← Blog Mantenimiento IT

Como configurar escritorio remoto seguro en una empresa

Como configurar escritorio remoto seguro en una empresa

La forma correcta de configurar escritorio remoto en una empresa es siempre a traves de VPN, nunca exponiendo el puerto 3389 a internet. Conecta primero la VPN corporativa, habilita RDP con Network Level Authentication (NLA), limita los usuarios con acceso al grupo correspondiente y aplica politicas de bloqueo de cuentas. Para soporte tecnico puntual, RustDesk self-hosted es la alternativa segura y open source a TeamViewer. Para entornos cloud, Azure Virtual Desktop ofrece escritorios virtuales completos con integracion MFA.

El acceso remoto a los equipos de oficina es imprescindible para el teletrabajo y el soporte IT, pero una configuracion descuidada convierte tu red en un objetivo facil. Segun Sophos, el 70% de los ataques de ransomware que investigan entran a traves de servicios de escritorio remoto (RDP) mal configurados o expuestos directamente a internet (Sophos, State of Ransomware Report 2024). Este dato no es anecdotico: los atacantes escanean continuamente el rango completo de IPv4 buscando el puerto 3389 abierto, y cuando lo encuentran lanzan ataques de fuerza bruta automatizados que pueden comprometer una cuenta en horas. Para una PYME sin equipo de ciberseguridad dedicado, esto puede significar semanas de inactividad y perdida total de datos. En esta guia detallamos las tres opciones de acceso remoto empresarial seguro que implementamos en IBERSYA, con los pasos exactos para configurarlas correctamente.

Opcion 1: VPN + RDP, la combinacion recomendada

La arquitectura mas segura para acceso remoto empresarial es conectar primero una VPN y despues iniciar la sesion RDP. De esta forma, el puerto 3389 nunca se expone a internet y todo el trafico viaja cifrado por el tunel VPN.

Paso 1: Despliega una VPN empresarial

Tienes varias opciones segun tu infraestructura:

  • WireGuard: protocolo moderno, rapido y con configuracion minima. Ideal para PYMEs que no tienen firewall dedicado. Se puede instalar en un servidor Linux o en un dispositivo como Raspberry Pi.
  • OpenVPN: protocolo maduro y compatible con practicamente cualquier dispositivo. Requiere mas configuracion inicial pero ofrece gran flexibilidad.
  • VPN integrada en firewall: si ya tienes un firewall empresarial (Fortinet, pfSense, Sophos), utiliza su servicio VPN nativo. Es la opcion mas limpia porque centraliza la gestion en un solo punto.

Genera certificados individuales para cada empleado. Nunca compartas un mismo perfil VPN entre varios usuarios, ya que perderas la trazabilidad de las conexiones.

Paso 2: Habilita y configura RDP en el equipo destino

  1. Abre Configuracion > Sistema > Escritorio remoto y activa la opcion.
  2. En Configuracion avanzada, marca la casilla Requerir que los equipos usen Network Level Authentication (NLA). NLA exige que el usuario se autentique antes de establecer la sesion grafica, lo que bloquea ataques que explotan vulnerabilidades del protocolo RDP antes de la autenticacion.
  3. Pulsa Seleccionar usuarios y anade exclusivamente las cuentas que necesitan acceso remoto. Elimina cualquier cuenta generica o de administrador local que no sea estrictamente necesaria.

Paso 3: Aplica politicas de seguridad adicionales

  • Politica de bloqueo de cuenta: configura en la directiva de seguridad local (secpol.msc) un maximo de 5 intentos fallidos con bloqueo de 30 minutos. Esto frena ataques de fuerza bruta incluso si un atacante consiguiera acceso a la VPN.
  • Tiempo de sesion inactiva: en la directiva de grupo (gpedit.msc), navega a Configuracion del equipo > Plantillas administrativas > Componentes de Windows > Servicios de escritorio remoto y establece un limite de sesion inactiva de 30 minutos. Las sesiones abandonadas consumen recursos y suponen un riesgo.
  • Monitorizacion de eventos RDP: revisa periodicamente el Visor de eventos de Windows, en concreto el registro Microsoft-Windows-TerminalServices-LocalSessionManager/Operational. Los eventos con ID 21 (sesion iniciada), 24 (sesion desconectada) y 25 (sesion reconectada) te permiten auditar quien accede y cuando.

Paso 4: Conecta desde el equipo remoto

  1. Inicia la conexion VPN con el cliente correspondiente (WireGuard, OpenVPN, cliente del firewall).
  2. Abre Conexion a Escritorio Remoto escribiendo mstsc.exe en el menu Inicio.
  3. Introduce la IP interna del equipo destino (por ejemplo, 192.168.1.50). Nunca uses una IP publica.
  4. Para optimizar el ancho de banda en conexiones lentas, haz clic en Mostrar opciones > Experiencia y selecciona la velocidad de conexion adecuada. Desactivar el fondo de escritorio, la suavizacion de fuentes y la composicion del escritorio puede reducir el consumo de ancho de banda un 40-60%.
  5. En la pestana Pantalla, ajusta la resolucion a la del monitor local o selecciona pantalla completa.

Opcion 2: RustDesk self-hosted para soporte tecnico

RustDesk es una alternativa open source a TeamViewer y AnyDesk que permite desplegar tu propio servidor de conexiones. Esto significa que ningun dato de las sesiones de soporte pasa por servidores de terceros, un requisito cada vez mas relevante por cumplimiento RGPD.

Despliegue del servidor RustDesk

  1. Provisiona un servidor Linux (Ubuntu Server 22.04 o superior) con IP publica o accesible desde la VPN. Puede ser un VPS economico con 1 vCPU y 1 GB de RAM.
  2. Instala los componentes del servidor siguiendo la documentacion oficial: necesitas hbbs (servidor de identificacion) y hbbr (servidor relay).
  3. Abre los puertos necesarios en el firewall: TCP 21115-21119 y UDP 21116.
  4. Apunta los registros DNS al servidor si quieres usar un dominio en lugar de la IP.

Configuracion de los clientes

  1. Descarga el cliente RustDesk en los equipos de la empresa desde rustdesk.com.
  2. En Configuracion > Red, introduce la IP o dominio de tu servidor en los campos ID Server y Relay Server.
  3. Para equipos que requieren acceso desatendido (servidores, equipos de produccion), configura una contrasena permanente en Configuracion > Seguridad.
  4. Para sesiones de soporte puntual, el tecnico solicita el ID temporal y la contrasena de un solo uso que genera el cliente automaticamente.

Ventajas sobre TeamViewer y AnyDesk

  • Sin limites de dispositivos ni restricciones de uso comercial que aparecen a mitad de sesion.
  • Control total sobre los datos de las sesiones (cumplimiento RGPD).
  • Codigo abierto: auditabilidad completa del software.
  • Coste de infraestructura minimo (un VPS basico es suficiente para decenas de conexiones simultaneas).

Opcion 3: Azure Virtual Desktop para entornos cloud

Si tu empresa ya opera con Microsoft 365 y Azure, Azure Virtual Desktop (AVD) ofrece escritorios virtuales completos en la nube sin necesidad de gestionar infraestructura propia.

  1. Crea un host pool en el portal de Azure con las maquinas virtuales que serviran los escritorios.
  2. Integra con Microsoft Entra ID para que los usuarios accedan con las mismas credenciales de Microsoft 365.
  3. Activa MFA obligatorio: cada inicio de sesion requiere un segundo factor de autenticacion.
  4. Configura las politicas de acceso condicional para restringir conexiones por ubicacion, dispositivo o nivel de riesgo.
  5. Los usuarios acceden desde cualquier dispositivo (Windows, Mac, tablet, movil) a traves de la aplicacion Remote Desktop o el navegador web.

AVD es ideal para empresas con empleados distribuidos que necesitan acceder a aplicaciones corporativas sin depender de equipos fisicos en la oficina.

Hardening adicional: reglas que toda empresa debe aplicar

  • Nunca expongas el puerto 3389 a internet. Ni siquiera cambiando el puerto por defecto a otro numero. Los escaneadores de puertos detectan RDP independientemente del puerto.
  • Cambia la cuenta de administrador local por un nombre no predecible. Los ataques automatizados prueban primero “Administrador” y “Administrator”.
  • Aplica actualizaciones de seguridad de Windows mensualmente. Vulnerabilidades criticas como BlueKeep (CVE-2019-0708) permiten ejecucion remota de codigo sin autenticacion en versiones no parcheadas.
  • Usa certificados TLS para la conexion RDP en lugar del certificado autofirmado por defecto. Esto evita ataques man-in-the-middle.
  • Implementa un sistema de logs centralizado: envia los eventos de seguridad de Windows a un SIEM o a un servidor syslog para detectar patrones anomalos de acceso.

Problemas frecuentes y solucion

  • No puedo conectar por RDP tras conectar la VPN: verifica que el equipo destino esta encendido y que el firewall de Windows permite RDP en el perfil de red correcto (dominio o privado, nunca publico). Comprueba que la VPN asigna una IP en el mismo rango que la red de destino.
  • La conexion es muy lenta o se congela: reduce la calidad grafica en mstsc > Mostrar opciones > Experiencia. Desactiva la redireccion de impresoras y del portapapeles si no los necesitas. Verifica que el ancho de banda de subida en la oficina es al menos 5 Mbps por sesion.
  • Pantalla en negro al conectar: actualiza los drivers graficos del equipo destino. En equipos con GPU dedicada, desactiva la aceleracion por hardware en la configuracion de RDP. Desactiva tambien el ahorro de energia del monitor.
  • Error “Las credenciales no funcionaron”: si el equipo esta en dominio, asegurate de usar el formato DOMINIO\usuario. Si NLA esta activo y la contrasena ha expirado, el usuario debe cambiarla localmente antes de conectar por RDP.
  • RustDesk muestra “No conectado al servidor”: verifica que los puertos del servidor estan abiertos, que hbbs y hbbr estan ejecutandose y que la configuracion del cliente apunta al servidor correcto.

Preguntas frecuentes

Es seguro usar TeamViewer o AnyDesk en una empresa? Para soporte tecnico puntual y esporadico pueden ser aceptables, pero para acceso permanente o desatendido empresarial recomendamos VPN + RDP o RustDesk self-hosted. TeamViewer ha sufrido brechas de seguridad documentadas y sus servidores estan fuera de tu control. AnyDesk fue comprometido en enero de 2024 y tuvo que revocar todos sus certificados de firma de codigo (AnyDesk, Security Incident Report 2024).

Puedo usar RDP desde un Mac o movil? Si. Microsoft ofrece la aplicacion “Remote Desktop” para macOS, iOS y Android. En el caso de RustDesk, tambien dispone de clientes para todas las plataformas.

Que pasa si la VPN se cae durante una sesion RDP? La sesion RDP se desconecta pero no se cierra. El equipo remoto mantiene la sesion abierta durante el tiempo configurado en la politica de sesion. Al reconectar la VPN y volver a conectar con mstsc, retomas la sesion exactamente donde la dejaste.

Necesito una IP publica fija para la VPN? Es recomendable pero no imprescindible. Si tu oficina tiene IP dinamica, puedes usar un servicio de DNS dinamico (como DuckDNS o el integrado en tu firewall) que actualice automaticamente el registro DNS cuando cambie la IP.

Cuantas sesiones RDP simultaneas soporta Windows? Windows 10/11 Pro permite una unica sesion RDP activa. Windows Server con licencias RDS (Remote Desktop Services) permite multiples sesiones simultaneas, lo que es necesario si varios empleados acceden al mismo servidor.

En IBERSYA configuramos acceso remoto seguro para PYMEs con VPN empresarial (WireGuard, OpenVPN o la VPN nativa de tu firewall), RDP con NLA y politicas de hardening, y nuestro propio servidor RustDesk self-hosted para soporte tecnico sin intermediarios. Monitorizamos las conexiones remotas a traves de nuestro sistema de gestion centralizado y realizamos auditorias periodicas de los logs de acceso RDP para detectar actividad sospechosa. Si tu empresa necesita teletrabajo seguro o quieres revisar la configuracion actual de tu acceso remoto, contacta con nosotros para una evaluacion sin compromiso.

Ver servicio relacionado →

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.