El RDP (Protocolo de Escritorio Remoto) es muy práctico. Con unos pocos clics, ya estás en tu entorno de trabajo, sentado en casa con tu portátil o incluso con tu teléfono en una cafetería. Pero hay un "pero": el RDP también es un objetivo predilecto de los atacantes. Los hackers escanean constantemente la red en busca de puertos RDP abiertos, descifran contraseñas y obtienen claves. Si no cuidas la seguridad, tu "escritorio remoto" se convierte en una "puerta abierta para todos".
La buena noticia es que hay algunos ajustes sencillos pero efectivos que harán que tu sistema sea mucho más estable. Analicémoslos uno por uno.
Las contraseñas no son "123456"
Parece trivial, pero aquí es donde empiezan la mayoría de los hackeos. Contraseñas como qwerty, admin o password1 son una bendición para los bots. Primero revisan estas opciones.
La regla es simple: al menos 12 caracteres, una combinación de letras, números y símbolos. Mejor aún, usa un gestor de contraseñas para ahorrarte molestias. Un generador de contraseñas puede ayudarte a crear fácilmente combinaciones seguras.
Un ejemplo: en 2023, una empresa estadounidense perdió el control de su servidor simplemente porque el administrador del sistema dejó la contraseña "Welcome2022". Los hackers descargaron la base de datos de clientes en dos horas. Y no se trataba de una pequeña empresa, sino de un servicio con 200.000 usuarios.
Autenticación de dos factores (2FA)
Incluso si un bot roba o adivina tu contraseña, una segunda verificación te salvará. Puede ser un código OTP de Google Authenticator, un SMS o una notificación push.
En Windows Server, puedes conectar soluciones de 2FA adicionales, y funciona de maravilla. Sí, a veces es un inconveniente, pero piénsalo: ¿qué es mejor, dedicar 20 segundos a programar o perder tu base de clientes y tener que reconstruir tu reputación durante años?
Cambiar el puerto y restringir el acceso
Por defecto, RDP se encuentra en el puerto 3389. Y es a este puerto al que miles de bots están "disparando". Cambiar el puerto es un problema pequeño pero molesto.
Aún mejor es permitir el acceso solo a ciertas IP. Por ejemplo, solo puedes iniciar sesión desde la oficina o mediante una VPN. Sí, es un poco engorroso, pero un hacker de Bangladesh no podrá infiltrarse en tu servidor, ni siquiera en teoría.
La analogía es la siguiente: imaginemos que necesitamos pasar del primer piso con la ventana abierta al vigésimo piso con intercomunicador. ¿Es posible subir a una vivienda así? En teoría, sí. Pero las probabilidades son mucho menores.
Utilice el cifrado y no olvide actualizar.
RDP cuenta con una función llamada Autenticación a Nivel de Red (NLA). Esta función añade autenticación antes de establecer una sesión. Si la NLA está deshabilitada, es como dejar una puerta abierta.
Y el segundo son las actualizaciones de Windows. Muchas vulnerabilidades de RDP ya se han solucionado mediante actualizaciones. La falta de un parche abre la puerta a los hackers.
Un ejemplo claro es el ataque BlueKeep de 2019, que se propagó precisamente a través de servidores Windows antiguos que no estaban actualizados. La vulnerabilidad permitió el control total de la máquina sin contraseña. ¿Y adivina qué? Miles de empresas simplemente no actualizaron sus sistemas.
Registros y monitoreo: su caja negra
Ninguna cantidad de contraseñas o autenticación de dos factores te salvará si no sabes qué sucede en el sistema. Verifica:
quién inició sesión y desde qué IP;
¿Hubo cientos de intentos fallidos de inicio de sesión?
¿Ha habido alguna sesión extraña por la noche cuando todos están durmiendo?
Existe el Visor de Eventos de Windows para esto, pero es mejor conectar servicios de monitoreo externos. Te notificarán de inmediato, no cuando sea demasiado tarde.
Varios mitos comunes sobre RDP
"No me hackearán, soy pequeño". A los bots no les importa quién eres. Simplemente escanean direcciones IP y atacan todo a la vez.
“Una VPN bastará”. Una VPN es buena, pero si la contraseña RDP es débil, no te salvará.
Nuestro informático lo controla todo. Sí. Está de vacaciones y no hay parches en el servidor.
RDP en acción real
En 2021, una empresa de logística ucraniana fue suspendida durante una semana. El motivo fue un RDP abierto sin restricciones. El trabajo se restableció en 10 días.
Un freelancer de Fiverr admitió que sus cuentas fueron hackeadas después de que el servidor RDP donde guardaba sus proyectos se viera comprometido. La contraseña era admin123. Los clientes se fueron y el perfil fue bloqueado.
Éstas no son historias de terror: son una práctica diaria.
Para resumir
RDP no es un lujo, sino una herramienta sin la cual es difícil imaginarse el teletrabajo. Pero si no cuidas la configuración básica, esta herramienta se volverá en tu contra.
Una contraseña segura, 2FA, un puerto no estándar, filtrado de IP, cifrado y actualizaciones, además de monitoreo: esta es la lista mínima de verificación.
Y si usas Windows VDS de Hyperhost , ya obtienes parte de este "paquete de seguridad" por defecto: centros de datos, SSD con tolerancia a fallos y canales seguros. El resto depende de ti. Porque en 2025, "hackeado vía RDP" no suena a noticia, sino a diagnóstico: "no se configuraron los elementos básicos".
