– Jul 6, 2019, 8:30 (CET)

El escritorio remoto como puerta de entrada al malware

Una función de Windows para facilitar el trabajo de administradores de sistemas puede ser empleado por ciberdelincuentes para tomar el control de computadoras en red y emplearlas para distintas tareas, como enviar spam, minar criptomonedas o robar datos. El nivel de profesionalización ha llegado al punto en que en la dark web podemos encontrar tiendas de equipos controlados, las tiendas RDP.

McAfee Labs es la división de investigación de la empresa de seguridad McAfee. Su propósito es vigilar las nuevas tendencias, peligros y amenazas que podemos encontrarnos en temas de ciberseguridad.

Uno de los temas más destacados de su informe de 2018 tiene que ver con las tiendas RDP y la facilidad con la que ciberdelincuentes sin conocimientos técnicos tienen acceso a equipos infectados a los que se puede acceder a través de RDP o escritorio remoto. En palabras de John Fokker, Head of Cyber Investigations de McAfee Advanced Threat Research, “la dark web contiene tiendas RDP, plataformas en líneas que venden acceso a máquinas pirateadas a través de RDP (protocolo de escritorio remoto)”.

Pero empecemos por el principio. RDP es acrónimo de Remote Desktop Protocol, Protocolo de Escritorio Remoto en castellano. RDP es una tecnología desarrollada por Microsoft y que facilita el control remoto de una computadora con Windows sin necesidad de estar delante de ella. Esta función, muy simple y fácil de implementar en parqués de ordenadores de una empresa u oficina, tiene sus pros y sus contras, claro está.

Y en el aspecto negativo está el uso que puede hacer alguien que haya accedido a nuestra computadora mediante un malware que tome el control de nuestro PC, tengamos o no constancia de ello.

Todo empieza con una mala contraseña

La tecnología de escritorio remoto que emplea Windows por defecto no es mala de por sí. El problema está en que, por un lado, se encuentra activada aunque no la necesitemos y, por otro lado, la contraseña definida por defecto es más bien débil. De ahí que los ciberdelincuentes busquen en internet sistemas con RDP conectado y empleen ataques de fuerza bruta para averiguar la contraseña elegida.

Si ésta es muy sencilla o si se encuentra en una lista de contraseñas expuestas a brechas de seguridad, será fácilmente recuperable y la computadora en cuestión estará expuesta a ser controlada a distancia mediante escritorio remoto. A diferencia de otras vías de entrada, como infectar nuestro PC con malware abriendo el enlace de un sitio web o de un correo electrónico, en este caso se aprovecha una entrada a priori segura pero que deja de serlo si la clave de entrada es muy simple.

Según estadísticas de los tres primeros meses de 2019, McAfee advierte que las puertas de entrada del ransomware han dejado de ser las vulnerabilidades de software (que se quedan en el 6’1%) y el phishing o correos falsos (30,4%) y cada vez se están centrando más los esfuerzos en el acceso vía RDP, que sube hasta el 63,5%.

McAfee Labs analizó el año pasado varias tiendas RDP, páginas web disponibles en la dark web y que ofrecen acceso remoto a equipos que pueden llegar a una docena o a la friolera de más de 40.000 computadoras que han sido expuestas por no controlar su acceso RDP. Un vistazo a la información detallada que ofrecen estas tiendas de los ordenadores afectados nos da una pista de qué tipo de equipos son más vulnerables: aquellos con versiones antiguas de Windows y del navegador web. Destacan equipos con Windows XP, 7 o versiones Server antiguas como 2008 o 2012.

También es curioso el uso de dispositivos con Windows Embedded Standard, la versión de Windows para equipos muy concretos disponibles en cajeros automáticos, hoteles, puntos de venta, parquímetros… Se trata de equipos desatendidos constantemente conectados que son susceptibles de ser atacados sin que nadie se dé cuenta al momento o hasta la siguiente tarea de mantenimiento.

Usos del acceso RDP

Ahora que sabemos que el escritorio remoto se ha convertido en una puerta de entrada para controlar computadoras a distancia sin nuestro permiso, conviene saber para qué se emplea este acceso una vez se tiene una red de ordenadores a disposición de los ciberdelincuentes.

En el informe de 2018 de McAfee Labs se destacan cinco usos principales de las computadoras expuestas al acceso RDP. El primero consiste en enmascarar el origen del atacante cuando realice distintas tareas de infección o ataque a otros equipos. Partiendo del control remoto, el ciberdelincuente puede compilar código malicioso en la máquina afectada para que parezca que desde ahí se realizan los ataques o se crea el malware que se está investigando.

Otro uso frecuente es el envío de spam combinando distintas computadoras para crear una red de botnets. También se pueden emplear ordenadores afectados para criptominado, para robar datos personales, información bancaria, o simplemente para infectar esos equipos con ransomware y pedir un rescate a cambio de recuperar los archivos bloqueados.

La solución, el sentido común

En primer lugar, hay que tener en cuenta que el acceso a computadoras aprovechando la debilidad de sus contraseñas en la conexión RDP no es algo que afecte principalmente a usuarios domésticos. Las víctimas son más bien ordenadores desatendidos o que forman parte de un parque de ordenadores conectados en lugares públicos, oficinas u organizaciones que carecen de actualizaciones periódicas o cuya administración es muy esporádica.

Y en cualquier caso, se trata de un problema con solución más sencilla de lo que pueda parecer. Además de actualizar el sistema operativo, si no con una versión más reciente sí con todos los parches de seguridad publicados por Microsoft, también conviene mantener actualizado el navegador.

En cuanto a la conexión RDP, si no queda otro remedio que mantenerla activada, sí hay varias cosas que pueden hacerse para mantenerla más segura. Contraseñas más complejas, cambiarlas cada cierto tiempo, hacer uso de redes VPN que impidan el acceso de la conexión RDP a internet directamente, emplear un cortafuegos que limite el escritorio remoto a ciertas direcciones IP…

Más soluciones. Emplear un servidor de puerta de enlace RDP, disponible en las versiones más recientes de Windows Server. Esta puerta de enlace mejora la seguridad de los accesos, ya que permite emplear certificados TLS, autenticación punto a punto, restricciones por usuario…