Microsoft ha implementado nuevas medidas de protección para los archivos maliciosos de Escritorio remoto en Windows. Esta actualización tiene como objetivo mejorar la seguridad y prevenir ciertos tipos de ataques que podrían poner en riesgo el funcionamiento de los dispositivos. Con esta mejora, se busca resguardarse de ataques de Phishing que utilizan archivos de conexión a Escritorio remoto (.rdp). A continuación, te explicaremos cómo funciona esta funcionalidad y cómo puede ayudarte a evitar inconvenientes.
Es importante señalar que los archivos RDP son comúnmente empleados en entornos corporativos para establecer conexiones a sistemas remotos. Estos archivos pueden configurarse para redirigir automáticamente los recursos locales hacia un host remoto. Sin embargo, esta capacidad ha sido aprovechada por ciberdelincuentes en diversas campañas de Phishing, lo que les permite robar información y credenciales de las víctimas.
Microsoft introduce protecciones para RDP
Si una persona abre un archivo RDP malicioso, este podría conectarse a sistemas controlados por atacantes y redirigir las unidades locales al dispositivo al que se conectan. Esto podría otorgar a los atacantes acceso a archivos y contraseñas almacenadas en ese dispositivo. También existe la posibilidad de que puedan robar datos presentes en el portapapeles, como contraseñas o información confidencial. Microsoft advierte sobre este riesgo.
Esta actualización forma parte de las mejoras que ha lanzado Microsoft esta semana, lo cual es común cada segundo martes del mes. En concreto, se relaciona con la actualización KB5083769 y KB5082052 para Windows 11. Estas actualizaciones incluyen nuevas protecciones para impedir la utilización de archivos RDP maliciosos en los dispositivos.
El objetivo es prevenir que las víctimas abran un archivo y, sin saberlo, se conecten a un servidor controlado por un atacante, lo que podría otorgar acceso a sus archivos y representar un gran problema para su privacidad y seguridad.
¿Cuál es el cambio específico? A partir de ahora, al abrir un archivo RDP por primera vez, los usuarios verán un mensaje que explicará la naturaleza de estos archivos y los posibles riesgos asociados. Se pedirá a los usuarios de Windows que reconozcan los riesgos y acepten, de modo que esta alerta no vuelva a aparecer.
Diálogo de seguridad
Ahora, al intentar abrir un archivo de este tipo, se mostrará un cuadro de diálogo de seguridad antes de realizar cualquier conexión. Este cuadro indicaría si el archivo RDP está o no firmado por un editor verificado, la dirección del sistema remoto y enumerará todas las redirecciones de recursos locales, como unidades, portapapeles o dispositivos. Por defecto, todas estas opciones estarán desactivadas.
Si un archivo no está firmado digitalmente, Windows emitirá una advertencia antes de proceder a la conexión.
Desde Microsoft, mencionan que los administradores pueden desactivar temporalmente estas protecciones accediendo a la clave de registro HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client y ajustando el valor RedirectionWarningDialogVersion a 1.
En resumen, Microsoft busca fortalecer la seguridad de Windows, especialmente en lo que respecta al uso de archivos RDP. Es fundamental mantener tu sistema actualizado, ya que esto te ayudará a reducir riesgos y asegurar el buen funcionamiento de tus dispositivos.
Preguntas frecuentes
¿Qué son los archivos RDP y por qué representan un peligro?
Los archivos RDP (.rdp) son archivos de configuración que permiten la conexión a sistemas remotos mediante el Escritorio Remoto de Windows. Su peligrosidad radica en que pueden configurarse para redirigir automáticamente recursos locales (unidades, portapapeles, dispositivos) a un servidor controlado por un atacante, lo que facilita el robo de datos y contraseñas sin que la víctima lo note.
¿Cómo puedo verificar si tengo esta protección instalada?
Ingresa a Configuración > Windows Update > Historial de actualizaciones y busca las actualizaciones KB5083769 o KB5082052. También puedes abrir un archivo .rdp y verificar si aparece el nuevo diálogo de seguridad con las redirecciones desactivadas por defecto.
¿Es posible desactivar estas alertas si utilizo frecuentemente archivos RDP legítimos?
Así es. Los administradores pueden modificar la clave de registro HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client y establecer el valor RedirectionWarningDialogVersion en 1. Sin embargo, Microsoft aconseja mantener las protecciones habilitadas y aceptar únicamente archivos RDP de fuentes confiables.
