En la primera parte de esta serie, dimos una visión general básica del ransomware y cómo funciona. Ahora, estamos profundizando en las formas específicas en que los operadores de ransomware se infiltran en tus sistemas, comenzando con el Protocolo de Escritorio Remoto.
Lee más artículos de la serie:
PARTE 1: Introducción serie ransomware
PARTE 3: Ransomware: Cómo proporicionar una valiosa capa de protección al correo electrónico
PARTE 4: Ransomware: La necesidad de proteger el eslabón más débil
Desde que se inició la pandemia, la proporción de personas que trabajan desde casa ha aumentado considerablemente, si se comparan cifras previas a la misma. Es una tendencia que se mantiene actualmente, ya que muchos son los empleados que prefieren continuar trabajando desde casa tras la eliminación de las restricciones.
Los empleados que trabajan de forma remota y utilizan herramientas de acceso remoto como el Protocolo de escritorio remoto (RDP) para acceder a los datos de la empresa corren un alto riesgo. Tal y como publicó ESET en su informe de amenazas de 2021, España fue el país del mundo que más ataques de escritorio remoto recibió, un total de 51000 millones y en el informe de los primeros cuatro meses de 2022 ocupa el segundo lugar, solo por detrás de Francia.
La creciente popularidad de RDP
RDP se ha incluido con todas las versiones de Microsoft Windows desde Windows XP en adelante. Sin embargo, su popularidad aumentó sustancialmente durante la pandemia como una forma para que el personal que trabajaba desde casa accediera a los servidores de la empresa de forma remota a través de sus ordenadores portátiles, teléfonos y tabletas. Si bien es indudable que ha sido muy útil y continúa siéndolo al permitir el acceso remoto a los sistemas corporativos, RDP está siendo explotado por los ciberdelincuentes porque:
- Los sistemas RDP vulnerables son fáciles de encontrar.
- Es fácil para los atacantes obtener un punto de apoyo en los sistemas RDP para infiltrar ransomware si tienen una configuración deficiente.
- Muchos sistemas RDP tienen una configuración débil y los atacantes pueden explotar el puerto RDP predeterminado 3389, que se usa comúnmente para la conexión.
- Las herramientas y técnicas para escalar privilegios y obtener derechos de administrador en sistemas RDP comprometidos son ampliamente conocidas y están disponibles.
Una doble responsabilidad
El aumento de los ataques de ransomware visto a través de RDP demuestra cuán críticas son las prácticas de seguridad robustas al configurar y usar herramientas de colaboración y otros sistemas comerciales. Hay que recordar que la seguridad es una doble responsabilidad dentro de la empresa, en primer lugar, para los administradores de TI que establecen las reglas y supervisan la actividad, y en segundo lugar para todo el personal que utiliza las herramientas.
Para defender los sistemas que ejecutan RDP contra el acceso no autorizado, las empresas deben:
- Tener políticas implementadas para abordar la seguridad del acceso remoto, como requerir que solo se acceda a RDP a través de una VPN (red privada virtual) o con el uso de MFA (autenticación multifactor)
- Hay que asegurarse de que todos están cumpliendo con las reglas, y de que sabrían qué protocolo seguir si se detectara un ataque.
- No permitir al personal conectar el servidor que ejecuta RDP, tanto a la red de la organización como a Internet, hasta que esté configurado de forma segura.
- Hacer un inventario de todos los activos orientados a Internet y decidir cuáles necesitan acceso remoto. Si el acceso es realmente necesario, exige contraseñas largas y robustas, e insiste en acceder solo desde una VPN segura.
- Reforzar y parchear todos los dispositivos de acceso remoto. Asegurarse de que todos los servicios y componentes no esenciales se han eliminado o deshabilitado, y que la configuración está para ofrecer la máxima seguridad.
Se necesita un nivel de protección
El RDP se ha convertido en un componente crítico del lugar de trabajo híbrido de hoy. Sin embargo, ha proporcionado un camino para los ciberdelincuentes que desean infiltrarse en los sistemas corporativos e implantar ransomware. Las habilidades de administración de TI de gran alcance, la configuración mejorada del sistema y una cultura de ciberseguridad son fundamentales para abordar las demandas de seguridad que traen tanto el trabajo híbrido como el gran aumento en las plataformas de colaboración y productividad como RDP.
Todo esto debe estar respaldado por soluciones de ciberseguridad sólidas y galardonadas que protejan los equipos, los datos y los usuarios de tu empresa.