¿Qué es un protocolo de escritorio remoto (RDP)?

El protocolo de escritorio remoto (RDP) es un protocolo de comunicaciones de red que permite a los usuarios conectarse de forma remota a ordenadores de una forma segura. Además de permitir a los administradores de TI y al personal de DevOps mantener y reparar los sistemas de forma remota, el RDP permite a los usuarios finales sin conocimientos técnicos acceder de forma remota a sus estaciones de trabajo.

Originalmente, el RDP fue desarrollado por Microsoft y está preinstalado en la mayoría de los equipos de Windows. Además, los clientes del RDP, incluidas las versiones de código abierto, están disponibles para los sistemas de Mac OS, Apple iOS, Android y Linux/Unix. Por ejemplo, el protocolo de escritorio remoto de Java es un cliente del RDP de Java de código abierto para Windows Terminal Server, mientras que el escritorio remoto de Apple (ARD) es una solución patentada para dispositivos Mac.

¿Cómo funciona el protocolo de escritorio remoto (RDP)?

A veces, el RDP se confunde con la computación en la nube porque ambas tecnologías permiten el trabajo a distancia. En realidad, en el acceso remoto es donde terminan las similitudes entre el RDP y la nube.

En un entorno en la nube, los usuarios acceden a los archivos y aplicaciones almacenados en los servidores en la nube, no en el disco duro de su ordenador de escritorio. Por el contrario, el RDP conecta directamente a los usuarios con sus ordenadores de escritorio y les permite acceder a los archivos y ejecutar las aplicaciones como si estuvieran sentados físicamente enfrente del equipo. Desde esta perspectiva, usar un RDP para conectarse y trabajar en un ordenador remoto es como utilizar un mando para volar un dron, con la diferencia de que el RDP transmite datos por internet en lugar de usar las frecuencias de radio.

El RDP requiere que el usuario instale un software de cliente en el equipo desde el que se está conectando y un software de servidor en el equipo al que se está conectando. Cuando se haya conectado al equipo remoto, los usuarios remotos verán la misma interfaz de usuario gráfica (GUI) y accederán a los archivos y aplicaciones de la misma forma que si estuvieran trabajando localmente.

El cliente del RDP y el software del servidor se comunican a través del puerto de red 3389, utilizando el protocolo de transporte TCP/IP para transmitir los movimientos del ratón, las pulsaciones del teclado y otros datos. El RDP cifra todos los datos en tránsito para evitar que los atacantes los intercepten. Debido a la GUI, las comunicaciones del cliente y el servidor son muy asimétricas. Mientras que el cliente transmite solo las entradas del ratón y el teclado (que consisten en relativamente pocos datos), el servidor debe transmitir la GUI con gran cantidad de datos.

¿Para qué se utiliza el RDP?

Incluso en un mundo basado en la nube, el RDP es una opción perfecta para muchos casos de uso. Aquí tiene algunos de los más habituales:

  • Como el RDP conecta a los usuarios directamente a un equipo específico, lo utilizan mucho los administradores, los servicios de asistencia y el personal de asistencia técnica para configurar, mantener, solucionar problemas y reparar ordenadores de escritorio y servidores.
  • El RDP proporciona una interfaz gráfica de usuario (GUI) cuando se conecta a los servidores, por lo que los administradores pueden elegir hacer su trabajo a través de la GUI en lugar de la interfaz de línea de comandos (CLI).
  • El RDP permite a los usuarios utilizar un dispositivo móvil o un ordenador de gama baja para acceder a un equipo remoto con mucha más potencia de procesamiento.
  • El personal de ventas y marketing puede utilizar el RDP para demostraciones de procesos o aplicaciones de software a las que normalmente solo se accede localmente.
  • El RDP y la computación en la nube pueden utilizarse juntos. Los clientes de Microsoft Azure utilizan el RDP para acceder a equipos virtuales en sus instancias de la nube de Azure. Algunas organizaciones utilizan el RDP para permitir que los trabajadores remotos accedan a los entornos de la nube a través de una interfaz de escritorio virtual (VDI), que podría ser más sencilla para los usuarios no técnicos.

¿Cuáles son los beneficios y los inconvenientes del RDP?

Como se conecta directamente a los servidores y ordenadores locales, el RDP permite el trabajo a distancia en organizaciones con una infraestructura local heredada, incluidos los entornos en la nube híbridos. En la misma línea, el RDP es una gran opción cuando los usuarios remotos tienen que acceder a datos que deben alojarse localmente por motivos legales o de conformidad. Los administradores de seguridad y TI pueden restringir las conexiones del RDP de un equipo concreto a unos pocos usuarios (incluso uno) a la vez.

Aunque el RDP tiene muchos beneficios, también tiene ciertos inconvenientes, entre los que se incluyen:

  • Como la actividad del ratón y el teclado del usuario debe cifrarse y después transmitirse por internet a un equipo remoto, las conexiones del RDP tienen problemas de latencia, sobre todo si el ordenador cliente tiene una conexión a internet lenta.
  • El RDP requiere el uso de software tanto en los equipos del cliente como del servidor. Aunque este software viene preinstalado en la mayoría de las versiones de Windows, sigue siendo necesario configurarlo y mantenerlo. Si el RDP no se configura adecuadamente y las actualizaciones del software no se aplican rápidamente, pueden surgir problemas de seguridad importantes.
  • El RDP es susceptible de numerosas vulnerabilidades de seguridad, algo que discutiremos en la siguiente sección.

Vulnerabilidades de seguridad del RDP

Las dos mayores vulnerabilidades de seguridad del RDP implican credenciales de inicio de sesión débiles y la exposición del puerto 3389 a internet.

Si se les deja a su aire, los empleados utilizan contraseñas débiles, las almacenan de forma insegura y las reutilizan en varias cuentas. Esto incluye las contraseñas para las conexiones del RDP. Las credenciales del RDP comprometidas son un vector importante para los ataques de ransomware. El problema está tan extendido que un conocido meme de las redes sociales bromea con que el RDP significa realmente "protocolo de despliegue de ransomware".

Como las conexiones del RDP utilizan el puerto de red 3389 por defecto, los atacantes se dirigen a él para sus ataques en ruta, también conocidos como ataques de intermediario. En un ataque en ruta, el atacante se coloca entre el cliente y los equipos del servidor, donde pueden interceptar, leer y modificar las comunicaciones que van y vienen.

Cómo asegurar el RDP

Primero decida si su organización realmente necesita usar el RDP o si, por el contrario, sería mejor una alternativa, como una computación virtual en red (VNC), un sistema gráfico de compartición de escritorio independiente de la plataforma. Si el RDP es su mejor opción, limite el acceso solo a los usuarios que realmente lo necesitan y bloquee el acceso al puerto 3389. Algunas opciones para asegurar este puerto incluyen:

  • Configure las reglas del firewall para que solo las IP de la lista permitidas puedan acceder al puerto 3389.
  • Requiera que los usuarios se conecten a una red privada virtual (VPN) antes de que puedan iniciar sesión en el RDP.
  • Como alternativa a una VPN, requiere que los usuarios se conecten al RDP a través de una puerta de enlace de escritorio remoto como Keeper Connection Manager. Además de ser más fácil de usar y menos lenta que una VPN, las puertas de enlace de escritorio remoto tienen funciones de grabación de sesiones y permiten a los administradores exigir el uso de la autenticación de varios factores (MFA).

Una completa seguridad de las contraseñas es tan importante como protegerse de los ataques basados en puerto:

  • Pida a sus empleados que utilicen contraseñas únicas y fuertes para cada cuenta, no solo el RDP, y también la MFA. Despliegue un gestor de contraseñas empresariales (EPM) como Keeper para hacer cumplir estas políticas.
  • Considere "enmascarar" las contraseñas del RDP. Se trata de una función de los gestores de contraseñas, incluido Keeper, que permite a los usuarios rellenar automáticamente una contraseña en un formulario de inicio de sesión, pero el usuario no puede verla.
  • No utilice el nombre de usuario "Administrador", "Admin" u otro equivalente. Muchos descifradores de contraseñas automáticos intentan adivinar la contraseña del usuario administrativo, ya que esa cuenta tiene los máximos privilegios.
  • Utilice la limitación de la frecuencia como defensa contra los ataques de fuerza bruta a las contraseñas. La limitación de la frecuencia evita que los bots que descifran contraseñas realicen cientos o miles de intentos de adivinación de contraseñas en poco tiempo y bloquea al usuario después de un pequeño número de intentos incorrectos.
close
Ventas empresariales
Asistencia
closeSeleccione Idioma
close

Negocios y empresas

Proteja su empresa de los ciberdelincuentes.

Empieze la prueba gratuita

Sector público y FedRAMP

Proteja su agencia y su institución educativa frente a los ciberdelincuentes.

Contactar Ventas

MSP

Proteja su organización de MSP y a sus clientes finales y añada nuevas fuentes de ingreso.

Empieze la prueba gratuita

Personal y familiar

Protéjase a sí mismo y a su familia de los ciberdelincuentes.

Protéjase ya
close

Personal y familiar

Protéjase a sí mismo y a su familia de los ciberdelincuentes.

Empieze la prueba gratuita

Negocios y empresas

Proteja su empresa de los ciberdelincuentes.

Empieze la prueba gratuita
Español (ES) Llámenos
Descárguela en el App Store Consígala en Google Play