Que tu servidor quede expuesto en internet: el principal riesgo del acceso remoto

Con el incremento del teletrabajo, el acceso remoto al puesto de trabajo en las oficinas se ha vuelto muy popular en las empresas. Sin embargo, esta herramienta que ayuda con la productividad y facilita algunas operaciones, puede ser la vía de entrada que los cibercriminales estaban esperando. Según el último informe de 2022 de Verizon Data Breach Investigations Report, el abuso del acceso remoto es el cuarto vector inicial de ataque más utilizado.
El principal problema del Protocolo de Escritorio Remoto (RDP) es que su configuración implica que sea accesible a través de internet.
Los atacantes rastrean internet en busca de servidores RDP y no suelen tener problemas para encontrarlos. Un motor de búsqueda diseñado para rastrear dispositivos con puertos o protocolos expuestos en internet ha encontrado más de cuatro millones de puertos RDP expuestos. Recientemente, circulaba la noticia de más de 8.000 dispositivos de acceso a redes virtuales (VNC) al descubierto que permiten el acceso a las redes sin autenticación. Lo más inquietante es que muchos de ellos pertenecen a varias organizaciones de infraestructuras críticas.
Algunas bandas de ciberdelincuentes, como el grupo de ransomware Conti, han utilizado este vector de entrada para desplegar ransomware en las redes de sus víctimas. El ataque a Colonial Pipeline llevado a cabo por el grupo DarkSide es otro ejemplo de cómo el acceso remoto puede ser un problema. En este caso, los atacantes lograron perpetrar uno de los mayores ciberataques de los últimos años al comprometer una contraseña de VPN utilizada por la empresa.
¿Cuáles son los riesgos asociados con servidores mal configurados y expuesto a ataques RDP?
El uso de este ataque tiene tres principales objetivos: los ataques de denegación de servicio (DDoS), el ransomware y las brechas de datos.
- Ataque DDoS: los servidores RDP pueden amplificar este tipo de amenazas con un factor de amplificación de 85,9. De ahí que los atacantes puedan abusar de estos servicios para dirigir cantidades masivas de tráfico a sus objetivos, dejándolos fuera de servicio.
- Despliegue de ransomware: los atacantes entran a la red de una organización a través del RDP, luego la exploran desde dentro y colocan el ransomware en sistemas de alto valor. Durante el 2020 este mecanismo fue el método de entrega de ransomware más común.
- Brecha de datos: una vez dentro de la red, los criminales pueden realizar movimientos laterales para exfiltrar los datos más importantes de la compañía y así venderlos o generar presión sobre ella. En ocasiones, los atacantes roban los datos a la vez que los encriptan con ransomware.
Existen medidas preventivas fundamentales que se basan en buenos hábitos de “ciber higiene” en la configuración de la red. Por ejemplo, para proteger el acceso por RDP en un servidor Windows hay varias opciones, entre las cuales se encuentran la limitación de acceso por IP, conectarse al servidor mediante una VPN o cambiar los puertos del RDP.
Entre las medidas preventivas y proactivas de detección y respuesta a ataques que utilizan estas, y otras muchas, técnicas de intrusión debemos de destacar las siguientes por su eficación y alineación con un diseño “zero-Trust”:
- MFA: en la mayoría de los casos, los servidores con RDP de acceso público a internet no habilitan la autenticación multifactor (MFA). Con esto, es tan sencillo como introducir la dirección IP del dispositivo al que se quiere acceder para estar dentro de la red.
- VPN: al utilizar una VPN la solución crea un túnel cifrado para el tráfico de red entre el usuario remoto y la red de la empresa. Las VPN también pueden soportar el MFA para mitigar la amenaza de cuentas comprometidas. Sin embargo, es importante tener en cuenta que las VPN pueden ser vulnerables si no se actualizan o se parchean a tiempo.
- Registros de acceso remoto: como medida adicional es necesario mantener un historial de registros y auditorías de los usuarios que han accedido a una red de forma remota. En caso de una sospecha de que la red haya sido comprometida, esto será lo primero a revisar.
- Seguridad EDR (endpoint detection and response) en el endpoint: contar con una solución capaz de detectar el uso indebido de intentos de acceso RDP y responder ante estas amenazas avanzadas es primordial a la hora de proteger cualquier servidor o dispositivo en nuestra organización.
La importancia de la detección y la respuesta
Al configurar un acceso remoto seguro, es fundamental asegurarse de que los endpoints estén protegidos contra este tipo de intentos de intrusión que mediante técnicas living-off-the-land pueden evadir soluciones de seguridad tradicionales. Las empresas que implementen una solución completa que sea capaz de proteger sus dispositivos empleando el modelo Zero-Trust a través de una protección con capas adicionales tendrán una gran ventaja. En este sentido, WatchGuard EPDR protege tanto los ordenadores y portátiles como los servidores combinando la protección contra ataques basados en malware o en técnicas sin malware. Con el componente EDR, WatchGuard monitoriza de forma continua los endpoints y utiliza la inteligencia artificial para clasificar los distintos procesos en ejecución y catalogarlos como malware o confiable, permitiendo ejecutar únicamente aquellos procesos de confianza en los dispositivos y no aquellos llevados a cabo por un atacante que haya podido acceder a los dispositivos vía acceso al RDP. Además de poder identificar un ataque RDP, la solución es capaz de prevenirlos al bloquear el tráfico de las direcciones IP desde donde se detectan ataques de fuerza bruta a servidores RDP expuestos, de forma que el ataque se contiene incluso antes de que se obtengan las credenciales de acceso por fuerza bruta.
Pero, además, el servicio threat hunting, incluido por defecto en las soluciones WatchGuard EDR y WatchGuard EPDR trunca las intenciones del atacante que intenta explotar un acceso RDP vulnerable, ya que el servicio analizará cualquier actividad sospechosa en busca de técnicas de evasión y patrones de comportamiento anómalos, de forma proactiva, para evitar que, entre otras cosas, el acceso remoto se convierta en una pesadilla para las empresas.