Los cibercriminales abusan del protocolo RDP en 9 de cada 10 ataques
Las credenciales comprometidas y las vulnerabilidades explotadas so el origen más frecuente de los ataques.
Sophos detecta un nivel de abuso sin precedentes del protocolo RDP de escritorio remoto. De acuerdo con la investigación “Todo está muy tranquilo (?): El Active Adversary Report de Sophos para el primer semestre de 2024”, los ciberdelincuentes abusan de dicho protocolo en un 90 % de los ataques.
En los anteriores informes realizados por la compañía de seguridad esta cifra no era tan alta. Sophos se basa en más de 150 casos de respuesta a incidentes atendidos por el equipo Sophos X-Ops IR a lo largo de 2023.
Los servicios remotos externos destacan como método con el que los cibercriminales penetran inicialmente y logran vulnerar las redes. Mientras, las credenciales comprometidas y las vulnerabilidades explotadas se mantienen como origen más frecuente de los ataques. Cabe señalar que las empresas siguen sin configurar la autenticación multifactor en mucho casos.
“Los servicios remotos externos son un elemento necesario, pero arriesgado, para muchas empresas”, observa John Shier, CTO Field de Sophos. “Los atacantes saben los riesgos que plantean estos servicios y tratan activamente de sabotearlos dada la recompensa que se esconde tras ellos”.
“Exponer servicios sin una especial atención y mitigación de riesgos conduce inevitablemente a un compromiso de las redes”, dice Shier. “A un atacante no le lleva mucho tiempo encontrar y vulnerar un servidor RDP expuesto y sin controles adicionales, ni tampoco encontrar el servidor de Directorio Activo que le espera al otro lado”.
“Gestionar el riesgo es un proceso activo“, prosigue este expero. “Las empresas que lo hacen bien experimentan mejores escenarios de seguridad que las que no lo hacen a la hora de afrontar las amenazas continúas lanzadas por atacantes con mucha determinación”.
“Un aspecto importante de la gestión de los riesgos de seguridad, más allá de identificarlos y priorizarlos, es actuar en función de la información“, señala. “A pesar de ello, y durante demasiado tiempo, ciertos riesgos como el RDP abierto siguen inundando de ataques a las empresas para deleite de los cibercriminales, que pueden entrar por la puerta principal”.
“Asegurar la red reduciendo los servicios expuestos y vulnerables y reforzando la autenticación hará que las empresas mejoren sus niveles de seguridad y estén mejor preparadas para hacer frente a los ciberataques”, termina John Shier.