El software de escritorio remoto permite a los empleados conectarse a su red informática sin estar físicamente vinculados al dispositivo anfitrión, sin la necesidad de encontrarse en la misma ubicación. Esto lo convierte en una útil herramienta para una plantilla que trabaja a distancia o que está distribuida geográficamente. Sin embargo, el software de escritorio remoto también es un blanco recurrente en los ciberataques.
Uno de los retos a los que se enfrentan los equipos a la hora de implantar un software de escritorio remoto es la existencia de muchas y diversas herramientas que precisan de varios puertos para funcionar. Esta circunstancia puede dificultar a los equipos de seguridad informática la supervisión y detección de conexiones maliciosas y la consiguiente intrusión en los mismos.
En este contexto, el método de ataque más extendido contra este software es el uso abusivo de credenciales débiles, las cuales ofrecen al atacante un acceso inmediato a los sistemas a los que tiene acceso el usuario. Además, las implementaciones de software de escritorio remoto también pueden ser vulnerables a exploits de bugs de software y estafas de soporte técnico.
¿Cuáles son las herramientas de escritorio remoto más atacadas en el último año?
Virtual Network Computing (VNC) – Puertos 5800+, 5900+ .- VNC, que utiliza el protocolo RFB, es una herramienta ampliamente utilizada e independiente de la plataforma. Esto permite a usuarios y dispositivos conectarse a servidores independientemente del sistema operativo. VNC se utiliza como software de base para, entre otras, las soluciones de escritorio remoto y uso compartido de pantalla de Apple, siendo comúnmente empleado en sectores de infraestructuras críticas; otro objetivo creciente de los ciberataques.
Según fuentes de datos de Barracuda, VNC fue la herramienta de escritorio remoto más atacada el año pasado, con un 98% de tráfico en todos los puertos específicos de escritorio remoto. Más del 99% de estos intentos de ataque se dirigieron a puertos HTTP y el 1% restante a Protocolos de Control de Transferencia (TCP). Esto se debe a que, a diferencia de TCP, HTTP no requiere autenticación específica. Por otro lado, la vulnerabilidad más común estaba en la CVE-2006-2369, que permite al atacante saltarse la autenticación. Si hablamos del origen geográfico de los ataques, es difícil establecerlo con exactitud. Sin embargo, alrededor del 60% del tráfico malicioso procedía de China.
Protocolo de Escritorio Remoto (RDP) – Puerto 3389.- Creado por Microsoft para el uso de escritorios remotos, representó alrededor del 1,6% de los intentos de ataque que detectamos en el último año. Sin embargo, es más probable que los ataques de mayor envergadura contra redes y datos impliquen RDP que VNC. Estos se utilizan a menudo para desplegar malware, especialmente ransomware o criptomineros, incluso para aprovechar máquinas vulnerables como parte de ataques DDoS. Además, alrededor del 15% de los intentos de ataque incluía una cookie obsoleta. Una táctica que podría ayudar a los atacantes a identificar versiones más antiguas y, por tanto, más vulnerables del software RDP.
Y es que, al igual que otros servicios de escritorio remoto, RDP es el objetivo principal de los ataques basados en credenciales. Algo que se ha acentuado a lo largo de los últimos años a través de graves vulnerabilidades que permiten la ejecución remota de código (RCE) en el sistema de destino. Otra posibilidad es que los atacantes usen RDP con el fin de obtener hashes de contraseñas para cuentas con más privilegios.
RDP también se utiliza en los ataques de vishing (phising voz/teléfono) del soporte técnico de Microsoft, cuyo objetivo es estafar a los usuarios convenciéndoles de que su equipo tiene problemas técnicos que el atacante puede solucionar si se habilita el acceso RDP y se le concede. En este caso, los datos sugieren que la mayoría de los intentos de ataque contra RDP se originaron en Norteamérica (aproximadamente el 42% de los ataques), seguida de China e India, aunque el uso de proxies o VPN puede ocultar el origen real de los mismos.
TeamViewer – Puerto 5938.- Los ataques dirigidos a TeamViewer representaron el 0,1% del tráfico malicioso en todos los puertos de escritorio remoto cubiertos por nuestras fuentes de datos. Los pocos ataques detectados estaban relacionados con la vulnerabilidad Log4Shell y parecían tener como objetivo el centro de gestión central de la herramienta, (Frontline Command Center), la única aplicación de TeamViewer que utiliza Java.
Como oferta empresarial, TeamViewer ofrece más funciones de seguridad, como la huella digital de dispositivo, credenciales generadas automáticamente, backoff exponencial para credenciales incorrectas y autenticación multifactor (MFA). Todo el tráfico entre el cliente y el servidor de TeamViewer también está cifrado para mejorar la seguridad. Sin embargo, a pesar de estas protecciones, este sigue siendo utilizado en ataques o es el objetivo de los mismos; algo que suele deberse a credenciales suplantadas o compartidas de forma insegura. Además del puerto 5938, los puertos 80 y 443 también pueden utilizarse con TeamViewer, lo que puede dificultar al equipo de seguridad la detección de conexiones maliciosas en la red.
Arquitectura de Computación Independiente (ICA)- Puertos 1494, 2598.- ICA es un protocolo de escritorio remoto creado por Citrix como alternativa a RDP. El puerto 1494 se utiliza para las conexiones entrantes de ICA; y esta, por su parte, también puede encapsularse en el protocolo de puerta de enlace común de Citrix, que utiliza el puerto 2598. Algunas versiones anteriores del cliente ICA presentaban vulnerabilidades RCE. La más general, CVE-2023-3519, también afectaba al proxy ICA y era utilizada por los atacantes para crear web Shell en los sistemas afectados.
AnyDesk – Puerto 6568.- Se ha utilizado para estafas de soporte técnico, así como estafas de servicio al cliente de banca móvil. AnyDesk se incluyó en algunas variantes de ransomware en 2018, posiblemente para confundir a los sistemas de detección de malware en cuanto a su verdadero propósito. Además del puerto 6568, también puede utilizar los puertos 80 o 443.
Splashtop Remote – Puerto 6783.- Aunque representa el menor tráfico de intentos de ataque entre las soluciones de escritorio remoto, Splashtop Remote se ha utilizado en estafas de soporte. También puede verse comprometido usando credenciales débiles reutilizadas o suplantadas.
Cómo reducir el riesgo
Las soluciones de seguridad de defensa en profundidad, capaces de detectar el tráfico portuario sospechoso a través de la red, son fundamentales. Esto debe complementarse con políticas y programas de seguridad sólidos, como la restricción de acceso a servicios remotos a quienes lo necesiten, el uso de conexiones seguras como una VPN y la actualización periódica del software con los últimos parches. Los métodos de autenticación deben incluir el uso de contraseñas seguras, con autenticación multifactor (MFA) como mínimo, idealmente pasando a un enfoque de Confianza Cero.
La estandarización de una solución específica de escritorio remoto en toda la organización permitirá al equipo de TI centrar los recursos en la gestión, supervisión y protección de los puertos asociados, bloqueando el resto del tráfico.
Tecnología