Lista de verificación de auditoría de seguridad RDP: 12 cosas que corregir antes de su próximo pentest
RDP (Remote Desktop Protocol) aparece en la fase de acceso inicial de casi todos los principales incidentes de ransomware. Puerto 3389 expuesto, credenciales débiles, sin MFA — los atacantes conocen el procedimiento. Su próximo test de penetración encontrará estos problemas si aún no los ha abordado. Esta lista de verificación le indica exactamente qué corregir y cómo.
Lista de verificación de 12 elementos
Trabaje a través de estos en orden. Los elementos 1–3 son críticos; abórdelos antes que nada más.
1. Puerto RDP expuesto (3389) directamente en Internet
Problema: Sus servidores Windows aceptan conexiones RDP en el puerto 3389 desde Internet público.
Riesgo: Los atacantes escanean continuamente el puerto 3389 abierto. Dentro de horas de que un nuevo servidor esté en línea, está recibiendo ataques de fuerza bruta y de relleno de credenciales. Este es el vector de acceso inicial de ransomware más común en entornos empresariales.
Solución: Elimine la regla de firewall que permite 3389 entrante desde Internet. Acceda a los servidores Windows solo a través de una solución PAM (como VaultPAM) que actúe como intermediario de la sesión — el puerto RDP permanece cerrado en el servidor, y la conexión se establece de forma saliente a través del conector.
2. Credenciales de administrador compartidas entre servidores
Problema: Su equipo utiliza una cuenta Administrator compartida (o admin, o una cuenta de nombre único) en múltiples servidores, y varias personas conocen la contraseña.
Riesgo: Cuando una persona se va, se enfrenta a la elección imposible de rotar la contraseña e interrumpir a todos los demás, o dejar el acceso del ex empleado intacto. Cuando tiene un incidente, no puede determinar quién realizó qué acción porque toda la actividad se atribuye a una cuenta compartida.
Solución: Pase a cuentas individuales con nombre para todo acceso privilegiado. Utilice un almacén de credenciales para almacenar y rotar automáticamente credenciales de servidor. Utilice intermediación de sesiones para que los usuarios se conecten sin recibir la contraseña real — el almacén la mantiene.
3. Sin MFA en cuentas privilegiadas
Problema: Los administradores se autentican en sistemas de producción solo con nombre de usuario y contraseña.
Riesgo: Un único correo electrónico de phishing, volcado de credenciales o contraseña reutilizada otorga a un atacante acceso administrativo completo. MFA es el control de mayor impacto para detener ataques basados en credenciales.
Solución: Requiera TOTP (Google Authenticator, Authy) o tokens de hardware (YubiKey, Touch ID, Windows Hello) para cada cuenta privilegiada. Verifique la aplicación — los documentos de política no cuentan; demuestre que un intento de inicio de sesión sin MFA es rechazado.
4. Sin grabación de sesión
Problema: Cuando ocurren sesiones privilegiadas, no hay registro de lo que sucedió dentro de la sesión.
Riesgo: La forensia post-incidente es imposible. Los auditores no pueden verificar qué acciones se tomaron. Las amenazas internas no dejan rastro de evidencia. Los atacantes de ransomware que abusan de credenciales de administrador no pueden ser rastreados más allá del evento de inicio de sesión.
Solución: Enrute todas las sesiones privilegiadas a través de una solución PAM que grabe video de sesión completa y registros de actividad (comandos ejecutados, archivos transferidos, contenido del portapapeles). Almacene grabaciones con integridad a prueba de manipulaciones (cadenas hash) durante al menos 12 meses.
5. Privilegios de administrador permanentes (sin acceso JIT)
Problema: Los administradores tienen acceso privilegiado 24/7/365 a sistemas de producción, incluso cuando no están realizando una tarea administrativa.
Riesgo: Un atacante que comprometa el estación de trabajo o las credenciales de un administrador tiene acceso inmediato y persistente a la producción. La superficie de ataque siempre es máxima.
Solución: Implemente acceso Just-in-Time (JIT). Los privilegios se otorgan para una tarea y ventana de tiempo específicas, luego se revocan automáticamente. Entre tareas, la cuenta no tiene acceso privilegiado — o no tiene cuenta activa en absoluto.
6. Sin reenvío de registro de auditoría
Problema: Los registros de eventos del servidor (Registro de eventos de Windows, registro de autenticación de Linux) permanecen en el servidor donde pueden ser borrados por un atacante que logre acceso administrativo.
Riesgo: Un atacante con acceso de administrador puede borrar registros y borrar evidencia de su presencia. Durante la respuesta a incidentes, datos forenses críticos pueden estar faltando.
Solución: Reenvíe todos los eventos de acceso privilegiado a un SIEM centralizado o almacén de registros inmutable inmediatamente después de la generación. Asegúrese de que el reenvío de registros se ejecute como un servicio que no pueda detenerse sin activar una alerta.
7. Credenciales no rotadas en almacenes compartidos u hojas de cálculo
Problema: Las contraseñas de producción se almacenan en una hoja de cálculo compartida, un gestor de contraseñas compartido con múltiples usuarios, o una herramienta de documentación de TI — y no se han rotado en meses o años.
Riesgo: Cada persona que alguna vez ha tenido acceso a esa hoja de cálculo o gestor de contraseñas es una amenaza potencial. Las credenciales compartidas en texto plano son credenciales que eventualmente se filtrarán.
Solución: Traslade todas las credenciales de producción a un almacén con rotación automática. Establezca cronogramas de rotación apropiados a la sensibilidad (diaria para cuentas de producción crítica, semanal para otras). Configure el almacén para rotar credenciales después de cada extracción.
8. Sin flujo de trabajo de aprobación para objetivos sensibles
Problema: Cualquier administrador puede acceder a cualquier servidor en cualquier momento sin que una segunda persona lo sepa o lo apruebe.
Riesgo: El movimiento lateral por una amenaza interna o una cuenta de administrador comprometida no está controlado. Los cambios accidentales en sistemas críticos no tienen control de segundo par de ojos.
Solución: Implemente flujos de trabajo de aprobación para sus cinco objetivos de producción más sensibles. Las solicitudes de acceso requieren aprobación documentada de una segunda persona autorizada antes de que comience la sesión. VaultPAM registra la solicitud, la aprobación y cada acción tomada durante la sesión aprobada.
9. Nombres de cuenta de administrador predeterminados (Administrator, admin, root)
Problema: Sus servidores utilizan los nombres de cuenta de administrador incorporados predeterminados.
Riesgo: Los ataques de relleno de credenciales apuntan a nombres de cuenta predeterminados porque son predecibles. Cada servidor Windows tiene una cuenta Administrator; los atacantes saben intentarlo primero.
Solución: Cambie el nombre de la cuenta de administrador de Windows incorporada en todos los servidores. En Linux, desactive el inicio de sesión directo de root SSH (PermitRootLogin no en sshd_config). Cree cuentas administrativas con nombre para uso legítimo. Almacene credenciales en un almacén.
10. Sin tiempo de espera en sesiones inactivas
Problema: Las sesiones RDP permanecen activas indefinidamente cuando el usuario se aleja de su escritorio sin bloquear ni desconectar.
Riesgo: Una sesión activa desatendida es una puerta abierta. El tailgating físico o el acceso remoto a la estación de trabajo del administrador otorga acceso completo a cada sistema al que está conectado el administrador.
Solución: Configure políticas de tiempo de espera de sesión — desconecte sesiones inactivas después de 15 minutos, cierre sesiones desconectadas después de 30 minutos. Aplique tanto a nivel de cliente (GPO) como de servidor. VaultPAM aplica tiempos de espera de sesión en la capa PAM independientemente de la configuración del cliente.
11. Control de acceso solo VPN (sin capa PAM)
Problema: Su modelo de control de acceso es: "si está en la VPN, puede hacer RDP a cualquier servidor para el que tenga credenciales."
Riesgo: VPN es control de acceso a nivel de red. No restringe a qué servidores puede llegar un usuario, no aplica principio de menor privilegio, no graba sesiones y no requiere MFA por sesión. Una credencial VPN comprometida otorga a un atacante acceso a toda su red interna.
Solución: Agregue una capa PAM encima de la VPN (o reemplace completamente el acceso basado en VPN). Los usuarios se autentican en la solución PAM, que aplica acceso basado en políticas a objetivos específicos, requiere MFA y graba cada sesión. Los servidores de destino no son accesibles desde la VPN — solo desde el conector PAM.
12. Sin proceso de revisión de acceso
Problema: Los derechos de acceso privilegiado se otorgan pero nunca se revisan. Los usuarios acumulan acceso a lo largo del tiempo; los que se van pueden retener acceso durante meses después de la partida.
Riesgo: El aumento de privilegios es un hallazgo común de auditoría y un riesgo de seguridad real. Las cuentas inactivas con acceso privilegiado son objetivos de alto valor — los atacantes buscan cuentas que no han iniciado sesión recientemente (nadie está vigilando).
Solución: Implemente un proceso de revisión de acceso trimestral. Exporte la lista completa de cuentas privilegiadas y sus derechos de acceso. Tenga un revisor designado confirmar que cada acceso aún es necesario y apropiadamente limitado. Revoque el acceso que no pueda justificarse. Documente la revisión con fecha, nombre del revisor y resultado.
Dónde empezar
Si se está preparando para un pentest, priorice los elementos 1, 2 y 3 primero — son los hallazgos de acceso inicial más probables y el riesgo más alto. Los elementos 4, 5 y 6 son los hallazgos de post-explotación más probables. Los elementos 7–12 son los hallazgos de auditoría de cumplimiento más comunes.
Los 12 elementos son abordados por la implementación de una solución PAM. La lista de hallazgos de pentest no se acorta con el tiempo sin una — se alarga a medida que crece su entorno.
VaultPAM aborda los 12 elementos en una implementación de una sola tarde. Sin agentes que instalar. Sin cambios de firewall necesarios. Las sesiones se intermedian a través de conectores solo salientes; el puerto 3389 permanece cerrado.
Iniciar prueba gratuita — vea cómo VaultPAM elimina los principales hallazgos de pentest RDP de su entorno.