Como seguimiento de nuestros estudios de 2018 sobre el protocolo remoto Desktop abierto (RDP), la investigación de Awingu encontró más de 360.000 empresas y organizaciones gubernamentales en Alemania, el Reino Unido, Italia, los Países Bajos, Bélgica y Suecia para tener un acceso abierto en su red que está desprotegido y disponible a través de la Internet "regular" a través de RDP. Además, también encontramos un pico específico (hasta 40.000 entornos RDP vulnerables) en la nube pública de Microsoft Azure Amsterdam. Incluso los hackers inexpertos pueden entrar fácilmente en estos entornos desprotegidos, por ejemplo, utilizando bases de datos de inicios de sesión robados o utilizando uno de los muchos exploits RDP conocidos. Por lo tanto, instamos a estas empresas a añadir una capa adicional de seguridad a su entorno lo antes posible.
Este estudio fue presentado en DataNews (BE), DutchITChannel (NL), ImpresaCity (IT) y Digit (Reino Unido).
El estudio, y por qué es importante
En septiembre de 2018, noviembre de 2018 y febrero de 2019, una investigación realizada por Awingu sobre la seguridad de respectivamente Belga, Italiano y Sueco empresas llevó a resultados asombrosos: se descubrieron más de 50.000 endpoints RDP (Remote Desktop Protocol) abiertos, que dejaron a las empresas a las que pertenecían con una amenaza de seguridad muy real. En enero de 2020, analizamos cómo ha cambiado la situación y cómo se comportaron otros países europeos (Reino Unido, Países Bajos y Alemania) en esta prueba.
Realizamos la investigación en profundidad basándonos en los datos disponibles públicamente sobre qué puntos finales RDP eran accesibles públicamente en dichos países, e investigamos específicamente las direcciones IP que estaban conectadas a puntos finales no protegidos con un acceso RDP (Protocolo Desktop remoto) activo. Estos pueden ser servidores y PCs.
RDP es una de las herramientas de acceso remoto a escritorios y servidores más utilizadas en el mundo. A través del cliente RDP, una aplicación que debe instalarse en el dispositivo del usuario (por ejemplo, un ordenador portátil), permite a los usuarios acceder a un escritorio o una aplicación completa de forma remota. Normalmente, esto permite a los empleados utilizar su software tanto dentro como fuera de la empresa. RDP es una solución de bajo umbral, y la adición de seguridad a veces se da por sentada: las medidas de seguridad adicionales (por ejemplo, reglas de cortafuegos o listas de control de acceso) suponen una complejidad añadida para el administrador de TI (y el usuario).
Tras un análisis basado en los datos puestos a disposición por un motor de búsqueda público, Awingu obtuvo el siguiente resultado espectacular: más de 360.000 puntos finales RDP están actualmente disponibles públicamente en nuestros 6 países investigados. Esto significa que son accesibles a todo el mundo a través de Internet, aunque no se establezca una conexión segura, facilitada por la organización. En otras palabras, no están protegidos o lo están insuficientemente y tienen un potencial inequívoco de ser hackeados.
Objetivos fáciles para los hackers
Es muy fácil para los hackers relativamente poco cualificados asignar la lista de puntos finales RDP y su dirección IP a empresas reales y comparar esa lista con las muchas bases de datos disponibles públicamente de contraseñas robadas en la web oscura - lo más probable es que entren sin mucho esfuerzo. Si eso no funciona, pero el punto final RDP está disponible públicamente, no hay razón para que los hackers no puedan también realizar un ataque de fuerza bruta para tratar de adivinar los detalles de inicio de sesión, o, utilizar las muchas vulnerabilidades RDP conocidas (si no está ejecutando la última actualización). Por lo tanto, se aconseja a estas empresas con un entorno RDP abierto que hagan algo al respecto lo antes posible. Una vez que un hacker tiene acceso, puede ejecutar comandos que instalen ransomware en el sistema e infectar otros dispositivos en la misma red.
Sólo en el último año hubo más de un exploit devastador que causó estragos en todo el mundo, incluido el aún no parcheado Bluekeep que ha hecho daños importantes a finales de 2019 y el El virus NotPetya que costó a las empresas de todo el mundo más de $10b y esencialmente se cerraron Maersk no podrá realizar ninguna de sus actividades durante un tiempo. En otras palabras: exponer su punto final RDP para que todo el mundo lo vea es una principal problema de seguridad.
Los resultados: malas noticias
Antes de realizar nuestra prueba, éramos optimistas: seguramente estos incidentes mundiales y el esfuerzo continuo de Microsoft por limitar las vulnerabilidades habrán llevado a la gente a ser más cautelosa con su infraestructura y habrán disminuido la cantidad de puntos finales RDP abiertos. Sin embargo, no fue así.
| Consulta | Fuente | |
|---|---|---|
|
🇧🇪 Bélgica |
8.803 |
8.698 |
|
🇮🇹 Italia |
33.629 |
32.664 |
|
🇸🇪 Suecia |
9.655 |
12.614 |
|
🇬🇧 Reino Unido |
|
76.626 |
|
🇩🇪 Alemania |
|
141.500 |
|
🇳🇱 Países Bajos |
|
89.398 |
Nota: estas cifras incluyen la infraestructura pública de la nube, como Google Cloud Platform y Microsoft Azure. Esto significa que países como los Países Bajos, que albergan muchas nubes públicas, tienen más "exposición". Los clientes que se ejecutan en estas nubes también proceden de otros países, lo que sesga un poco los datos, aunque no podemos medir en qué medida.
Mientras que Bélgica e Italia han experimentado un ligero descenso en las cifras (1,2% y 2,8%, respectivamente), Suecia experimenta un aumento de aproximadamente 25% en 11 meses. Además, las regiones no estudiadas anteriormente muestran cifras elevadas, especialmente los Países Bajos, que lideran el grupo cuando se comparan los puntos finales RDP abiertos con la población: con aproximadamente 1,5 veces el número de ciudadanos que Bélgica, tienen diez veces la cantidad de servidores RDP no seguros.
Como no sabemos cuántos puntos finales RDP (incluidos los que siguen los procedimientos de seguridad correctos) hay en un país, no podemos afirmar cuál es relativamente peor. Sin embargo, una métrica significativa con la que comparar los datos es el PIB, que nos dará al menos alguna métrica para comparar los países. Haciendo este ejercicio llegamos al siguiente resultado:
| Esta opción sólo afectará en la página Archivo de Elementor Theme Builder de forma dinámica. | Buscar y seleccionar | Autor | |
|---|---|---|---|
|
1. 🇳🇱 Países Bajos NL (no-Azure) |
89.398 51.632 |
902,36 |
99,07 57,21 |
|
2. 🇩🇪 Alemania |
141.500 |
3.863,34 |
36,63 |
|
3. 🇬🇧 Reino Unido |
76.626 |
2.743,59 |
27,93 |
|
4. 🇸🇪 Suecia |
12.614 |
528,93 |
23,85 |
|
5. 🇧🇪 Bélgica |
8.698 |
517,61 |
16,8 |
|
6. 🇮🇹 Italia |
32.664 |
1.988,64 |
16,43 |
*Fuente: https://www.imf.org/external/pubs/ft/weo/2019/02/weodata/index.aspx
En comparación con la media, Alemania también sale mal parada. Sin embargo, los Países Bajos sobresalen como un pulgar dolorido. Incluso dejando fuera los servidores Azure (que potencialmente alojan los datos de empresas no holandesas, ya que Azure Ámsterdam alberga la parte de Europa Occidental de la Geografía Azure), seguimos encontrando 51.632 puntos finales abiertos, eliminando el argumento de que las cifras se disparan simplemente por su presencia pública nube. Esta cifra tan elevada también está relacionada, por supuesto, con la gran adopción de la "informática basada en servidores" (y, por tanto, de RDP) en los Países Bajos y, por tanto, con más centros de datos, más servidores Windows y una cultura que favorece el trabajo remoto. Incluso dejando de lado las cifras de Azure Ámsterdam, podemos afirmar con seguridad que hay más empresas afectadas per cápita en los Países Bajos que en todas las demás regiones.
¿Qué aprendemos de esto?
1. Los puntos finales RDP abiertos están en todas partes
De los seis países que hemos investigado, todos tienen una cantidad abundante de puntos finales RDP abiertos. No debemos esperar que diga 0 (aunque debería ser nuestro objetivo), pero muestra que ningún país o región escapa al problema.
Dado que los puntos finales son públicos y están asignados a una dirección IP, también hemos podido señalar aproximadamente dónde se encuentran estas empresas (o al menos sus centros de datos) en un mapa, como se indica a continuación. Haga clic en las imágenes para obtener una vista detallada.
En general, de estos mapas se desprende que, como es lógico, la concentración de puntos finales RDP abiertos está directamente relacionada con la densidad de población. Sin embargo, esto también implica que no es algo específico de una región, ni está vinculado, por ejemplo, a un determinado ISP.
2. La situación es grave y no mejora
Como el trabajo remoto a través de RDP está ganando en popularidad, y (asimismo) más empresas lo están habilitando, uno debería tener un mínimo de seguridad en mente. Sin embargo, el pico que vemos en Suecia nos muestra un extremo opuesto. Y aunque las cifras en Bélgica e Italia se mantienen relativamente estables, eso no llama a la celebración, al contrario. En todo caso, demuestra que hay poco o ningún conocimiento general sobre los peligros que conllevan estas prácticas; si lo hubiera, deberíamos registrar un descenso drástico de los puntos finales RDP abiertos, no una constante.
Aunque no podemos comparar los datos históricos de nuestras regiones no investigadas anteriormente (Reino Unido, Países Bajos y Alemania), podemos afirmar que la amenaza es muy real también en esos países. En conjunto, constituyen la mayor parte de los servidores públicos descubiertos.
3. Las organizaciones que levantan y cambian a cloud público olvidan los fundamentos de la seguridad
Uno esperaría que el cloud público (como Microsoft Azure) tuviera un impacto positivo en la cantidad de puntos finales RDP abiertos; por desgracia, ocurre lo contrario. Como es evidente en los Países Bajos, donde 42% de los puntos finales abiertos se encontraron en Azure, definitivamente no es el caso de que pasar a un cloud público haga olvidar las preocupaciones. Esto también nos lleva a concluir que a menudo las empresas realizan un "lift & shift" hacia la cloud pública, sin tener en cuenta los procedimientos de seguridad correctos ni en su infraestructura on-prem ni en la pública.
Mitigar los riesgos de seguridad con Awingu
Awingu facilita una solución para este problema con nuestro Unified Workspace. Al utilizarlo, te conectas a la aplicación o al escritorio a través de un navegador, y ya no a través de un cliente RDP. Esto significa que las personas con malas intenciones ya no pueden explotar los puntos débiles de un acceso RDP desprotegido. Para maximizar la protección a través del acceso al navegador, Awingu implementa las siguientes medidas de seguridad:
- Autenticación multifactorial: Awingu viene con una solución MFA incorporada, y puede (si es necesario) integrar fácilmente tu método actual de autenticación. Al añadir MFA te aseguras de que los "ataques de fuerza bruta" ya no sean posibles.
- SSL sin problemas: utilice sus propios certificados o cambie de SSL a través de la integración de Let's Encrypt incorporada con un solo clic del ratón.
- Amplias posibilidades de auditoría: mantenga sus herramientas de registro RDP existentes junto con las capacidades de auditoría de Awingu incluidas
- Detección de anomalías: ser informado de las irregularidades en su entorno, como cuando alguien se conecta demasiado a menudo con una contraseña incorrecta o cuando alguien intenta conectarse desde el extranjero
- Añade una capa adicional: Awingu añade una puerta adicional que sólo es accesible a través de http(s), lo que hace mucho más difícil que los hackers accedan a su RDP. En esencia, proporciona otra puerta que necesita ser "desbloqueada".
English 
Italian 
German 
Spanish 
French