2021: más de 51.000 millones de ataques vía escritorio remoto
Siento no haberme quedado con la fuente, pero leyendo las noticias estos días, me quedé con un dato que me llamó mucho la atención, y es que durante el 2021 se estima que se realizaron más de 51.000 millones de ataques utilizando el escritorio remoto. Muchos me parecen, pero aunque fuesen la mitad de la mitad, aún sigue siendo una cifra sorprendentemente grande.
No voy a entrar a valorar la veracidad del dato (porque como os digo, cometí el error de no anotar la fuente), pero lo que sí está más que claro, es que los ataques vía escritorio remoto son una realidad muy preocupante. Y más preocupante aún, es que la cifra podría ser perfectamente cierta (no la vamos a cuestionar gratuitamente ni mucho menos), porque la realidad nos dice que el caldo de cultivo para que esos ataques se produzcan está presente en la mayoría de las organizaciones.
Con la salida apresurada hacia el teletrabajo, y la instauración definitiva de métodos de trabajo híbridos, la realidad evidencia que se han tomado decisiones “fáciles” para permitir el acceso remoto a los equipos, muchas veces, habilitando sin más el escritorio remoto de Windows. Si el operativo lo ofrece, para qué complicarnos más la vida, ¿no? Lo que pasa es que, abrir esa puerta para usos adecuados, también la abre para visitantes inesperados. Es como si te vas de vacaciones, y dejas la puerta abierta de tu casa para que el vecino pueda entrar a cuidar al gato: el vecino podrá entrar, pero también cualquier otro (y cerrar la puerta con llave pero dejar la llave bajo el felpudo tampoco vale).
Acceso remoto sí, pero con seguridad para prevenir ataques
Cuando tengamos que habilitar estos métodos de acceso remoto, hagámoslo, faltaría más, pero hagámoslo sólo cuando sea realmente necesario, y poniendo las medidas de seguridad oportunas. En este sentido, si me permitís alguna reflexión / recomendación al respeto, yo me haría las siguientes preguntas:
- ¿Qué equipos de la organización tienen habilitado el escritorio remoto? Y todos esos equipos, ¿es realmente necesario que lo tengan habilitado?
- ¿Es el escritorio remoto la mejor solución, o contamos con otras herramientas de acceso remoto más adecuadas? Incluso es posible que algún equipo tenga desplegada más de una al mismo tiempo…
- ¿Tienen todos los equipos con acceso remoto remoto habilitado el firewall y antivirus?
- ¿Y tienen todos esos equipos aplicados todos los parches de seguridad?
Una vez tengamos claro los equipos que requieren el acceso remoto y nos hayamos decantado por la solución más adecuada, el trabajo no termina ahí, ya que deberíamos monitorizar y gestionar los accesos y estado de seguridad del equipo:
- ¿Quién está accediendo al equipo? ¿Podemos tener un histórico de logins y/o accesos remotos al equipo?
- ¿Sigue estando el equipo correctamente protegido y actualizado, o lleva meses sin que se le apliquen los parches de seguridad?
Recordar que la ciberseguridad no es un estado, es un camino, y tendremos que preocuparnos de ella constantemente, no solo de manera puntual.
Lo dicho: analizar la necesidad, tomar la mejor decisión, y monitorizar el uso y estado de vuestra infraestructura, no vayáis a ser un +1 en los 51.000 millones de ataques debido al escritorio remoto.
Espero que lo disfrutéis, un saludo
Alejandro Castro, director técnico de Proactivanet
¿Seguridad dispar? ¡Riesgo asegurado!
Proactivanet en 18ENISE: Ciberseguridad y conexiones en un evento de récord
