguras, es decir, que no las utilizaran para otras cuentas. Además, animó a activar 2FA.
Respuesta al incidente de 2022
La empresa envió comunicaciones directas a los clientes afectados con pasos procesables para “asegurar aún más sus cuentas.” También autorizó el restablecimiento de las autenticaciones multifactor.
Otras actualizaciones de seguridad
En diciembre de 2022, GoToMyPC lanzó el Centro de Seguridad, donde los usuarios pueden configurar sus ajustes de seguridad. Éstas incluyen el tiempo de espera de seguridad del visor (cantidad de tiempo de inactividad antes de que el Visor se desconecte), el bloqueo del ordenador anfitrión, la supresión de la pantalla mientras está conectado y el bloqueo del teclado y ratón del ordenador anfitrión.
Evaluar la seguridad del acceso remoto
Una estrategia sólida de control de acceso puede mantener a tu plantilla ágil y flexible sin sacrificar la seguridad de los datos. Poner en práctica un plan de este tipo requiere seleccionar, auditar y mantener tu software de asistencia remota con cuidado.
Lista de comprobación para evaluar el software de teleasistencia
Tanto si ya tienes un socio de servicios como si aún estás contemplando tus opciones, ten en cuenta estos tres factores clave para determinar la adecuación de las soluciones de escritorio remoto a tus necesidades actuales:
Elementos de seguridad
Las mejores plataformas deben ofrecer parches y actualizaciones de seguridad rápidas y automatizadas, autenticación multinivel, cifrado de extremo a extremo de todas las conexiones, registros y grabación de sesiones, y gestión de permisos a nivel de usuario para aplicar el “mínimo privilegio”.
Conformidad y certificaciones
Elige un software que cumpla la normativa local (como el marco de cumplimiento de ciberseguridad Service Organization Control Type 2 o SOC2 en EE.UU.) e internacional (como el Reglamento General de Protección de Datos de la UE) y se adhiera a normas globales de gestión de la seguridad de la información como la ISO 27001.
Reputación del vendedor
Investiga y escudriña el historial y la atención al cliente de tus posibles clientes. Comprueba también las opiniones y comentarios de otros clientes sobre sus experiencias con esos proveedores.
Una alternativa segura a GoToMyPC: RealVNC Connect
RealVNC construyó sus productos para garantizar que cada conexión pueda resistir a posibles actores hostiles a través de nuestra personalizable tecnología segura. Whether you use RealVNC products via LAN, the VNC cloud, or a mobile device, you benefit from these features:
Funciones de seguridad de RealVNC
Cifrado de extremo a extremo
RealVNC utiliza un cifrado AES de hasta 256 bits asociado al protocolo Transport Layer Security (TLS) 1.2, que impide el descifrado en cualquier momento por cualquiera, incluido RealVNC. Los suscriptores pueden ajustar los permisos de usuario para que sólo puedan ver o limitar las acciones de acceso (como transferir archivos o copiar y pegar texto).
Verificación de la integridad del punto final
Las claves RSA de 2048 bits de RealVNC verifican automáticamente la identidad en cada punto de contacto, protegiendo tus sistemas y los de tus clientes de ataques MITM. Ponemos en una lista negra a los usuarios que no pueden autenticarse correctamente para impedir ataques de fuerza bruta, DoS y ataques de diccionario.
Opciones de implantación flexibles: Soluciones locales y en la nube
Hay disponibles varias opciones de despliegue, incluida la licencia offline si prefieres el uso local detrás de los cortafuegos de tu red en lugar de conectarte a través de VNC Cloud.
Compromiso con la Protección de Datos: Cumplimiento de las Normas
RealVNC tiene la certificación ISO27001 y cumple la GDPR. También cumple la Ley de Portabilidad y Responsabilidad del Seguro Médico (datos de pacientes) y la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (información de cuentas de tarjetas de crédito).
Conclusión: ¿Es seguro GoToMyPC?
Las recientes medidas adoptadas por GoToMyPC para reforzar su seguridad proporcionan a los usuarios actuales y futuros cierta tranquilidad, dada la introducción de su Centro de Seguridad. No obstante, como parte de la diligencia debida, date tiempo para estudiar más detenidamente las funciones de la plataforma para comprender los requisitos -incluida la lista de permisos para su cortafuegos- y las funciones que pueden controlar tus clientes. De este modo, podrás ayudar a tus empleados y clientes a protegerse de sus amenazas pasadas, como los ataques de reutilización de contraseñas y el robo de claves de cifrado.
RealVNC: Una alternativa más pulida
Como proveedor fiable de software de escritorio remoto, RealVNC es proactivo en materia de seguridad. Va más allá de los protocolos de encriptación, 2FA y supresión de pantalla para garantizar a los usuarios un acceso remoto estable y seguro:
- Autenticación multifactor
- Gestión de permisos personalizable
- Lista negra
- Pruebas de penetración
- Auditorías periódicas de riesgos de seguridad realizadas por terceros
- Atención al cliente las 24 horas del día
RealVNC aloja su servicio en la nube y no utiliza un intermediario o tercero como AWS o Azure. Además, la empresa libera actualizaciones y correcciones de vulnerabilidades regularmente.
No dejes que los problemas de seguridad hagan descarrilar tus operaciones y tu crecimiento, ni estropeen tu reputación. Comprueba RealVNC por ti mismo registrándote en prueba gratuita.