Incremento del 30 por ciento en el interés de ataques a servidores de Protocolo de Escritorio Remoto
Los datos indican que las empresas que han habilitado soluciones de trabajo remoto a través de RDP para cumplir con las restricciones de distanciamiento social impuestas por la difusión del COVID-19 están en riesgo.
SANS Institute, compañía líder en formación y certificaciones de seguridad, ha identificado un incremento del 30% de interés en ataques a servidores de Protocolo de Escritorio Remoto (RDP) durante el mes de marzo de 2020. Este aumento coincide con el momento en el que hay más servidores RDP expuestos, según Shodan, el motor de búsqueda que permite a los usuarios localizar en Internet los dispositivos conectados.
Estos datos del mes de marzo son preocupantes, ya que es justo ahora cuando se está produciendo un aumento masivo en el número de empresas que necesita cerrar sus oficinas y permitir a sus empleados trabajar desde casa para cumplir con las restricciones de distanciamiento social impuestas por la rápida difusión del COVID-19. El problema es que, para permitir a los empleados trabajar en remoto de forma rápida y barata, algunas empresas han implementado el RDP y esto puede exponer los sistemas confidenciales del negocio y hacerlos públicos en internet.
"El número de direcciones IP fuente que los atacantes utilizaron para escanear Internet en busca de servidores RDP aumentó alrededor de un 30% en marzo, desde las 2.600 hasta alrededor de 3.540 cada día. El RDP no es un protocolo lo suficientemente robusto como para estar expuesto a Internet. En consecuencia, estamos viendo a los atacantes comerciar activamente con credenciales débiles que han identificado para estos servidores RDP. Y un servidor RDP comprometido puede comprometer todo el sistema y será probablemente utilizado para atacar a otros sistemas adicionales de la red", señala el Dr. Johannes Ullrich, decano de Investigación en el SANS Technology Institute.
El Protocolo de Escritorio Remoto (RDP) es un protocolo desarrollado por Microsoft, que proporciona a los usuarios una interfaz gráfica para conectarse a otro ordenador a través de una conexión de red. Es una forma barata y sencilla que permite a los empleados trabajar en remoto. El usuario emplea un software cliente RDP para este propósito, mientras que el otro ordenador debe ejecutar un software servidor RDP.
Para las empresas que han implementado un RDP, Ullrich aconseja: "Usar contraseñas únicas, largas y aleatorias para asegurar sus servidores RDP y, si es posible, proporcionar solo acceso a través de una VPN”. Microsoft también ofrece el servicio RDP Gateway, que puede ser utilizado para implementar políticas de autenticación fuertes. También se puede intentar limitar el acceso a RDP desde direcciones IP específicas si no puede implementar una VPN en este momento, pero esto puede resultar difícil si sus administradores están trabajando actualmente desde casa con direcciones IP dinámicas.
"Otra opción es utilizar un servidor en la nube como punto de partida", añade Ullrich. "Poner en la lista blanca el servidor en la nube y utilizar protocolos seguros como SSH para conectarse. Esta técnica puede funcionar como solución rápida para aquellos que no quieren arriesgarse a estar inactivos mientras todo el mundo está trabajando de forma remota. Muchas organizaciones no están dispuestas actualmente a arriesgarse a perder el acceso a los sistemas críticos de negocio. La modificación de las reglas de acceso remoto y de los cortafuegos puede conducir a una pérdida de acceso que, en algunos casos, sólo puede ser restaurada por el personal in situ".