La pandemia a causa del coronavirus ha transformado el mundo laboral. El teletrabajo se ha convertido en la nueva dinámica laboral y son miles los trabajadores que desempeñan sus actividades diarias desde sus domicilios. Este nuevo paradigma no ha pasado desapercibido a los hackers, que no han tardado en adaptar sus ciberataques a un perímetro de seguridad cada vez más desdibujado. En ese sentido, el Remote Desktop Platform (RDP) de Microsoft se ha convertido en el blanco de los atacantes con el objeto de multiplicar el potencial de los ciberataques mediante DDoS , y de hecho, se están produciendo ciberataques coordinados empleando el método de fuerza bruta de forma masiva.

Pero, ¿qué es exactamente el RDP de Microsoft? Como hemos apuntado, se trata de una solución, sobre el papel, idónea para que los empleados de una compañía puedan trabajar en remoto, sin apreciar diferencias en sus puestos de trabajo. Básicamente, esta función tan popular de Windows permite conectar dos dispositivos mediante una conexión a internet, y su popularidad ha propiciado que los expertos vaticinen que en 2021 sucedan ataques en masa aprovechando las debilidades de esta útil función.

Así opera un ciberataque mediante DDoS_

El ataque a través de la denegación de servicio (DDoS, por sus siglas en inglés) consiste en saturar los servicios mediante flujos de información tan alta que los sistemas no dan abasto y se bloquean. La principal desventaja de este tipo de ciberataques reside en que son muy baratos —desde una perspectiva meramente de coste para los ciberatacantes—, y basta con una infraestructura mínima para poder generar serios problemas a los servidores.

Los ciberataques mediante DDoS han proliferado como consecuencia de las nuevas formas de trabajar. La propia sistemática de funcionamiento del RDP lo convierte en un objetivo muy atractivo para los ciberatacantes: con cada solicitud de log in, el sistema genera una cadena más larga que la propia solicitud, con lo que, si son miles las solicitudes enviadas, se comprende que

Saturar el servicio mediante amplificadores_

Los ciberatacantes emplean inicialmente los ataques automatizados desde servidores empleando la amplificación mediante una técnica conocida como booter/stresser. Gracias a este efecto, los ciberatacantes pueden enviar a su objetivo hasta 850 Gbps a partir de apenas 10 Gbps de salida. Es tal la actividad de los hackers hacia este objetivo que cualquier ciberatacante podría subcontratar un servicio a demanda de ataques DDoS para dirigirlo a equipos operando con RDP y lograr, de esta manera, un resultado multiplicador.

Con todo, los ciberataques amplificados mediante DDoS no son nuevos: llevan actuando desde hace una década, pero ahora se han modernizado incorporando Open DNS Resolvers, el protocolo para IoT WS-Discovery y el Network Time Protocol. Los expertos en ciberseguridad recuerdan que son más de 33.000 los servidores RDP repartidos por el mundo y que, dado el bajo coste del ciberataque, se convierten en una inversión “rentable” para los ciberdelincuentes y en una potencial brecha de seguridad para las empresas.

Cómo asegurar las conexiones mediante RDP_

Como puede apreciarse, el panorama no es precisamente halagüeño desde el punto de vista de las organizaciones, pero si se adoptan una serie de medidas básicas de protección los empleados podrán disfrutar de una conexión remota mediante RDP sin incidencias.

Lo primero que se recomienda es emplear siempre redes privadas virtuales (VPN) para efectuar la conexión en remoto. En caso de que la conexión no se realice de esta manera, es recomendable evitar el acceso. Se debe procurar que este servicio esté únicamente disponible mediante la conexión a una determinada red privada virtual. En casos extremos y si la conexión remota no es imprescindible, algunas organizaciones optan por deshabilitar el RDP para sellar cualquier posible acceso en remoto de origen malicioso.

Sin embargo, están medidas deben complementarse con herramientas avanzadas de ciberseguridad, que partan de un enfoque Zero Trust para denegar por sistema la ejecución de cualquier binario, como ocurre con las soluciones de Cytomic.

Además, también será muy útil que cuenten con una solución con grandes capacidades de Threat Hunting como Cytomic Orion:  pasarán a tener un enfoque proactivo en el que podrán buscar y encontrar amenazas malwareless en base a analítica de comportamiento a escala desde la nube.

Todo ello, les permitirá también acortar los tiempos de detección, mitigación y respuesta a los incidentes, ya que su análisis es permanente y en tiempo real. Así, la plataforma automatiza la recogida, enriquecimiento y filtrado de millones de eventos monitorizados de la actividad de los endpoints.  De esta manera, se anticiparán a amenazas (o reducirán al máximo su daño causado) como las que han aprovechado el protocolo RDP.