Actualidad, Security Breaches

El teletrabajo y la deslocalización incrementan los ciberataques

El software de escritorio remoto permite a los empleados conectarse a su red informática sin estar físicamente vinculados al dispositivo anfitrión, sin la necesidad de encontrarse en la misma ubicación. Esto lo convierte en una útil herramienta para una plantilla que trabaja a distancia o que está distribuida geográficamente. Sin embargo, el software de escritorio remoto también es un blanco recurrenteen los ciberataques.

Uno de los retos a los que se enfrentan los equipos a la hora de implantar un software de escritorio remoto es la existencia de muchas y diversas herramientas que precisan de varios puertos para funcionar. Esta circunstancia puede dificultar a los equipos de seguridad informática la supervisión y detección de conexiones maliciosas y la consiguiente intrusión en los mismos.

En este contexto, el método de ataque más extendido contra este software es el uso abusivo de credenciales débiles, las cuales ofrecen al atacante un acceso inmediato a los sistemas a los que tiene acceso el usuario. Además, las implementaciones de software de escritorio remoto también pueden ser vulnerables a exploits de bugs de software y estafas de soporte técnico.

¿Cuáles son las herramientas de escritorio remoto más atacadas en el último año?

Virtual Network Computing (VNC) – Puertos 5800+, 5900+ .- VNC, que utiliza el protocolo RFB, es una herramienta ampliamente utilizada e independiente de la plataforma. Esto permite a usuarios y dispositivos conectarse a servidores independientemente del sistema operativo. VNC se utiliza como software de base para, entre otras, las soluciones de escritorio remoto y uso compartido de pantalla de Apple, siendo comúnmente empleado en sectores de infraestructuras críticas; otro objetivo creciente de los ciberataques.

Según fuentes de datos de Barracuda, VNC fue la herramienta de escritorio remoto más atacada el año pasado, con un 98% de tráfico en todos los puertos específicos de escritorio remoto. Más del 99% de estos intentos de ataque se dirigieron a puertos HTTP y el 1% restante a Protocolos de Control de Transferencia (TCP). Esto se debe a que, a diferencia de TCP, HTTP no requiere autenticación específica. Por otro lado, la vulnerabilidad más común estaba en la CVE-2006-2369, que permite al atacante saltarse la autenticación. Si hablamos del origen geográfico de los ataques, es difícil establecerlo con exactitud. Sin embargo, alrededor del 60% del tráfico malicioso procedía de China.

Protocolo de Escritorio Remoto (RDP) – Puerto 3389.- Creado por Microsoft para el uso de escritorios remotos, representó alrededor del 1,6% de los intentos de ataque que detectamos en el último año. Sin embargo, es más probable que los ataques de mayor envergadura contra redes y datos impliquen RDP que VNC. Estos se utilizan a menudo para desplegar malware, especialmente ransomware o criptomineros, incluso para aprovechar máquinas vulnerables como parte de ataques DDoS. Además, alrededor del 15% de los intentos de ataque incluía una cookie obsoleta. Una táctica que podría ayudar a los atacantes a identificar versiones más antiguas y, por tanto, más vulnerables del software RDP.

Y es que, al igual que otros servicios de escritorio remoto, RDP es el objetivo principal de los ataques basados en credenciales. Algo que se ha acentuado a lo largo de los últimos años a través de graves vulnerabilidades que permiten la ejecución remota de código (RCE) en el sistema de destino. Otra posibilidad es que los atacantes usen RDP con el fin de obtener hashes de contraseñas para cuentas con más privilegios.

RDP también se utiliza en los ataques de vishing (phising voz/teléfono) del soporte técnico de Microsoft, cuyo objetivo es estafar a los usuarios convenciéndoles de que su equipo tiene problemas técnicos que el atacante puede solucionar si se habilita el acceso RDP y se le concede. En este caso, los datos sugieren que la mayoría de los intentos de ataque contra RDP se originaron en Norteamérica (aproximadamente el 42% de los ataques), seguida de China e India, aunque el uso de proxies o VPN puede ocultar el origen real de los mismos.

TeamViewer – Puerto 5938.- Los ataques dirigidos a TeamViewer representaron el 0,1% del tráfico malicioso en todos los puertos de escritorio remoto cubiertos por nuestras fuentes de datos. Los pocos ataques detectados estaban relacionados con la vulnerabilidad Log4Shell y parecían tener como objetivo el centro de gestión central de la herramienta, (Frontline Command Center), la única aplicación de TeamViewer que utiliza Java.

Como oferta empresarial, TeamViewer ofrece más funciones de seguridad, como la huella digital de dispositivo, credenciales generadas automáticamente, backoff exponencial para credenciales incorrectas y autenticación multifactor (MFA). Todo el tráfico entre el cliente y el servidor de TeamViewer también está cifrado para mejorar la seguridad. Sin embargo, a pesar de estas protecciones, este sigue siendo utilizado en ataques o es el objetivo de los mismos; algo que suele deberse a credenciales suplantadas o compartidas de forma insegura. Además del puerto 5938, los puertos 80 y 443 también pueden utilizarse con TeamViewer, lo que puede dificultar al equipo de seguridad la detección de conexiones maliciosas en la red.

Arquitectura de Computación Independiente (ICA)- Puertos 1494, 2598.- ICA es un protocolo de escritorio remoto creado por Citrix como alternativa a RDP. El puerto 1494 se utiliza para las conexiones entrantes de ICA; y esta, por su parte, también puede encapsularse en el protocolo de puerta de enlace común de Citrix, que utiliza el puerto 2598. Algunas versiones anteriores del cliente ICA presentaban vulnerabilidades RCE. La más general, CVE-2023-3519, también afectaba al proxy ICA y era utilizada por los atacantes para crear web Shell en los sistemas afectados.

AnyDesk – Puerto 6568.- Se ha utilizado para estafas de soporte técnico, así como estafas de servicio al cliente de banca móvil. AnyDesk se incluyó en algunas variantes de ransomware en 2018, posiblemente para confundir a los sistemas de detección de malware en cuanto a su verdadero propósito. Además del puerto 6568, también puede utilizar los puertos 80 o 443.

Splashtop Remote – Puerto 6783.- Aunque representa el menor tráfico de intentos de ataque entre las soluciones de escritorio remoto, Splashtop Remote se ha utilizado en estafas de soporte. También puede verse comprometido usando credenciales débiles reutilizadas o suplantadas.

Cómo reducir el riesgo

Las soluciones de seguridad de defensa en profundidad, capaces de detectar el tráfico portuario sospechoso a través de la red, son fundamentales. Esto debe complementarse con políticas y programas de seguridad sólidos, como la restricción de acceso a servicios remotos a quienes lo necesiten, el uso de conexiones seguras como una VPN y la actualización periódica del software con los últimos parches. Los métodos de autenticación deben incluir el uso de contraseñas seguras, con autenticación multifactor (MFA) como mínimo, idealmente pasando a un enfoque de Confianza Cero.

La estandarización de una solución específica de escritorio remoto en toda la organización permitirá al equipo de TI centrar los recursos en la gestión, supervisión y protección de los puertos asociados, bloqueando el resto del tráfico.

Pedro Pablo Merino

Deja un comentario Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

CISO Day 2024: Mesa redonda, «El reto de la IA y los ataques automatizados»

Actualidad, AI, Ciberseguridad, Eventos

Check Point Research alerta de una nueva estafa para robar monederos de criptomonedas

Sin categoría

Bitdefender denuncia una campaña de malware que utiliza el videojuego Grand Theft Auto como gancho

Sin categoría

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

CISO Day 2024: Mesa redonda, «El reto de la IA y los ataques automatizados»

Actualidad, AI, Ciberseguridad, Eventos

Check Point Research alerta de una nueva estafa para robar monederos de criptomonedas

Sin categoría

Bitdefender denuncia una campaña de malware que utiliza el videojuego Grand Theft Auto como gancho

Sin categoría

Cómo mejorar la seguridad de la identidad en el sector financiero

Actualidad, Security Breaches

La Dark Web muestra que los ciberdelincuentes ya están preparados para los Juegos Olímpicos

#CyberConsejos

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks