SANS Institute identifica un incremento del 30% en el interés de ataques a servidores de Protocolo de Escritorio Remoto (RDP)

SANS Institute, compañía líder en formación y certificaciones de seguridad, ha identificado un incremento del 30% de interés en ataques a servidores de Protocolo de Escritorio Remoto (RDP) durante el mes de marzo de 2020. Este aumento coincide con el momento en el que hay más servidores RDP expuestos, según Shodan, el motor de búsqueda que permite a los usuarios localizar en Internet los dispositivos conectados.

Estos datos del mes de marzo son preocupantes, ya que es justo ahora cuando se está produciendo un aumento masivo en el número de empresas que necesita cerrar sus oficinas y permitir a sus empleados trabajar desde casa para cumplir con las restricciones de distanciamiento social impuestas por la rápida difusión del COVID-19. El problema es que, para permitir a los empleados trabajar en remoto de forma rápida y barata, algunas empresas han implementado el RDP y esto puede exponer los sistemas confidenciales del negocio y hacerlos públicos en internet.

"El número de direcciones IP fuente que los atacantes utilizaron para escanear Internet en busca de servidores RDP aumentó alrededor de un 30% en marzo, desde las 2.600 hasta alrededor de 3.540 cada día. El RDP no es un protocolo lo suficientemente robusto como para estar expuesto a Internet. En consecuencia, estamos viendo a los atacantes comerciar activamente con credenciales débiles que han identificado para estos servidores RDP. Y un servidor RDP comprometido puede comprometer todo el sistema y será probablemente utilizado para atacar a otros sistemas adicionales de la red", señala el Dr. Johannes Ullrich, decano de Investigación en el SANS Technology Institute.

El Protocolo de Escritorio Remoto (RDP) es un protocolo desarrollado por Microsoft, que proporciona a los usuarios una interfaz gráfica para conectarse a otro ordenador a través de una conexión de red. Es una forma barata y sencilla que permite a los empleados trabajar en remoto. El usuario emplea un software cliente RDP para este propósito, mientras que el otro ordenador debe ejecutar un software servidor RDP.

Para las empresas que han implementado un RDP, Ullrich aconseja: "Usar contraseñas únicas, largas y aleatorias para asegurar sus servidores RDP y, si es posible, proporcionar solo acceso a través de una VPN”. Microsoft también ofrece el servicio RDP Gateway, que puede ser utilizado para implementar políticas de autenticación fuertes. También se puede intentar limitar el acceso a RDP desde direcciones IP específicas si no puede implementar una VPN en este momento, pero esto puede resultar difícil si sus administradores están trabajando actualmente desde casa con direcciones IP dinámicas.

"Otra opción es utilizar un servidor en la nube como punto de partida", añade Ullrich. "Poner en la lista blanca el servidor en la nube y utilizar protocolos seguros como SSH para conectarse. Esta técnica puede funcionar como solución rápida para aquellos que no quieren arriesgarse a estar inactivos mientras todo el mundo está trabajando de forma remota. Muchas organizaciones no están dispuestas actualmente a arriesgarse a perder el acceso a los sistemas críticos de negocio. La modificación de las reglas de acceso remoto y de los cortafuegos puede conducir a una pérdida de acceso que, en algunos casos, sólo puede ser restaurada por el personal in situ".

A sabiendas de que el coronavirus ha obligado a muchas organizaciones de todo el mundo a pasarse al teletrabajo, y que muchas organizaciones carecen de las políticas, los recursos o la formación necesarios para que su personal pueda hacerlo de forma segura, SANS publicó el 16 de marzo el kit de seguridad gratuito “Securely Working from Home”. Este kit gratuito proporciona a las organizaciones una guía paso a paso sobre cómo desplegar rápidamente un programa de formación para el personal que trabaja en remoto. El kit incluye todos los materiales y recursos necesarios para teletrabajar de forma segura.