A medida que m\u00e1s organizaciones avanzan hacia el trabajo remoto, los equipos distribuidos y los entornos conectados a la nube, las soluciones de acceso remoto se han convertido en herramientas indispensables para permitir la flexibilidad de la mano de obra.<\/p>\n\n
Sin embargo, aunque el auge del acceso remoto es un progreso tecnol\u00f3gico excelente, ha creado m\u00e1s puntos de acceso y m\u00e1s oportunidades para los atacantes.<\/p>\n\n
Hoy en d\u00eda, los ataques de acceso remoto y la explotaci\u00f3n del Protocolo de Escritorio Remoto (RDP) siguen estando entre los m\u00e9todos de acceso inicial m\u00e1s utilizados por los grupos de ransomware y los ciberdelincuentes.<\/p>\n\n
\u00bfUna tendencia positiva? Ahora disponemos de informes m\u00e1s detallados que nunca. Los proveedores de seguridad, los equipos de IR y los medios de comunicaci\u00f3n publican con frecuencia an\u00e1lisis de incidentes que muestran con precisi\u00f3n c\u00f3mo acceden los atacantes, qu\u00e9 herramientas de acceso remoto utilizan y c\u00f3mo escalan privilegios.<\/p>\n\n
Para las organizaciones dispuestas a prestar atenci\u00f3n, este nivel de transparencia ofrece dos grandes ventajas:<\/p>\n\n
En esta gu\u00eda, desglosamos las vulnerabilidades de acceso remoto m\u00e1s comunes, c\u00f3mo las aprovechan los atacantes y los pasos concretos que puede dar para proteger tu entorno y evitar los ataques de ransomware basados en RDP.<\/p>\n\n
Las vulnerabilidades de acceso remoto<\/a> son la columna vertebral del \u00e9xito de muchos ciberataques. Proporcionan una puerta abierta para que los atacantes se infiltren en su red, roben datos o desplieguen software malicioso.<\/p>\n\n A medida que se expande el trabajo remoto global, crece el riesgo de acceso remoto. Seg\u00fan el Foro Econ\u00f3mico Mundial<\/a>, los empleos digitales globales aumentar\u00e1n un 25% para 2030, lo que a\u00f1adir\u00e1 millones de nuevos puntos finales remotos que podr\u00edan convertirse en potenciales puntos de entrada para los atacantes.<\/p>\n\n Esto subraya la importancia de comprender estas vulnerabilidades para reforzar su postura de seguridad y evitar posibles brechas.<\/p>\n\n A continuaci\u00f3n, analizamos las vulnerabilidades de acceso remoto m\u00e1s comunes a las que se enfrentan las organizaciones hoy en d\u00eda:<\/p>\n\n Muchas organizaciones carecen de una visibilidad y comprensi\u00f3n exhaustivas de los sistemas de acceso remoto, como las configuraciones VPN, los ajustes RDP y los controles de acceso de terceros.<\/p>\n\n Sin un inventario claro de las herramientas de acceso remoto y los puntos finales, es f\u00e1cil que se produzcan errores de configuraci\u00f3n. Estas lagunas de conocimiento pueden provocar:<\/p>\n\n Adem\u00e1s, los trabajadores remotos pueden conectarse sin saberlo a redes Wi-Fi p\u00fablicas no seguras, lo que aumenta el riesgo de ataques de intermediario\/man-in-the-middle.<\/p>\n\n Compartir contrase\u00f1as es una pr\u00e1ctica habitual pero peligrosa. Cuando los empleados comparten credenciales, especialmente para sistemas de acceso remoto, el seguimiento de la responsabilidad se hace dif\u00edcil.<\/p>\n\n Las contrase\u00f1as reutilizadas o d\u00e9biles hacen que los sistemas sean vulnerables a los ataques de fuerza bruta o al relleno de credenciales. Adem\u00e1s, cuando un empleado se marcha, no cambiar las contrase\u00f1as compartidas puede dejar los sistemas expuestos a la explotaci\u00f3n mucho despu\u00e9s de que el empleado se haya ido.<\/p>\n\n El ransomware y otros tipos de malware se aprovechan del software sin parches. Muchas organizaciones siguen utilizando software RDP anticuado, clientes VPN u otros sistemas de acceso remoto, que son objetivos conocidos de los ciberdelincuentes. Las vulnerabilidades de estos sistemas:<\/p>\n\n Muchos proveedores de software publican regularmente parches para corregir estas vulnerabilidades, pero no aplicar las actualizaciones deja los sistemas expuestos. El software, los complementos o las extensiones de terceros que no est\u00e9n actualizados o sean inseguros tambi\u00e9n pueden proporcionar puntos de entrada involuntarios.<\/p>\n\n Los dispositivos personales, los no gestionados por el departamento inform\u00e1tico de la organizaci\u00f3n, suponen un riesgo importante cuando se utilizan para el trabajo. Los empleados pueden conectarse desde:<\/p>\n\n Estos dispositivos tambi\u00e9n pueden carecer de actualizaciones peri\u00f3dicas de seguridad, dejando a las organizaciones vulnerables a ataques de malware y ransomware. Los dispositivos personales suelen carecer del mismo nivel de control, supervisi\u00f3n o autenticaci\u00f3n que los dispositivos gestionados por la empresa, lo que los hace vulnerables a accesos no autorizados.<\/p>\n\n Muchas organizaciones se enfrentan al reto de parchear y actualizar los sistemas, sobre todo cuando se trata de infraestructuras heredadas o recursos inform\u00e1ticos limitados. Los sistemas sin parches son objetivos f\u00e1ciles para los ciberdelincuentes, que escanean activamente las redes en busca de vulnerabilidades. Cuando los parches se retrasan o se omiten:<\/p>\n\n En el caso del RDP, los atacantes suelen utilizar ataques de fuerza bruta contra servicios vulnerables o sin parches para obtener acceso.<\/p>\n\n Las copias de seguridad son cruciales para la recuperaci\u00f3n en caso de ciberataque, pero las copias de seguridad no seguras tambi\u00e9n pueden ser un objetivo. Los atacantes suelen buscar copias de seguridad en la nube expuestas o datos sin cifrar, utiliz\u00e1ndolos como puntos de ataque secundarios. Sin fuertes controles de acceso y cifrado, estas copias de seguridad pueden convertirse en un punto de entrada f\u00e1cil para el robo de datos o el ransomware.<\/p>\n\n Descuidar las actualizaciones peri\u00f3dicas de los dispositivos y las comprobaciones de seguridad puede aumentar el riesgo de infecciones por malware y ransomware. Con el tiempo, los dispositivos acumulan vulnerabilidades, que:<\/p>\n\n La higiene peri\u00f3dica de los dispositivos y la actualizaci\u00f3n del software de seguridad son esenciales para reducir el riesgo de fallos de seguridad.<\/p>\n\n El phishing sigue siendo uno de los m\u00e9todos m\u00e1s frecuentes para obtener acceso no autorizado. Los ciberdelincuentes env\u00edan:<\/p>\n\n Los atacantes utilizan ahora t\u00e1cticas avanzadas, incluido el aprendizaje autom\u00e1tico, para elaborar mensajes de phishing personalizados y suplantaci\u00f3n de dominios para que sus ataques sean m\u00e1s cre\u00edbles. Una vez robadas las credenciales, pueden utilizarse f\u00e1cilmente para acceder a sistemas de acceso remoto como RDP, VPN o servicios en la nube.<\/p>\n\n Hace tiempo que se sabe que un porcentaje significativo de los ataques de ransomware, independientemente de la variante, comienzan con phishing o con intrusiones basadas en escritorio remoto.<\/p>\n\n El phishing, que mencionamos en la secci\u00f3n anterior, es un punto de entrada obvio: cuando tiene \u00e9xito, entrega a los atacantes una sesi\u00f3n de punto final y credenciales de usuario v\u00e1lidas. Pero los ataques a escritorios remotos (incluidos los realizados a trav\u00e9s de herramientas comerciales de acceso remoto) ofrecen el mismo resultado.<\/p>\n\n Tanto si los atacantes utilizan intentos de fuerza bruta -probando miles de contrase\u00f1as- como si utilizan credenciales robadas, compradas o obtenidas de filtraciones anteriores, los ataques basados en RDP siguen siendo igual de eficaces y, por tanto, se sit\u00faan codo con codo con el phishing como principal vector de ataque inicial.<\/p>\n\n Un ejemplo bien documentado es MedusaLocker, una variante de ransomware identificada por primera vez en 2019 que ha resurgido lo suficiente como para provocar un Aviso Conjunto de Ciberseguridad<\/a> por parte de las agencias gubernamentales. Los operadores de MedusaLocker se centran principalmente en conexiones RDP expuestas<\/a>, a veces publicadas intencionadamente por conveniencia, otras veces dejadas abiertas accidentalmente. Tras obtener acceso, despliegan el ransomware, cifran los datos cr\u00edticos y exigen el pago.<\/p>\n\n Otro caso de gran impacto, documentado por investigadores de Sophos, revel\u00f3 c\u00f3mo un grupo que utilizaba el ransomware LockBit se infiltr\u00f3 en una red del gobierno estadounidense a trav\u00e9s de RDP<\/a>. Sorprendentemente, los atacantes realizaron una exploraci\u00f3n lateral por la red durante cinco meses sin ser detectados antes de iniciar el despliegue del ransomware.<\/p>\n\n Ahora que ya sabe c\u00f3mo explotan los atacantes las vulnerabilidades de acceso remoto para obtener acceso, vamos a hablar de c\u00f3mo escalan y se mueven lateralmente utilizando el acceso remoto:<\/p>\n\n Una vez que los atacantes obtienen acceso local, la siguiente fase l\u00f3gica, seg\u00fan el Marco ATT&CK de MITRE, es el movimiento lateral. Durante esta fase se suele abusar de los mecanismos de acceso remoto (especialmente RDP interno).<\/p>\n\n Datos recientes de la empresa de respuesta a incidentes de ransomware<\/a> Coveware muestran que el movimiento lateral se produce en aproximadamente el 70% de los ataques de ransomware. Sus analistas se\u00f1alan que esta fase \u00abconsiste principalmente en abusar del Escritorio Remoto (RDP) interno tras el acceso inicial\u00bb.<\/p>\n\n Al moverse lateralmente, los atacantes escalan permisos, acceden a puntos finales adicionales, localizan datos sensibles y posicionan el ransomware para conseguir el m\u00e1ximo impacto.<\/p>\n\n Dado que los actores de las amenazas abusan constantemente del acceso remoto con fines maliciosos, los responsables de TI y seguridad deben tomar medidas decisivas para reducir el riesgo. A continuaci\u00f3n se exponen las acciones m\u00e1s impactantes que pueden emprender las organizaciones para evitar el uso indebido:<\/p>\n\n Con frecuencia, los atacantes utilizan la fuerza bruta para robar credenciales en ordenadores de sobremesa y servidores expuestos a la Internet p\u00fablica. Ni siquiera la reciente actualizaci\u00f3n de Windows 11 de Microsoft<\/a>, que bloquea autom\u00e1ticamente los intentos de fuerza bruta RDP, puede mitigar totalmente la amenaza, especialmente cuando los atacantes tienen a mano un conjunto de credenciales robadas.<\/p>\n\n Con un 59% de organizaciones<\/a> que experimentan campa\u00f1as basadas en el phishing centradas en el robo de credenciales, junto con la presencia de servicios de la Dark Web dedicados a la venta de credenciales<\/a>, deber\u00eda ser evidente que muchos atacantes ya no conf\u00edan en la fuerza bruta para obtener acceso.<\/p>\n\n Siempre que sea factible, elimine el RDP accesible desde el exterior y otras rutas de acceso remoto a nivel de escritorio.<\/p>\n\n Para el acceso al escritorio remoto, tanto externo como interno, Microsoft ha tomado medidas para garantizar que sus servicios RDP sean lo m\u00e1s seguros posible. Pero sigue existiendo un doble problema:<\/p>\n\n Cambiar a soluciones de acceso remoto seguras y modernas con controles granulares puede reducir significativamente su superficie de riesgo.<\/p>\n\n La autenticaci\u00f3n multifactor (MFA) sigue siendo una de las defensas m\u00e1s eficaces contra el uso indebido del acceso remoto. Exigir un segundo factor, como tarjetas inteligentes, certificados, aplicaciones autenticadoras o llaves de hardware, hace que las contrase\u00f1as robadas sean efectivamente in\u00fatiles y evita el acceso no autorizado incluso cuando las credenciales est\u00e1n comprometidas.<\/p>\n\n Actualizar y parchear regularmente todas las herramientas y el software de acceso remoto es crucial para mantener a raya a los atacantes. Los sistemas sin parches son un objetivo prioritario para los ciberdelincuentes, por lo que estar al d\u00eda de las actualizaciones es esencial para proteger su red.<\/p>\n\n Invierta en formaci\u00f3n sobre ciberseguridad para concienciar sobre los riesgos asociados al acceso remoto. Formar a su plantilla sobre los peligros del phishing y la gesti\u00f3n de contrase\u00f1as ayudar\u00e1 a reducir la probabilidad de robo de credenciales y accesos no autorizados.<\/p>\n\nFalta de informaci\u00f3n y visibilidad<\/h3>\n\n
\n
Compartir contrase\u00f1as y credenciales d\u00e9biles<\/h3>\n\n
Software inseguro o anticuado<\/h3>\n\n
\n
Uso de dispositivos personales para el trabajo a distancia<\/h3>\n\n
\n
Gesti\u00f3n inadecuada de los parches<\/h3>\n\n
\n
Copias de seguridad vulnerables<\/h3>\n\n
Mala higiene de los dispositivos<\/h3>\n\n
\n
Ataques de phishing<\/h3>\n\n
\n
C\u00f3mo aprovechan los atacantes las vulnerabilidades de acceso remoto para obtener acceso<\/h2>\n\n
Ejemplos reales de explotaci\u00f3n del RDP<\/h4>\n\n
C\u00f3mo los atacantes escalan y se mueven lateralmente utilizando el acceso remoto<\/h3>\n\n
Estrategias eficaces para evitar el uso indebido del Acceso remoto en los ataques de ransomware<\/h2>\n\n
Desactivar el acceso remoto desde el exterior<\/h3>\n\n
Considere dejar de usar RDP<\/h3>\n\n
\n
Activar la autenticaci\u00f3n segura<\/h3>\n\n
Actualiza y parchea regularmente el software<\/h3>\n\n
Educar y formar a los empleados<\/h3>\n\n