Sophos, una de las empresas más importantes dedicadas al mundo de las soluciones de seguridad tanto a nivel de software como de hardware, ha compartido un nuevo estudio muy interesante donde analiza más de 150 casos de respuesta a incidentes que atendió el el equipo de Sophos X-Ops IR en 2023, y sus resultados y conclusiones son muy valiosas.
Una de esas conclusiones nos dice que durante el año pasado los cibercriminales abusaron del protocolo de escritorio remoto, también conocido como RDP por sus siglas en inglés. Como sabrán muchos de nuestros lectores este protocolo permite acceder de forma remota a equipos basados en sistemas operativos Windows, y juega un papel muy importante tanto en espacios de teletrabajo y de trabajo híbrido como a la hora de dar servicio técnico sin necesidad de que el profesional se desplace al lugar de trabajo.
Bien utilizado es una herramienta de gran utilidad, pero también implica riesgos en materia de seguridad que pueden ser muy graves. Según el estudio que ha compartido Sophos en 2023 se abusó tanto de ese protocolo que los cibercriminales recurrieron a él para establecer un 90% de sus ataques. Esta es la cifra más alta que ha registrado la compañía desde que empezó a elaborar este tipo de informes en 2021 (con datos de 2020, el año de la pandemia).
Preocupante, sin duda, y algo que cualquier equipo de seguridad debe tener en cuenta a la hora de enfocar y adaptar sus políticas de protección de seguridad en diferentes empresas. Sobre este tema John Shier, CTO Field de Sophos, ha comentado:
«Los servicios remotos externos son un elemento necesario, pero arriesgado, para muchas empresas. Los atacantes saben los riesgos que plantean estos servicios y tratan activamente de sabotearlos dada la recompensa que se esconde tras ellos. Exponer servicios sin una especial atención y mitigación de riesgos conduce inevitablemente a un compromiso de las redes. A un atacante no le lleva mucho tiempo encontrar y vulnerar un servidor RDP expuesto y sin controles adicionales, ni tampoco encontrar el servidor de Directorio Activo que le espera al otro lado».
Una explicación muy acertada, sin duda, ya que entiende la importancia del protocolo de escritorio remoto de Windows y que no debemos dejar de utilizarlo, sino que simplemente debemos implementar medidas de protección adecuadas para evitar que este pueda servir de vía de acceso a los cibercriminales.
Sophos ha compartido un ejemplo concreto para ilustrar mejor esta realidad, y es que uno de sus clientes se vio afectado por una vulneración de dicho protocolo cuatro veces en seis meses. lograron acceder a través de los puertos RDP, y una vez dentro pudieron moverse a través de las redes de la empresa. Durante el tiempo que estuvieron dentro descargaron archivos maliciosos, desactivaron los sistemas de protección y se dieron acceso remoto.
En su estudio la compañía también ha confirmado que las credenciales comprometidas y la explotación de vulnerabilidades no resueltas, tanto de software como de hardware, siguen dos de las causas más comunes de los ataques que realizan los cibercriminales. En relación a este tema John Shier dijo que:
«Gestionar el riesgo es un proceso activo. Las empresas que lo hacen bien experimentan mejores escenarios de seguridad que las que no lo hacen a la hora de afrontar las amenazas continúas lanzadas por atacantes con mucha determinación. Un aspecto importante de la gestión de los riesgos de seguridad, más allá de identificarlos y priorizarlos, es actuar en función de la información. A pesar de ello, y durante demasiado tiempo, ciertos riesgos como el RDP abierto siguen inundando de ataques a las empresas para deleite de los cibercriminales, que pueden entrar por la puerta principal. Asegurar la red reduciendo los servicios expuestos y vulnerables y reforzando la autenticación hará que las empresas mejoren sus niveles de seguridad y estén mejor preparadas para hacer frente a los ciberataques».
Sophos ofrece soluciones de seguridad como servicio y hardware que pueden ayudar a cualquier empresa a cumplir sus objetivos, y a hacer frente a todos esos factores de riesgo que pueden acabar comprometiéndola y poniéndola en peligro.
