El ataque RDP, de solución avanzada a pesadilla de vector de ataque

Cuando las empresas se pasaron al trabajo remoto al comienzo de la pandemia de coronavirus, tuvieron la suerte de poder recurrir a una vieja solución para mantener alta la productividad: el Protocolo de Escritorio Remoto (RDP). 

Microsoft lanzó el protocolo en 1998, pero no fue hasta la pandemia cuando muchas empresas se dieron cuenta de su utilidad. Naturalmente, el número de equipos con RDP expuestos a Internet y en riesgo de sufrir posibles ataques, creció aproximadamente un 35% hasta los 4,7 millones en el primer trimestre de 2020, sin signos de desaceleración, según datos de Reposify, especialista en gestión de superficies de ataque externas.

Desafortunadamente, el protocolo RDP ha demostrado ser igual de popular entre los ciberdelincuentes. En Estados Unidos, el promedio de intentos de ataques de fuerza bruta contra RDP se multiplicó por siete, pasando de unos 200.000 al día en enero de 2020 a 1,4 millones en abril de 2020, mientras que estos ataques se multiplicaron por tres o por cuatro a nivel mundial, según el proveedor líder de software antivirus Kaspersky.

¿Qué es RDP y cómo lo utilizan las organizaciones? 

El Protocolo de Escritorio Remoto es un protocolo integrado en Microsoft Windows que permite a un usuario conectarse a otro ordenador a través de una conexión de red. El usuario ejecuta el software cliente RDP, mientras que el otro ordenador debe ejecutar el software servidor RDP. La conexión RDP presenta la interfaz gráfica del sistema remoto en el dispositivo del usuario, como si se estuviera accediendo a él localmente. 

Originalmente, las conexiones RDP se utilizaban principalmente para ofrecer asistencia técnica remota. Sin embargo, como hemos comentado, RDP ha crecido en popularidad como una forma de permitir a la gente conectarse remotamente a su propio ordenador de trabajo. Una vez que se ha establecido el acceso remoto a un dispositivo, el usuario puede utilizar todas las herramientas y aplicaciones instaladas en ese dispositivo, así como copiar, añadir o eliminar contenido según le convenga. Dejando a un lado la distancia física, es como si realmente estuviera sentado frente al dispositivo original. 

Existen numerosas alternativas al Protocolo de Escritorio Remoto basadas en la nube, como SolarWinds Dameware, TeamViewer, AnyDesk y Zoho Assist. Muchas organizaciones también utilizan redes privadas virtuales, o VPN, en lugar del Protocolo de Escritorio Remoto. Sin embargo, la comodidad de tener una solución integrada ha hecho que muchas empresas utilicen por defecto el RDP de Windows, lo que las hace extremadamente vulnerables a los ataques. 

Los ataques RDP aumentan y se agravan 

Ya en 2018, el Centro de Denuncias de Delitos en Internet del FBI y el Departamento de Seguridad Nacional publicaron una alerta conjunta sobre la amenaza de los ciberdelincuentes que utilizan maliciosamente herramientas de administración remota, y nombraron el Protocolo de Escritorio Remoto como la principal área de preocupación.

En su alerta, las agencias señalaron que los actores de amenazas identifican y aprovechan las sesiones RDP vulnerables para facilitar el robo de credenciales y la infección por ransomware. Señalaron cuatro vulnerabilidades principales: 

  1. Contraseñas débiles; 
  2. Versiones obsoletas de RDP que utilizan el imperfecto mecanismo de cifrado CredSSP, lo que permite un posible ataque de intermediario; 
  3. Permitir el acceso sin restricciones al puerto RDP por defecto (TCP 3389); y 
  4. Permitir un número ilimitado de intentos de acceso a una cuenta de usuario. 

Los atacantes de fuerza bruta suelen actuar cuando existe una gran superficie de ataque. El aumento del número de equipos con RDP expuestos a Internet durante la pandemia, les ha proporcionado una superficie de ataque especialmente grande; de ahí el aumento de los ataques.  

En pleno auge del trabajo remoto, algunos ciberdelincuentes incluso han actualizado su malware con el propósito expreso de atacar a los usuarios del Protocolo de Escritorio Remoto. Por ejemplo, el troyano TrickBot ha añadido recientemente un nuevo módulo llamado rdpScanDll especialmente diseñado para atacar cuentas RDP por fuerza bruta. TrickBot surgió en 2016 como un software espía para la captura de credenciales enfocado principalmente en la banca online. Pero según el proveedor de software de ciberseguridad Bitdefender, el nuevo módulo rdpScanDll realiza ataques de fuerza bruta a RDP sobre una lista específica de objetivos definidos y enviados por los atacantes, centrándose principalmente en los sectores de las telecomunicaciones, la educación y los servicios financieros en Estados Unidos y Hong Kong. El módulo parece estar aún en desarrollo y puede servir de inspiración a otros actores maliciosos que quieran atacar a usuarios de RDP.

Cómo proteger a su organización de los ataques contra RDP 

Como en la mayoría de las áreas de riesgo cibernético, es sorprendentemente sencillo establecer una protección básica para su organización.

He aquí 4 pasos para empezar: 

  1. Deshabilite las conexiones RDP. Si los miembros de su organización necesitan conectarse remotamente a su dispositivo, es preferible configurar un Remote Desktop Gateway(RDG). Esto garantiza que el acceso remoto solo esté disponible a través de una conexión de escritorio remoto punto a punto utilizando el protocolo SSL. 
  2. Bloquee el puerto 3389. Los actores maliciosos escanean habitualmente Internet en busca del puerto 3389, que es el puerto RDP por defecto. Este puerto puede bloquearse con un firewall. 
  3. Utilice contraseñas fuertes. Dado que la fuerza bruta es la forma más común de hackear un RDP, utilice siempre contraseñas complejas, especialmente en las cuentas de administrador.  
  4. Utilice autenticación multifactor. Incluso con contraseñas fuertes, las credenciales de inicio de sesión pueden ser robadas. La autenticación multifactor añade una capa adicional de protección y una mayor tranquilidad. 
  5. Tenga siempre copias de seguridad. Ninguna organización es 100% inmune a los ataques, ya sea a través de RDP u otros medios. Así que tenga siempre copias de seguridad almacenadas de forma segura. 

Conclusión 

El primer paso para hacer frente al vector de amenazas RDP es entender cómo aprovechar las capacidades de escritorio remoto en su beneficio, en lugar de que se vuelvan en su contra. Como siempre, el uso de un SOC (centro de operaciones de seguridad) gestionado le ofrece protección para toda su infraestructura crítica y una respuesta rápida ante incidentes en caso de ataque, incluidos los ataques RDP. 

Regístrese para obtener actualizaciones