Hace más de dos meses el número de personas teletrabajando se disparó. Ahora, esta modalidad de trabajo se ha convertido en la nueva normalidad para muchas empresas en todo el mundo, debido a la pandemia del Coronavirus, y es muy probable que en muchas organizaciones el trabajo desde casa haya llegado para quedarse.

Esta circunstancia ha puesto a muchas empresas en la necesidad de confiar en las conexiones de escritorio remoto y acceso a los equipos de oficina desde cualquier punto. Sin embargo, esto trae consigo unos riesgos de seguridad muy graves. Conscientes del cambio de escenario, los ciberdelincuentes –sobre todo los operadores de ransomware– intentan explotar las nuevas oportunidades para aumentar sus ganancias.

Los datos que aporta la telemetría de la compañía de seguridad ESET confirman esta tendencia con el aumento en el número de clientes únicos que informaron intentos de ataque de fuerza bruta que fueron bloqueados mediante la tecnología para la detección de ataques de red de ESET.

Antes del período de confinamiento, muchos de los colaboradores que hoy están trabajando de manera remota solían hacerlo desde la oficina y usaban infraestructura monitoreada. Pero la pandemia de Covid-19 provocó un cambio importante en la dinámica diaria de muchos sectores a nivel global.

Hoy en día, un gran porcentaje del trabajo de “oficina” se realiza a través de dispositivos hogareños con colaboradores que acceden a sistemas confidenciales de la empresa a través del Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) de Windows, una solución creada y patentada por Microsoft para permitir la conexión a la red corporativa desde computadoras remotas.

Pese a la creciente importancia del RDP, las organizaciones a menudo descuidan su correcta configuración y protección. Los colaboradores usan contraseñas fáciles de adivinar y no hacen uso de capas adicionales de autenticación o protección, y esto hace que sea más sencillo para los ciberdelincuentes actuar.

Ataques contra RDP

Una de las herramientas más populares para realizar esta conexión remota es RDP.
En los últimos tiempos, la cantidad de ataques de fuerza bruta contra las conexiones RDP ha aumentado de manera exponencial.

Estos ciberataques son automatizados y tienen como objetivo hacerse con el control de los escritorios corporativos e infiltrarse en las redes. Con este control, un cibercriminal puede llevar a cabo la totalidad de operaciones de un empleado legítimo, pudiendo acceder a datos confidenciales y utilizar el email corporativo, algo que podría facilitar el spear phishing.

Antes de la pandemia, estos ataques rondaban los 150.000 intentos al día. Sin embargo, a principios de marzo, cuando empezaron las medidas de confinamiento más estrictas, se registraban casi un millón de intentos de ataque contra RDP cada día.

Protección de la conexión RDP

Para protegerse contra los ataques de fuerza bruta es muy importante utilizar una contraseña segura y no reciclar las contraseñas viejas. Esto último punto es especialmente importante para evitar los ataques de relleno de credenciales. También es necesario tener la capacidad de monitorizar toda la actividad de los endpoints de la empresa y así encontrar cualquier actividad RDP sospechosa.

Panda Adaptive Defense, por ejemplo, monitoriza de manera constante toda la actividad de todos los procesos del sistema. Además, de parar cualquier proceso desconocido, es recomendable monitorear el comportamiento de los procesos conocidos para así detener cualquier uso malicioso de las herramientas legítimas.

Por otra parte, los investigadores de la firma ESET han ideado una nueva capa de detección que está oculta dentro del motor de ESET Network Attack Protection y que está diseñada para bloquear los ataques de fuerza bruta entrantes provenientes de direcciones IP externas, contemplando tanto RDP como los protocolos SMB.

Llamada ESET Brute-Force Attack Protection, esta nueva capa de seguridad detecta grupos de intentos fallidos de inicio de sesión desde entornos externos, que sugieren un ataque de fuerza bruta entrante, y luego bloquea más intentos. Posteriormente, las direcciones IP correspondientes a los intentos de ataque más importantes se agregan a una lista negra que protege a millones de otros dispositivos de futuros ataques.