Seguridad y cumplimiento

Solamente aquellas personas a quienes invite a formar parte de su equipo podrán iniciar en sesión en VNC Viewer y descubrir sus equipos (¡invite solamente a personas de confianza!). Nótese que con una suscripción Professional o Enterprise se pueden aplicar restricciones adicionales de descubrimiento, mediante la asignación de permisos en la página Equipos de su cuenta de RealVNC, lo cual permite emparejar equipos y usuarios con total precisión.

Si una persona no tiene posibilidad de descubrir los equipos, entonces es imposible que establezca conexiones en la nube con ellos; no existe forma alguna de evitar nuestro servicio de descubrimiento.

Si tiene una suscripción Enterprise e intenta establecer conexiones directas, existe la posibilidad de que un usuario malicioso intente conectarse al puerto que acaba de abrir en el firewall del equipo remoto (que de forma predeterminada es TCP 5900). ¡Es mucho más seguro utilizar la conectividad en la nube a través de Internet!

VNC Server posee una firma digital única diseñada para mantener la seguridad mientras se está en línea. Se trata de una representación hexadecimal de un hash de clave pública RSA de 2048 bits, lo cual (para entendernos) es un lema fácil de recordar compuesto por seis palabras como, por ejemplo, “Omega Cris Chicago. Alabama flecha roja”. Descargue nuestro documento técnico para consultar los detalles técnicos.

Cuando se establece una conexión, los servicios de RealVNC verifican automáticamente esta identidad y, por su parte, VNC Viewer le pide que la confirme. Si, posteriormente, se le advierte que el lema ha cambiado, podría deberse a que alguien ha manipulado el equipo o está intentando interceptar la conexión (un ataque «man-in-the-middle», o de intermediario).

Si tiene una suscripción Enterprise y establece una conexión directa, los servicios de RealVNC no pueden ejecutar esta comprobación automática, por lo que deberá hacerlo por sus propios medios.

Sí. La protección por contraseña de VNC Server está activada de forma permanente.

El esquema de autenticación de VNC Server es completamente independiente de su cuenta de RealVNC, por lo que, aunque un usuario malicioso se haga con las credenciales de su cuenta e inicie sesión en VNC Viewer suplantándole, tampoco podrá conectarse. Y, si intenta adivinar su contraseña de VNC Server (mediante un ataque de «fuerza bruta» o «diccionario»), se le incluirá en la lista negra.

De todos modos, puede solicitar a VNC Viewer que recuerde sus contraseñas de VNC Server, si ello le resulta más cómodo. En ese caso, le recomendamos que configure una contraseña maestra en la página Preferencias > Privacidad de VNC Viewer.

Una suscripción Home solo dispone de un esquema de autenticación en VNC Server. Procure que la contraseña que debe crear durante la instalación de VNC Server sea difícil de adivinar, y manténgala a salvo. La contraseña debe tener como mínimo de 6 letras (se distinguen mayúsculas y minúsculas), números y caracteres especiales como !@*#&, aunque es recomendable que sea más larga (con 255 caracteres como máximo).

Si tiene una suscripción Professional o Enterprise, de manera predeterminada VNC Server está integrado en el mecanismo de presentación de credenciales del equipo remoto, por lo que no necesitará crear ni recordar una contraseña más. Todo lo que tiene que hacer es conectarse con el mismo nombre de usuario y contraseña que utiliza normalmente para iniciar sesión en su cuenta de usuario de ese equipo. Si lo desea, puede registrar otros usuarios en VNC Server para que puedan conectarse utilizando su propio sistema de credenciales de cuenta con el que ya están más familiarizados.

Con una suscripción Professional o Enterprise, puede cambiar el esquema de autenticación predeterminado en el sistema y especificar una autenticación multifactorial para VNC Server.

Si tiene la suscripción Enterprise y su red corporativa es adecuada, puede configurar un inicio de sesión único (SSO) para VNC Server.

La primera vez que utilice VNC Viewer para conectarse a un equipo, debe especificar la contraseña que espera VNC Server.

Posteriormente, puede pedir a VNC Viewer que recuerde esta contraseña para no tener que utilizarla cada vez que se conecte. Si lo hace, le recomendamos que también cree una contraseña maestra para VNC Viewer, por si pierde o comparte su dispositivo:

VNC Viewer guarda las contraseñas localmente y nunca las sincroniza con otros dispositivos a través de nuestro servicio en la nube (por tanto, tendrá que recordarlas en cada dispositivo desde el cual se conecte). Descargue nuestro documento técnico para consultar los detalles técnicos.

Recuerde que, si considera que su cuenta está en peligro, puede cerrar la sesión a distancia en todos los dispositivos VNC Viewer. Inicie sesión en su cuenta de RealVNC y vaya a la página Seguridad.

Sí. VNC Server registra automáticamente la información de auditoría, por lo que dispone de un registro completo que incluye quién se ha conectado, cuándo, desde dónde y, si el usuario se autentica correctamente, la hora de desconexión (lo cual le permite calcular la duración de las sesiones).

El lugar donde se almacena esta información depende de la plataforma y del modo de VNC Server. Puede consultar información general acerca del registro aquí.

Nótese que se puede aumentar rápidamente el nivel de detalle de los registros hasta el nivel de depuración si es necesario.

Sí. Si va a estar presente físicamente en el equipo cuando se conecten los usuarios, puede configurar que VNC Server le muestre una notificación a fin de autorizar o rechazar cada conexión:

Para ello, active Mostrar petición de aceptar/rechazar para cada conexión en la página Opciones > Conexiones de VNC Server:

Puede desconectar a todos los usuarios inmediatamente:

… o bien uno por uno desde el cuadro de diálogo Centro de información de VNC Server.

De forma predeterminada, los usuarios pueden conectarse simultáneamente. Puede especificar que solo esté conectado un usuario en cada momento.

De forma predeterminada, si un usuario no se autentica de forma correcta cinco veces seguidas, el equipo de este es incluido en la lista negra. Puede bajar este umbral para tener más protección contra los ataques de fuerza bruta o exploración de puertos.

Si tiene una suscripción Enterprise y establece conexiones directas, puede filtrar los equipos entrantes de forma que se impidan las conexiones desde direcciones IP concretas:

Sí. Puede configurar que las sesiones sean de solo visualización para todos los usuarios en la página Opciones > Usuarios & Permisos de VNC Server:

Si tiene una suscripción Professional o Enterprise, puede aplicar un control más detallado y hacer que las sesiones sean de solo visualización únicamente para algunos usuarios.

O bien, los usuarios de VNC Viewer pueden elegir que sus propias sesiones sean de solo visualización en el cuadro de diálogo Propiedades de VNC Viewer o en la barra de herramientas de la aplicación para móviles.

Sí, si tiene una suscripción Professional o Enterprise.

Puede registrar cualquier cantidad de usuarios o grupos (posiblemente de la red de su empresa) con VNC Server:

Puede otorgar permisos específicos a cada uno. Por ejemplo, podría permitir un acceso remoto completo a los administradores del sistema, otorgar a los miembros del grupo «profesores» permisos suficientes para controlar el equipo a distancia, pero sin permitirles transferir archivos ni imprimir, y hacer que los miembros del grupo «alumnos» solo tengan permiso de visualización.

Con una suscripción Home, todos los usuarios conectados tienen los mismos permisos globales, aunque se pueden desactivar funciones individuales o, si lo desea, configurar que todas las conexiones sean de solo visualización. ¡Esto también se le aplicará a usted mismo!

Puede apagar la pantalla de un equipo Windows 7 mientras lo controla de forma remota (“modo de cortina”), para que las personas próximas no puedan ver lo que está haciendo:

Esto es el equivalente a apagar el monitor del equipo de remoto y no volver a permitir que otra persona lo encienda hasta que usted se desconecte.

Sin embargo, todavía no es posible apagar la pantalla de un equipo Windows 10 o 8 ni de un equipo Linux o Mac.

Puede evitar que se utilicen el teclado y el ratón de un equipo remoto mientras se encuentra conectado a él:

Puede configurar VNC Server para que bloquee automáticamente o cierre la sesión en un equipo Windows o Mac cuando usted se desconecte:

Como es lógico, siempre tiene la posibilidad de bloquear o cerrar su propia sesión de control remoto. Basta con que recuerde no apagar el equipo remoto; de lo contrario, ¡se le desconectará a usted hasta que alguien vuelva a encender el equipo!

En primer lugar, siga las instrucciones generales para las cuentas de RealVNC aquí.

A continuación, siga las instrucciones adicionales de abajo. Recuerde que puede realizar operaciones masivas en equipos con una conexión remota utilizando la directiva, lo cual tiene la ventaja de seguridad adicional de bloquear estos equipos y, de esta forma, impedir que los usuarios locales efectúen cambios.

1. En su cuenta en línea de RealVNC, asigne permisos en la página Ordenadores para restringir el descubrimiento de forma adecuada.
2. En cada equipo remoto:
   • Instale VNC Connect en una ubicación segura (por ejemplo, C:\Archivos de programa), y active las notificaciones de actualizaciones.
   • Actualícese a la encriptación de sesión AES de 256 bits.
   • Desactive la conectividad directa. Establecer solamente conexiones a través de la nube evita abrir agujeros en los firewalls.
   • Habilite la autenticación multifactorial para VNC Server.
   • Restrinja los permisos de sesión adecuadamente, por ejemplo, de tal forma que los usuarios particulares solo tengan permiso de visualización.
   • Endurezca los criterios de inclusión en la lista negra.
   • Rebaje el tiempo de inactividad permitido.
   • Si el propietario está presente físicamente para autorizar las conexiones, active la conexión de consulta.
   • Bloquee el escritorio remoto cuando se desconecte el último usuario.
3. Revise los registros de conexión con regularidad.