Protocolo de Escritorio Remoto (RDP) Expuesto
Sophos ha lanzado un nuevo estudio, “El RDP Expuesto: La Amenaza Que Ya Está En Tu Puerta”, que desvela cómo los cibercriminales están intentando atacar a las empresas de forma constante mediante el uso del protocolo de escritorio remoto (RDP).
¿Qué significan las siglas RDP?
Remote Desktop Protocol (RDP) o protocolo de escritorio remoto, es un protocolo propietario que permite la comunicación en la ejecución de una aplicación entre una terminal (mostrando la información procesada que recibe del servidor) y un servidor (recibiendo la información dada por el usuario en el terminal mediante el ratón o el teclado).
El modo de funcionamiento del protocolo es sencillo. La información gráfica que genera el servidor es convertida a un formato propio RDP y enviada a través de la red al terminal, que interpretará la información contenida en el paquete del protocolo para reconstruir la imagen a mostrar en la pantalla del terminal. En cuanto a la introducción de órdenes en el terminal por parte del usuario, las teclas que pulse el usuario en el teclado del terminal así como los movimientos y pulsaciones de ratón son redirigidos al servidor, permitiendo el protocolo un cifrado de los mismos por motivos de seguridad. El protocolo también permite que toda la información que intercambien cliente y servidor sea comprimida para un mejor rendimiento en las redes menos veloces.
Este servicio utiliza por defecto el puerto TCP 3389 en el servidor para recibir las peticiones.
RDP Expuesto: la amenaza que ya está en tu puerta
Las conexiones remotas siguen siendo motivo de insomnio para los administradores de sistemas. A este respecto, Sophos ha estado informando sobre cómo los cibercriminales explotan el RDP desde 2011, y que, en el último año, los grupos de ciberdelincuentes que se encontraban detrás de dos de los mayores ataques de ransomware, como fueron Matrix y SamSam, han abandonado casi por completo el resto de métodos de acceso a las redes en favor del uso de conexiones remotas.
Los atacantes pueden encontrar dispositivos habilitados para RDP casi al mismo tiempo que estos dispositivos aparecen en Internet. Para demostrarlo, Sophos implementó diez honeypots o cebos dispersos geográficamente y de baja interacción para medir y cuantificar los riesgos que provienen en el caso de los RDP.
Los principales hallazgos de la investigación muestran que:
- Los 10 honeypots recibieron su primer intento de inicio de sesión de RDP en tan sólo un día.
- El Remote Desktop Protocol expone los ordenadores en tan solo 84 segundos.
- Los 10 honeypots de RDP registraron un total de 4.298.513 intentos fallidos de inicio de sesión durante un período de 30 días. Esto significa aproximadamente un intento cada seis segundos.
- En general, el sector cree que los cibercriminales están usando sitios como Shodan para buscar fuentes de RDP abiertas, sin embargo, la investigación de Sophos destaca cómo los cibercriminales tienen sus propias herramientas y técnicas para encontrar fuentes de RDP abiertas y no necesariamente confían solo en sitios de terceros para encontrar accesos.
Son tres los patrones principales para los ataques: el carnero (ram), el enjambre (swarm) y el erizo (hedgehog). El primero de ellos permite descubrir la contraseña de administrador. El segundo se concentra en nombres de usuario secuenciales y las peores credenciales. Por otro lado el tercero se basa en ráfagas de actividad seguidas de periodos de inactividad largos.
¿Qué pueden hacer las empresas para protegerse de los ataques?
Las empresas deben actuar en consecuencia para implementar el protocolo de seguridad adecuado para protegerse contra los atacantes implacables. La conclusión fundamental es que debemos garantizar que en la empresa se tengan en cuenta las mejores prácticas respecto del uso de contraseñas.
Lider IT ofrece un completo servicio de gestión de su seguridad – Seguridad Gestionada
Contacta con nosotros, nuestros más de 130 profesionales altamente cualificados están al servicio de tu empresa.