Hoy en día, con la exagerada cifra de ataques provenientes de Internet, todavía hay empresas que tienen un servidor de escritorio remoto abierto a conexiones de cualquier punto de internet, para que sus trabajadores se conecten al mismo, sin mayores medidas de protección que un simple nombre de usuario y contraseña.
¿Por qué es una mala idea?
- Para empezar, porque solo aplicamos una medida de seguridad en un entorno altamente hostil. De acuerdo con una investigación de Sophos, en menos de minuto y medio tras poner en marcha un servidor RDP se pueden empezar a recibir intentos de inicio de sesión maliciosos.
- Las recientes vulnerabilidades descubiertas en estos servicios, si no son parcheadas, permitirían que un atacante pueda ejecutar código malicioso en un servidor sin tener el usuario y contraseña.
- Los ataques de fuerza bruta se suceden constantemente: Intentan averiguar el usuario, probando con nombres de usuario típicos (administrator, admin, ssm-user, user, etc…) y la contraseña probando miles de combinaciones. De acuerdo con la investigación ya citada de Sophos, solamente durante un periodo de 30 días y en 10 dispositivos, se registraron 4,3 millones de intentos de inicio de sesión.
- Filtrado de información en la pantalla de inicio de sesión: A veces las pantallas de inicio de sesión ya nos muestran nombres de usuario e incluso fotos de este que pueden dar pie a ataques de ingeniería social u otros.
¿Qué puedo hacer?
La respuesta es clara: No tener el servidor de escritorio remoto abierto a cualquier conexión procedente de Internet ya que supone un riesgo demasiado alto en ciberseguridad. En caso de no ser necesario se puede deshabilitar y si es estrictamente necesario, tienen que tomarse todas las medidas de seguridad posibles para evitar incidentes.
¿Qué podría pasar?
Para que nos hagamos una idea tangible de lo que nos podría suponer: Nos vamos al terminar la jornada laboral el viernes, y al llegar el lunes no se puede trabajar con nada. Los servidores han sido encriptados con un ransomware, los archivos con información vital se han perdido, y según se van encendiendo los ordenadores de los empleados, se van infectando.
¿Qué medidas de seguridad puedo considerar?
- Realizar conexiones seguras y encriptadas mediante VPN.
- Habilitar la autenticación a nivel de red (NLA).
- Utilizar nombres de usuario que no sean comunes y contraseñas largas y complejas.
- Aceptar solo conexiones procedentes de direcciones IP autorizadas.
- Aplicar una política de seguridad que bloquee una cuenta de usuario un tiempo determinado tras un número determinado de intentos de inicio de sesión fallidos.
- Asegurarse de que se parchea la vulnerabilidad CVE-2019-0708.
- Utilizar otro puerto para las conexiones RDP y bloquear el puerto TCP 3389 en el firewall de la red perimetral.
- Instalar las últimas actualizaciones de seguridad disponibles.
- Disponer de un sistema de gestión de actualizaciones automáticas centralizado como WSUS.
- Utilizar sistemas operativos actualizados (Windows 7 y Windows Server 2008 R2 dejaran de tener soporte el 14 de enero de 2020).
- Tener un buen antivirus de pago actualizado en servidores y equipos
- Utilizar sistemas con doble factor de autenticación.
- Monitorizar los sistemas regularmente.
¿Tienes escritorios remotos desprotegidos? ¿Quieres asesoramiento profesional?
Desde nearCrumbs te aconsejamos que contactes con especialistas en sistemas y ciberseguridad para recibir asesoramiento sobre cómo protegerte y qué medidas son más convenientes para ti. Si necesitas ayuda, no dudes en contactar con nosotros: