Una guía en tres pasos con las mejores prácticas de seguridad, las principales trampas a evitar y consejos adicionales para parar los pies a los estafadores.

Introducción

En el mundo digital actual, proteger las sesiones de asistencia remota de TI es más importante que nunca. Hasta un 80 % de los ataques de ransomware comienzan a través de canales de acceso remoto, lo que indica que los atacantes se centran en estas herramientas. Nunca ha habido tanto en juego, ya que la IA proporciona a los ciberdelincuentes un nuevo poder que impulsa la ingeniería social convincente y les permite hacer reconocimientos más rápidos y crear malware de forma automatizada. En este entorno, toda organización debe tomar medidas para proteger las sesiones de asistencia informática.

En esta guía, descubrirá los tres pasos esenciales para proteger el acceso remoto, además de prácticas recomendadas y los errores de seguridad más comunes (y costosos) para cada uno de los pasos. Además, añadiremos un paso extra dedicado específicamente a las sesiones de asistencia, que le ayudará a proteger a sus usuarios de suplantadores y estafadores.

Por qué la asistencia informática remota es tan atractiva para los hackers

Si presta atención a los titulares sobre seguridad, está claro: las herramientas de acceso remoto (RAT, por sus siglas en inglés) son un objetivo claro de los ataques a la cadena de suministro, en los que los atacantes utilizan al proveedor de asistencia como punto de entrada a muchas otras organizaciones. Por ejemplo, quizá recuerde el ataque que logró entrar en el Tesoro de EE. UU. aprovechando una vulnerabilidad en BeyondTrust, o la vez que 1500 empresas fueron infectadas por ransomware a través de servidores Kaseya puestos en peligro.

Para entender por qué estas herramientas son tan atractivas para los atacantes, es útil desglosar primero la asistencia remota en dos tipos clave, cada uno con sus propias consideraciones de seguridad y un atractivo especial para los hackers:

1. Acceso remoto desatendido: puerta de enlace al reino

El acceso remoto desatendido (también conocido como acceso remoto o escritorio remoto) permite a los técnicos conectarse a dispositivos sin la presencia de un cliente, normalmente a través de un host preinstalado en terminales gestionados y con privilegios de administrador. Estas herramientas, que utilizan tanto los MSP como los trabajadores remotos, son una mina de oro para los hackers, ya que poner en peligro un conjunto de credenciales puede significar hacerse con el control de cientos o miles de terminales. Además, sus funciones de automatización integradas facilitan a los atacantes la propagación de malware o el robo de datos sin que las herramientas de seguridad los detecten, de modo que pueden ocultarse a plena vista.

2. Sesiones de asistencia atendidas: caballos de Troya para ingenieros sociales

Las sesiones de asistencia atendidas (o ad-hoc) no requieren que haya un host preinstalado: el cliente debe otorgar acceso temporal al técnico, a menudo introduciendo un PIN o haciendo clic en un enlace. Este método es perfecto para prestar asistencia a dispositivos no gestionados, pero también proporciona una apertura a los atacantes. Haciéndose pasar por personal o proveedores de TI, los hackers pueden engañar a los usuarios para que les concedan acceso directo, lo que pone en riesgo la organización en tiempo real con un solo ataque convincente.

Tres pasos para proteger el acceso remoto (y un paso extra para el acceso asistido)

Paso 1: Bloquee sus cuentas y sesiones

Lo ideal es detener a los atacantes antes de que puedan acceder a sus cuentas o dispositivos. Estas son las prácticas recomendadas:

• Uso de herramientas cifradas: Utilice siempre herramientas de asistencia remota que proporcionen un cifrado sólido y probado en cada paso de la conexión. Busque plataformas que utilicen seguridad de transporte TLS 1.3 y que integren cifrado AES de 256 bits, lo que asegura la protección de todos los datos.
• Implantación de la autenticación multifactor (MFA): Los estudios muestran que la MFA puede bloquear hasta el 99,9 % de los ataques de credenciales automatizados, pero a menudo no se impone. Esta es, sin duda, una de las medidas con mayor impacto que puede tomar.
• Restricción del inicio de sesión: Exija contraseñas fuertes y exclusivas mediante políticas de contraseña centradas en la complejidad y la rotación, o utilice el inicio de sesión único (SSO) para mejorar la seguridad (incluidas las opciones sin contraseña). También puede limitar el acceso a la consola a segmentos de red de confianza mediante restricciones de IP.

⚠️ A evitar: Herramientas heredadas, como RDP o VNC. Estos protocolos son objetivos frecuentes de los atacantes porque suelen carecer de controles de seguridad modernos, tienen por defecto un cifrado débil o nulo y son vulnerables a ataques de fuerza bruta y basados en exploits, sobre todo si están expuestos a Internet. A menos que estén estrictamente conectadas a través de canales seguros, como una VPN, y fuertemente restringidas mediante reglas de cortafuegos, estas herramientas pueden dejar sus sistemas expuestos a infracciones.

Paso 2: Mitigue el riesgo en caso de credenciales comprometidas o amenazas internas

Una buena estrategia de seguridad se centra no solo en proteger las cuentas, sino también en minimizar los daños si las credenciales se ven comprometidas. Estas son algunas prácticas recomendadas:

• Controles de acceso basados en funciones y principio del mínimo privilegio: Limitar lo que los usuarios pueden hacer al mínimo requerido para su función reduce lo que los hackers pueden hacer con cualesquiera credenciales comprometidas. Puede vigilar bien quién tiene acceso de administrador, crear grupos de técnicos y limitar los permisos de sesión.
• Arquitectura Zero Trust: Algunas herramientas (como LogMeIn Resolve) utilizan modelos Zero Trust, que requieren una verificación adicional en el nivel de dispositivo para poder realizar acciones de carácter confidencial. Estas verificaciones requieren una clave especial que no almacena el proveedor, lo que mantiene los dispositivos seguros en caso de vulneración del proveedor.
• Políticas de almacenamiento y conservación de datos: Almacene los datos mínimos necesarios. Si no necesita registros de chat, IP u otros datos personales, desactive o automatice su eliminación. Acorte los periodos de retención para que los datos antiguos no estén a disposición de los atacantes.

⚠️ A evitar: Herramientas que permitan el acceso desatendido sin contraseña o con solo con una contraseña específica de la herramienta para sesiones remotas. El funcionamiento sin contraseña es especialmente arriesgado, ya que significa que los atacantes solo necesitan sus credenciales de asistencia remota para obtener acceso completo a sus terminales. Las contraseñas específicas para cada herramienta son algo mejores, pero no suelen ser tan seguras ni estar tan protegidas como exigen las políticas de su empresa, y pueden reutilizarse, adivinarse fácilmente o verse comprometidas en caso de infracción por parte de un proveedor. Opte mejor por herramientas que requieran comprobaciones Zero Trust o las propias credenciales locales o de administrador del dispositivo. De este modo, el acceso estará protegido por los estándares de seguridad de su organización.

Paso 3: Prepárese para la detección y respuesta rápidas

Ni las mejores defensas pueden garantizar que nunca se produzca un incidente, por lo que la capacidad de identificar rápidamente las actividades sospechosas y responder con eficacia es crucial para minimizar los daños. Estas son algunas prácticas recomendadas:

• Avisos en tiempo real: Active las notificaciones inmediatas para acciones críticas de la cuenta, como intentos fallidos de inicio de sesión, cambios de contraseña o nuevas actividades de los administradores, para poder actuar en el momento en que se produzca algo sospechoso.
• Informes y registros de auditoría exhaustivos: Utilice herramientas que generen informes detallados y a prueba de manipulaciones sobre la actividad de la cuenta y de la sesión, como la información de inicio de sesión, las acciones realizadas por los técnicos, los dispositivos a los que se ha accedido, las transferencias de archivos y los cambios de permisos. Exporte estos registros para cumplir la normativa, almacénelos de forma segura y consérvelos para respaldar investigaciones o auditorías.
• Grabación de las sesiones: Considere la posibilidad de activar la grabación automática de sesiones para contar con un registro de auditoría visual de las actividades realizadas. En función de los requisitos de privacidad y cumplimiento, esta práctica puede tener restricciones adicionales, como la notificación a los usuarios y el establecimiento de periodos de conservación adecuados. Si decide utilizar esta función, configure la herramienta para que las grabaciones estén cifradas en reposo y no puedan ponerse en pausa ni desactivarse por parte de los técnicos para garantizar un registro continuo y fiable.

⚠️ A evitar: Utilizar cuentas de agente compartidas. Aunque pueda parecer rentable, los inicios de sesión compartidos destruyen la responsabilidad y hacen imposible rastrear con precisión actividades sospechosas, investigar incidentes o responsabilizar a las personas adecuadas de sus acciones. Para obtener una alternativa rentable e igualmente flexible, busque soluciones que ofrezcan licencias simultáneas, en las que varios agentes pueden compartir licencias, pero seguir manteniendo credenciales individuales con fines de auditoría y trazabilidad.

Paso extra: Proteja a los clientes de los suplantadores

Aunque proteger el acceso remoto es fundamental, a veces los atacantes no necesitan piratear sus cuentas: solo tienen que engañar a sus clientes. He aquí algunas tácticas que puede aplicar para proteger a los clientes cuando asisten a las sesiones.

• Códigos PIN y applets de un solo uso: Utilice herramientas que generen códigos exclusivos y limitados en el tiempo para cada sesión, y applets temporales y autoeliminables para la asistencia atendida. De este modo, se minimiza el riesgo al impedir el acceso persistente una vez finalizada la sesión.
• Páginas de PIN con personalización de marca y validación: Si utiliza un código PIN para iniciar una sesión atendida, incruste la página de introducción del PIN en su propio sitio o como acceso directo en el escritorio, y configúrela para que solo acepte códigos de su cuenta. De este modo, será mucho más difícil para los atacantes hacerse pasar por su equipo.
• Restricciones de IP/dispositivo del cliente: Algunas herramientas de asistencia remota permiten restringir determinadas IP y dispositivos para que solo pueda accederse a ellos desde su cuenta, lo que bloquea los intentos de sesión desde cualquier otra cuenta. Implementar esto y bloquear otras herramientas remotas a través de un cortafuegos puede ser una forma especialmente eficaz de impedir que los estafadores intenten utilizar sus propias herramientas o configurar accesos desatendidos no autorizados.

⚠️ A evitar: Herramientas que requieran que los usuarios finales instalen una aplicación permanente con un ID y una contraseña reutilizables. Las credenciales persistentes como estas son vulnerables a ser secuestradas o reutilizadas por los atacantes, lo que aumenta el riesgo de acceso no autorizado mucho después de que finalice la sesión de asistencia inicial. Recuerde: La cerradura más segura es la que no tiene puerta.

Conclusión

Al seguir estas prácticas recomendadas, podrá reducir drásticamente el riesgo de filtración de datos durante la asistencia de TI remota. Al mismo tiempo, recuerde que proteger las sesiones de asistencia remota requiere algo más que habilitar la configuración adecuada. Una verdadera protección significa defenderse tanto de los exploits técnicos ―como los ataques de fuerza bruta, las vulnerabilidades o el malware― como de las amenazas centradas en el ser humano, como la ingeniería social, las amenazas internas o el robo de credenciales. Construir una resistencia real exige una cultura de seguridad alimentada por una formación continua de concienciación, planes claros de respuesta a incidentes y una cuidadosa evaluación de proveedores. Manténgase alerta, haga de la seguridad un hábito y su organización se mantendrá un paso por delante, por muy remota que sea su asistencia.

¿Desea más información? Descubra cómo la arquitectura Zero Trust de LogMeIn puede ayudarle a proteger cada sesión de asistencia remota, resguardar sus datos y ganarse la confianza de los usuarios.

Obtenga más información sobre Zero Trust con LogMeIn.