RDP: los riesgos del escritorio remoto expuesto a internet y sus alternativas

El puerto 3389 (RDP) expuesto directamente a internet es uno de los blancos favoritos de los atacantes. Herramientas automatizadas escanean constantemente internet en busca de RDP accesible, y cuando lo encuentran, lanzan ataques de fuerza bruta hasta entrar.

¿Por qué es tan peligroso?

• Un RDP accesible desde internet con credenciales débiles puede ser comprometido en minutos.
• Es el punto de entrada más común para ataques de ransomware.
• Se venden accesos RDP a empresas comprometidas en la dark web por 50-200€.
• Vulnerabilidades críticas como BlueKeep (CVE-2019-0708) permiten ejecución remota sin credenciales.

Alternativas seguras al RDP directo

• RDP a través de VPN: el escritorio remoto solo accesible desde dentro de la VPN. El estándar mínimo.
• Remote Desktop Gateway (RDG): acceso RDP a través de HTTPS con autenticación adicional.
• Tailscale / Netbird: VPN mesh que crea un túnel cifrado punto a punto sin exponer puertos.
• Soluciones zero-trust: Cloudflare Access, Teleport — acceso verificado por identidad, sin puertos expuestos.

Si necesitas RDP, minimiza el riesgo

• Cambia el puerto 3389 por otro (dificulta los escaneos automatizados).
• Activa Network Level Authentication (NLA).
• Bloquea RDP en el firewall para todo el mundo excepto IPs conocidas.
• Usa contraseñas fuertes y MFA.
• Mantén Windows actualizado — hay CVEs críticos de RDP con regularidad.

Blindara monitoriza los accesos RDP en tiempo real — intentos de fuerza bruta, credenciales válidas en horarios o desde IPs inusuales — y alerta antes de que un acceso no autorizado tenga tiempo de consolidarse.