El sábado 16 de febrero de 2019, 'De Standaard' informa sobre la investigación para el Departamento Federal de Justicia (belga). Junto con Estados Unidos y Ucrania, cerraron "xDedic", un sitio web que vendía inicios de sesión y contraseñas de servidores comprometidos en todo el mundo. Hasta 2016, el sitio web era de acceso público. Cuando empezó a llamar la atención de diferentes investigaciones criminales, se trasladaron a la Darknet.
Los resultados coinciden con las investigaciones de Awingu
La investigación criminal - desafortunadamente - se alinea perfectamente con un estudio publicado por Awingu el 17 de septiembre de 2018. En el estudio, Awingu identificó 8803 empresas belgas con "puertos RDP desprotegidos". Y esto es exactamente lo que los hackers detrás de xDedic utilizaron para arrebatar los inicios de sesión y las contraseñas de los usuarios, y desde ahí entrar en la red informática de la empresa, comprometiendo los servidores.
Estos servidores comprometidos se utilizaron para ataques de ransomware (en los que los hackers bloquean a los propietarios el acceso a sus datos y aplicaciones, a menos que paguen una cuota de "rescate"), fraude con tarjetas de crédito o como "centro" para otras actividades ilegales (por ejemplo, utilizando el servidor comprometido para hackear otras empresas sin exponer fácilmente la ubicación del hacker).
La investigación criminal afirma que pudo encontrar las credenciales de acceso de entre 230 y 750 servidores belgas, según el momento. "Es seguro asumir que estos 230-750 servidores son, al menos en parte, un subconjunto de las 8803 empresas que Awingu pudo identificar", dice Arnaud Marière, CMO de Awingu. "Y esto no es sólo un problema belga, ni es un problema del pasado. Las empresas de todo el mundo no están asegurando sus "accesos RDP (Remote Desktop Protocol)".
De hecho, Awingu ha realizado estudios similares para el puesto de "RDP abierto" en Suecia y Italia, encontrando respectivamente 9688 y 33629 negocios "expuestos". Y aunque xDedic está ahora cerrado, otros subirán y probablemente ya lo han hecho.
Entonces, ¿es el RDP inseguro?
El Protocolo Remoto Desktop (RDP) fue desarrollado originalmente por Microsoft para ser utilizado principalmente en una red interna de la empresa. Hacer que su entorno esté disponible directamente a través de Internet puede ser posible, pero se aconseja tomar al menos varias medidas de seguridad de antemano. En la web puedes encontrar varios métodos para proteger tu entorno que, aunque a veces están desfasados, son muy relevantes y necesarios para garantizar un nivel mínimo de seguridad.
El cierre de xDedic vuelve a demostrar que dejar tu entorno RDP sin protección conlleva riesgos considerables: "Desde 2002, se han publicado 20 actualizaciones de seguridad de Microsoft específicamente para RDP, y ahora se conocen al menos 25 vulnerabilidades (CVE) que los malintencionados pueden explotar sin mucho esfuerzo. Teniendo esto en cuenta, hay que estar loco para no añadir una capa adicional de seguridad a su entorno", afirma Kurt Bonne (CTO de Awingu).
En las versiones más recientes de RDP, Microsoft ha prestado gran atención al aspecto de la seguridad, no sólo añadiendo más posibilidades sino también ofreciendo una configuración por defecto más inteligente. Por lo tanto, se podría pensar que es una "obviedad" actualizar al menos su entorno RDP a la última versión, pero a menudo las aplicaciones más antiguas no siempre son compatibles, y las versiones más antiguas se mantienen por necesidad.
Cómo puede Awingu ayudarle a proteger su implementación de RDP existente
El espacio de trabajo basado en el navegador de Awingu añade capas de seguridad a RDP. Al utilizarlo, te conectas a la aplicación o al escritorio a través de un navegador, y ya no a través de un cliente RDP. Esto significa que las personas con malas intenciones ya no pueden explotar los puntos débiles de un acceso RDP desprotegido. Para maximizar la protección a través del acceso al navegador, Awingu implementa las siguientes medidas de seguridad:
- Autenticación multifactorial: Awingu viene con una solución MFA incorporada, y puede (si es necesario) integrar fácilmente tu método actual de autenticación. Al añadir MFA te aseguras de que los "ataques de fuerza bruta" ya no sean posibles.
- SSL sin complicaciones: utilice sus propios certificados o cambie de SSL a través de la integración de Let's Encrypt con un solo clic del ratón.
- Amplias posibilidades de auditoría: mantenga sus herramientas de registro RDP existentes junto con las capacidades de auditoría de Awingu incluidas
- Detección de anomalías: infórmese de las irregularidades en su entorno, como cuando alguien se conecta demasiado a menudo con una contraseña incorrecta o cuando alguien intenta conectarse desde el extranjero
Para más información, lea también este artículo del blog de 2017 escrito en medio del estallido de Wannacry, que explica cómo Awingu añade capas de seguridad sobre RDP.
¿Quiere saber más y ver a Awingu en acción? Póngase en contacto con nosotros.
English 
Italian 
German 
Spanish 
French