La firma de inteligencia de Internet GreyNoise ha emitido una advertencia tras detectar un aumento sin precedentes en la actividad de escaneo malicioso dirigido contra Microsoft Remote Desktop Web Access (RD Web Access) y RDP Web Client. Según los datos recopilados, casi 1,971 direcciones IP han estado sondeando estos portales de autenticación al mismo tiempo, lo que sugiere una campaña de reconocimiento coordinada que podría ser la antesala de futuros ataques de fuerza bruta o pulverización de contraseñas.
Un cambio radical en el comportamiento de los atacantes
De acuerdo con los investigadores, este nivel de actividad marca un cambio masivo respecto a lo habitual. GreyNoise señala que, en circunstancias normales, se registran entre 3 y 5 direcciones IP al día realizando este tipo de escaneo. El salto a casi 2,000 IP simultáneas representa un incremento que no puede considerarse accidental y que probablemente obedece a un esfuerzo planificado por parte de actores de amenazas organizados.
Cómo funciona la técnica de escaneo y fallas de tiempo
Los investigadores de GreyNoise explican que el objetivo principal de esta ola de escaneos es detectar fallas de sincronización o de tiempo de respuesta en los sistemas RDP.
Este tipo de vulnerabilidad ocurre cuando el tiempo que tarda un servidor en responder revela información confidencial de forma no intencional. En este caso, una diferencia mínima en la velocidad de respuesta del sistema ante un intento de inicio de sesión con un usuario válido en comparación con uno no válido permitiría a los atacantes confirmar la existencia de nombres de usuario reales.
Una vez verificados estos usuarios, los cibercriminales podrían lanzar ataques mucho más efectivos basados en credenciales robadas, como:
-
Ataques de fuerza bruta: probar múltiples combinaciones de contraseñas hasta acceder.
-
Password spraying: probar contraseñas comunes contra un gran número de cuentas.
Este vector de ataque representa una amenaza especialmente grave en entornos donde los formatos de usuario son predecibles, como ocurre en instituciones educativas o empresas con sistemas estandarizados.
Direcciones IP únicas que realizan la enumeración de inicio de sesión del
cliente web RDP de Microsoft Fuente: GreyNoise
Origen de los escaneos y evidencia de una botnet
De las direcciones IP identificadas, 1,851 compartieron la misma firma de cliente, y aproximadamente el 92% ya estaban catalogadas como maliciosas en bases de datos previas. La mayoría de estas IP se originan en Brasil, mientras que otras se localizaron en Estados Unidos, lo que sugiere la existencia de una botnet o un conjunto de herramientas automatizadas realizando los escaneos de manera sincronizada.
Coincidencia con el regreso a clases en EE. UU.
Un aspecto llamativo del informe de GreyNoise es el momento del ataque. El incremento de escaneos ocurrió alrededor del 21 de agosto, fecha que coincide con el regreso a clases en Estados Unidos, cuando escuelas, universidades y distritos K-12 reactivan miles de sistemas RDP para dar soporte a laboratorios, plataformas de acceso remoto y cuentas nuevas de estudiantes y docentes.
Según Noah Stone de GreyNoise:
«El momento puede no ser accidental. Estos entornos suelen usar formatos de nombre de usuario predecibles (como ID de estudiantes o combinaciones nombre.apellido). Esto hace que la enumeración de usuarios sea mucho más efectiva. Combinado con restricciones presupuestarias y una prioridad en la accesibilidad durante la inscripción, la exposición podría aumentar significativamente».
En otras palabras, el inicio del ciclo escolar podría haber sido aprovechado estratégicamente por los atacantes para maximizar sus probabilidades de éxito.
¿Nueva vulnerabilidad en RDP?
Aunque la hipótesis más fuerte es que se trata de un ataque de reconocimiento previo a una campaña de fuerza bruta, los investigadores no descartan que este incremento de escaneos pueda estar relacionado con el descubrimiento de una nueva vulnerabilidad crítica en RDP o RD Web Access.
Históricamente, GreyNoise ha documentado que los picos en el tráfico malicioso suelen anticipar la divulgación pública de vulnerabilidades. Si este fuera el caso, la comunidad de ciberseguridad podría estar ante una amenaza inminente que aún no ha sido oficialmente anunciada.
Medidas de protección recomendadas
Ante este panorama, los expertos en ciberseguridad recomiendan a los administradores de Windows Server y entornos RDP reforzar de inmediato sus defensas para reducir la exposición:
-
Autenticación multifactor (MFA): esencial para impedir accesos no autorizados incluso si las credenciales son comprometidas.
-
Uso de VPNs: colocar los portales RDP detrás de una red privada virtual en lugar de exponerlos directamente a Internet.
-
Monitorización continua: revisar logs de intentos de inicio de sesión y patrones de tráfico inusuales.
-
Políticas de contraseñas robustas: obligar al uso de contraseñas largas y complejas, rotación periódica y detección de reutilización.
-
Bloqueo de IP maliciosas: aplicar listas negras y servicios de reputación de IP para filtrar tráfico sospechoso.
El informe de GreyNoise pone en evidencia una actividad inusual que podría marcar el inicio de una campaña de ataques masivos contra Microsoft RDP Web Access y RDP Web Client. El uso de casi 2,000 direcciones IP coordinadas apunta a una operación sofisticada, probablemente impulsada por una botnet, que busca identificar usuarios válidos para futuros ataques de fuerza bruta o para explotar vulnerabilidades aún desconocidas.
La coincidencia con el regreso a clases en Estados Unidos refuerza la hipótesis de que los atacantes eligieron un momento estratégico en el que miles de sistemas RDP se reactivan simultáneamente, aumentando la superficie de ataque.
Para las organizaciones que utilizan RDP como herramienta de acceso remoto, el mensaje es claro: reforzar la seguridad de inmediato con autenticación multifactor, segmentación de redes y protección avanzada contra intrusiones. La ciberseguridad preventiva será clave para evitar que este aumento en los escaneos derive en un ataque masivo con consecuencias graves.
Fuente: Bleeping Computer
