El auge del trabajo remoto, las tecnologías en la nube y la descentralización permiten a las empresas una flexibilidad nunca vista hasta ahora.

Entre las herramientas más utilizadas está el RDP, el escritorio remoto o RDP permite una conexión segura entre el servidor y el terminal del cliente. Este sistema es el que más utilizan las empresas para dar acceso a escritorios virtuales, documentos y aplicaciones de forma remota.

Hoy día, abrir un equipo a Internet para que reciba conexiones acarrea un alto nivel de riesgo. Hacerlo además sin buenas medidas de seguridad o sin un sistema de monitorización puede convertir este equipo en una víctima de los piratas informáticos. Lamentablemente muchas compañías ignoran las recomendaciones de seguridad quedando, ellas mismas, expuestas ante el peligro.

En este artículo te mostraremos exactamente cómo trabajan los ataques a RDP (escritorio remoto o terminal server), y qué puedes hacer para proteger a tu compañía de este tipo de ciberataque. Te recomendamos que sigas leyendo para evitar ser una de las próximas víctimas.

¿Qué es un ataque de fuerzas bruta a RDP?

Imagina a un ladrón que tiene en sus manos un manojo de llaves con cientos de miles de llaves en él. Este criminal usa las llaves, una detrás de otra para intentar abrir tu puerta principal. Mientras mejor es tu cerradura, más tardará en conseguir entrar, pero tarde o temprano es muy probable que finalmente dé con la llave correcta y consiga entrar.

Una vez adentro podrá hacer lo que realmente le plazca: deshabilitará tus alarmas, robará tus joyas más preciosas, vandalizará tu hogar, cambiará tus cerraduras y te pedirá dinero a cambio de tener las nuevas llaves. Estas son las razones básicas de un ataque a RDP.

En un ataque de fuerza bruta a RDP, los hackers usan un escáner masivo (con este escáner pueden revisar todo el Internet en tan solo seis minutos) para identificar los rangos de ordenadores que tienen la conexión activada por Escritorio Remoto. Después de encontrar un ordenador accesible, los criminales utilizan herramientas de fuerza bruta para (normalmente como administradores) tratar de acceder a la máquina, una y otra y otra vez, usando innumerables combinaciones de nombres de usuarios y contraseñas. Durante el tiempo del ataque, el rendimiento del servidor puede evidenciar los ataques consumiendo muchos recursos del sistema.

Después de horas, días o tal vez semanas de ensayo y error, los hackers eventualmente tendrán un usuario y contraseña que les garantiza la entrada al servidor. Una vez la tengan, el daño potencial puede ser catastrófico.

¿Por qué desean los hackers lanzar un ataque de fuerza bruta a RDP?

Una vez que un atacante ha accedido vía escritorio remoto, puede hacer casi cualquier cosa, desde deshabilitar el antivirus que tenga el servidor, instalar malware, robar datos de la compañía, encriptar datos y pedir dinero por su rescate, y muchas cosas más.

Como puedes imaginar estos ataques pueden tener serias repercusiones en la reputación, finanzas, y las operaciones de una compañía. Antiguamente los delincuentes sólo querían crear caos, pero hoy día tienen unos objetivos mucho más preocupantes para las empresas.

Ransomware
Este es el principal motivo para los ataques a pequeñas empresas hoy día.

Después de entrar al servidor, los piratas informáticos cifran los documentos del sistema y exigen dinero a las víctimas por su rescate. Tal como hemos explicado, todo este proceso es automatizado y por lo tanto es capaz de encontrar todos los datos importantes para el usuario y la empresa. Si además, la infección se tarda en descubrir, el daño puede propagarse y atacar otros ordenadores conectados a la misma red.

Keylogging
Si los criminales desean ser más sutiles, usarán el ataque a REDP para instalar a escondidas un registrador de teclas o keylogger. Este programa es una pequeña pieza de malware que funciona en segundo plano y registra cada tecla que presionas sin tu conocimiento. Ellos pueden usar esta herramienta para recoger información privada, como información de tu tarjeta de crédito, contraseñas de tus correos y servicios, y datos sensitivos de tu empresa que podría vender a la competencia, y mucho más.

Notoriedad
Algunos ataques a RDP no tienen un propósito claro, sólo la destrucción. Los criminales en este caso simplemente están aburridos, o quieren buscar notoriedad en su comunidad y entre sus iguales, y se infiltran en el sistema de tu compañía como un reto. En este escenario, el hacker pensará en tomar archivos personales, borrará datos, o usará el servidor de tu compañía para distribuir malware a tus clientes.

Hacia el final de 2016, los hackers usaron ataques a RDP para saltar los sistemas y activar un malware imposible de detectar conocido como Trojan.sysscan. Este troyano buscó en la máquina infectada cookies relacionadas con bancos, juegos, sitios de Internet de pagos de impuestos, y puntos de venta, de los cuales extraía los nombres de usuario y contraseñas, dotando a los criminales de cantidad importante de identidades robadas, y una gran cantidad de dinero.

Independientemente de las razones que mueven al criminal, no se puede negar que un ataque a RDP puede tener consecuencias importantes para empresas de cualquier tamaño.

¿Cómo puedes proteger tu negocio ante un ataque de fuerza bruta a RDP?
La clave para combatir los ataques a RDP es mantenerse proactivo. Como se señaló, una vez que un pirata informático ha ingresado al sistema de tu empresa, no hay límite para el caos que pueden crear. Teniendo esto en cuenta, debes centrarte principalmente en prevenir el acceso inicial minimizando los riesgos de seguridad del escritorio remoto. Esto se puede lograr de varias maneras:

1.– Un nombre de usuario y contraseña robusta
Una forma simple y efectiva de evitar ser víctima de un ataque de fuerza bruta a RDP es cambiando los detalles de tu acceso al sistema. Para hacer doblemente difícil la tarea del hacker es importante cambiar el nombre de acceso del que viene por defecto, en especial si se trata de “administrador” o sus versiones simples como: “admin, administrator”. Tu equipo de soporte deberá ayudarte, en especial porque deberás deshabilitar la cuenta de administrador existente antes de configurar una nueva.

Además, también querrás asegurarte de que tu contraseña esté actualizada. Tu contraseña debe ser larga (8 caracteres mínimo), única, compleja y debe contener números, símbolos y letras mayúsculas y minúsculas. Piensa que los buenos hackers además saben mucho de lógica, y utilizarán en sus herramientas de fuerza datos que consigan en Internet, como fechas de nacimiento, nombres de hijos, etc…

2.– Establecer restricciones para el acceso remoto
Para reducir aún más el riesgo de un ataque, establece un límite en el número de personas que pueden iniciar sesión utilizando el RDP. Si bien todos los que tienen acceso de nivel de «Administrador» pueden iniciar sesión en escritorio remoto de forma predeterminada, es probable que haya muy pocos usuarios en su red que realmente necesiten estos privilegios para hacer su trabajo. Restringe el acceso a RDP solo a aquellos que realmente lo requieren para minimizar el riesgo de un agujero de seguridad.

3.- Políticas de bloqueo de cuenta
Como ya vimos, un ataque de fuerza bruta a RDP requiere de cientos, miles y a veces millones de intentos de acceso. Tu puedes mitigar los ataques si configuras una política muy simple de bloqueo de usuario cuando se producen un cierto números de intentos fallidos de inicio de sesión.

4. Utilice una puerta de enlace para escritorio remoto (RD Gateway) o conexión VPN
Una puerta de enlace a RDP proporciona un mayor control de la red al eliminar el acceso de los usuarios remotos a todos los recursos de la red interna, y reemplazarlo con una conexión RDP punto a punto. Esto le permite determinar quién puede conectarse, a qué recursos pueden acceder, qué tipo de autenticación requieren los clientes para usar, y más.
Otra forma de añadir otra capa de seguridad es incluyendo un firewall que obligue a los usuarios remotos a establecer una conexión previa a través de VPN. Esto evita exponer el servidor RDP directamente a Internet. En este caso, debemos estar seguros que monitorizamos también el servidor de VPN para evitar que un atacante también vulnere la seguridad de este sistema.

Una alternativa derivada de las anteriores es usar un software que bloquee la conexión a un equipo que falla la conexión remota un número de veces. Esto sería similar a lo que hace el cajero automático (ATM) con nuestra tarjeta de crédito si fallamos la entrada del PIN: nos bloquea la tarjeta. En nuestra experiencia, este es un sistema muy efectivo para mejorar la seguridad de los equipos expuestos por Escritorio Remoto.

5. Cambiar el puerto RDP
Al escanear Internet, los hackers a menudo buscan conexiones que usan el puerto RDP predeterminado (TCP 3389). En teoría, lo que te proponemos es esencialmente «ocultar» la conexión RDP cambiando el puerto, volviéndose invisible a los ojos del escáner del hacker.

Pero tenemos que reconocer que esta medida es poco eficaz puesto que muchos escáneres modernos verifican automáticamente todos los puertos para las conexiones RDP, no solo TCP 3389. Sin embargo, algunos usuarios pueden encontrar este enfoque útil para prevenir ataques RDP.

6 Sistema de Autenticación de doble factor

Hoy día una alternativa a la alza es establecer sistemas que hagan doble verificación de credenciales. Similar a los mecanismos que usan los bancos para verificar las transacciones electrónicas, podemos usar un móvil, un mensaje SMS o una tarjeta de claves para, una vez introducido el usuario y contraseña, el sistema nos verifique con una tercera clave que cambiará cada vez que queramos conectar. Pensamos que este es un sistema muy seguro.

La prevención es la mejor cura

Las medidas preventivas son especialmente importantes en este caso. También lo es confiar en profesionales proactivos que administren la seguridad de tus recursos informáticos y mantengan a salvo tus sistemas.

En simtec trabajamos con esta tecnología, y conocemos muy bien su desarrollo de forma segura, quieres saber más, infórmate aquí

Fuente para este post: https://blog.emsisoft.com/en/28622/rdp-brute-force-attack/