> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/es/guias-de-remediacion-de-vulnerabilidades/how-to-resolve-rdp-service-exposure-from-the-internet.md).

# Escaneo externo: resolver la exposición del servicio RDP

{% hint style="info" %}
Esta es una guía práctica de endurecimiento. El objetivo es eliminar la exposición directa a Internet de **TCP/3389**.
{% endhint %}

## Por qué la exposición de RDP es peligrosa

RDP (Remote Desktop Protocol) es el protocolo de acceso remoto de Microsoft. Normalmente escucha en **el puerto TCP 3389** y es un punto de entrada de alto valor para los atacantes.

Un servicio RDP expuesto se vuelve explotable cuando:

* está afectado por una vulnerabilidad pública (por ejemplo, BlueKeep), o
* las credenciales son débiles, reutilizadas o filtradas.

Cualquiera de los dos casos suele ser suficiente para obtener acceso inicial y movimiento lateral. Exponga RDP solo en redes internas, nunca directamente en Internet.

## Soluciones recomendadas

La mayoría de los servicios RDP expuestos existen por una de dos razones:

* **Administración remota.** En orden descendente de preferencia: implemente un Remote Desktop Gateway (RDG), implemente una VPN o endurezca el servicio RDP.
* **Acceso a documentos.** Prefiera Microsoft 365 y el almacenamiento de SharePoint en lugar del acceso mediante escritorio remoto.

Base mínima en todos los casos:

* Bloquee las conexiones entrantes **TCP/3389** en el firewall perimetral.
* Permita RDP solo **desde** el rango de IP de su RD Gateway o VPN.

## Opción 1: Remote Desktop Gateway (preferida)

Un Remote Desktop Gateway (RDG) es una forma más segura de الوصول a servidores RDP internos. Actúa como intermediario: solo la puerta de enlace está expuesta, a través de **HTTPS (TLS)** en **TCP/443**. Colóquelo en una DMZ existente.

### Instalar el rol de puerta de enlace

Conéctese al servidor Windows que alojará la puerta de enlace y abra **Administrador del servidor**.

{% stepper %}
{% step %}
Desde el **Administrar** menú, abra **Agregar roles y características**.

<figure><img src="/files/a3da3f0293f8e6514845cfbc2597c593b0e2ae1e" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
En la primera pantalla del asistente, haga clic en **Siguiente**.

<figure><img src="/files/21cddad8d12a4aa763ab6e4ba062bd18de197973" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Seleccione **Instalación basada en roles o en características**, luego **Siguiente**.

<figure><img src="/files/0b307b8f46edd46854a43e9bc4cdf1b6b7c04c34" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Seleccione el servidor de destino, luego **Siguiente**.

<figure><img src="/files/3f030bd2999ed5c40386190bf082f5fa59d5e71c" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Seleccione **Servicios de Escritorio remoto**, luego **Siguiente**.

<figure><img src="/files/9a889b945cf3e7f6a31d68c0992494b49941123e" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Deje seleccionadas las características predeterminadas y continúe.

<figure><img src="/files/866bc60ec41749dc47a9406039af43bcd89eed6a" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Omita la pantalla de información de Servicios de Escritorio remoto.

<figure><img src="/files/f343bdc33ec93897a35eb3c45c30139946f7aac8" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Seleccione el **Servicio de puerta de enlace de Escritorio remoto** y acepte las características requeridas cuando se le solicite.

<figure><img src="/files/43d209d2e2c4a7f34b818af3be12ba1d0d047da9" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Confirme la selección y continúe.

<figure><img src="/files/4e2ae0847523b00429d9f05802275e6e75a29966" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
El asistente agrega las pestañas relacionadas automáticamente. Haga clic en **Siguiente** a través de las pantallas de información de Servicios de directiva de red y acceso y Servidor web (IIS), manteniendo los servicios IIS predeterminados.

<figure><img src="/files/c415c163846cbaa9fe37ea39baab62b149a133f9" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/626b21e44995b2bf729b681c2330eebd24194c3c" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/05732c0c04f383ff1c4e3b0dded8f8e20c3c8fe6" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/80572cd965438ad76ffa2e5d11b90c90b34f7a05" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Revise el resumen y haga clic en **Instalar**. Puede marcar **Reiniciar automáticamente el servidor de destino** si es necesario.

<figure><img src="/files/9ca1b3428e25084d51c374b19253574c0cd4adc8" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Espere a que finalice la instalación.

<figure><img src="/files/251929738c76c591a67881ba3fdb115220fbad86" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Configurar la puerta de enlace

{% stepper %}
{% step %}
En **Administrador del servidor** > **Herramientas**, abra la herramienta de administración de Remote Desktop Gateway.

<figure><img src="/files/3b56b43162df9281974c28c80d94a697b8fbd2cd" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Seleccione el servidor a la izquierda y luego abra **Ver o modificar propiedades del certificado**.

<figure><img src="/files/c0f826e63b117b8b114d2953b82d14be2d7472fe" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Instale un certificado. Prefiera un certificado emitido por una autoridad de certificación reconocida: seleccione **Importar un certificado en el almacén RD Gateway Certificates (Local Computer)/Personal**, luego **Examinar e importar certificado**.

<figure><img src="/files/99adc2b3e90959a465b4dd95a0746f5e7f91fb40" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Si en su lugar usa un certificado autofirmado, seleccione **Crear un certificado autofirmado** y haga clic en **Crear e importar certificado**.

<figure><img src="/files/4b17b616e49126f9656300fea98ddefaa0bf9c1d" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Introduzca el nombre completo del servidor como **Nombre del certificado**. Luego debe exportarse un certificado autofirmado desde el servidor e importarse en cada máquina que vaya a usar la puerta de enlace. Haga clic en **Aceptar** para finalizar.

<figure><img src="/files/17f9eb4f83d0a5d2adc485a3f3e091837d314c9e" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Agregue reglas de acceso. Desde el menú desplegable del servidor, abra **Directivas**, luego **Crear nuevas directivas de autorización**.

<figure><img src="/files/9493f92c47a0872d12dd6401aa82e17736350f5a" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Se necesitan dos reglas: una regla de conexión (RD CAP) y una regla de recursos (RD RAP). Seleccione **Crear una RD CAP y una RD RAP (recomendado)**, luego **Siguiente**.

<figure><img src="/files/56cbb1b7b31f172b6345d801004ee438dcadb010" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Asigne un nombre a la regla CAP, luego **Siguiente**.

<figure><img src="/files/3e09025ad4ac19145c0bae68c02934f1cc6c5fb0" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Seleccione el o los grupos de usuarios autorizados a usar la puerta de enlace, luego **Siguiente**.

<figure><img src="/files/87487248875c6887616f7228b5dd583a196b9775" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Configure la redirección de dispositivos. Para endurecer la puerta de enlace, seleccione **Deshabilitar la redirección de dispositivos para los siguientes tipos de dispositivos cliente** y elija los que no necesite. De lo contrario, seleccione **Habilitar la redirección de dispositivos para todos los dispositivos cliente**, luego **Siguiente**.

<figure><img src="/files/6e3203e5f2f9550d35db1300429a3b15b23e8ae2" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Habilite la desconexión de sesión y los tiempos de espera de expiración para endurecer la puerta de enlace, luego **Siguiente**.

<figure><img src="/files/df438375a4a53d15d0a43ca4ec525c046eda580c" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Revise el resumen de la CAP y luego **Siguiente** para configurar la regla RAP.

<figure><img src="/files/cb3c3b54a85de370629a1b199e59c2b82dd64a80" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Seleccione la pertenencia al grupo de usuarios para la regla RAP, luego **Siguiente**. Solo se deben agregar grupos de usuarios legítimos y autorizados a través de **Agregar grupo**.

<figure><img src="/files/2258d26dbceabc81d6886ca404a5ac95f86d95f4" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Idealmente, cree un grupo dedicado de Active Directory para este acceso para garantizar su legitimidad.
{% endhint %}

<figure><img src="/files/ed6ed1643b71819942b78fb3b3377d7f0db215dd" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Especifique los recursos internos accesibles a través de la puerta de enlace.

{% hint style="info" %}
Cree un grupo de dominio que contenga todos los servidores accesibles desde esta puerta de enlace y selecciónelo con la opción **Seleccionar un grupo de recursos de red de Servicios de dominio de Active Directory** .
{% endhint %}

<figure><img src="/files/6b100cc1bb81ab47664c59a771f6179f220c4b21" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Especifique los puertos permitidos: el predeterminado **3389**, u otros si es necesario. Luego **Siguiente**.

<figure><img src="/files/04a40c2b66240fa1fc341d4746634ee3e66ebc63" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Revise el resumen de la RAP y confirme. Una ventana final confirma tanto las reglas CAP como las RAP.

<figure><img src="/files/459ebc37173109df35cef8293b6e7ff754371697" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/4eb036df9607f8133c472377de4ea4ddf8760284" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Asegúrese de que el servicio de la puerta de enlace esté en ejecución. En **Administrador del servidor** > **Servicios de Escritorio remoto** > **Servidores** > **Servicios**, busque **Servicio de puerta de enlace de Escritorio remoto**. Si está detenido, haga clic derecho sobre él y elija **Iniciar servicios**.

<figure><img src="/files/85bc9005f91203a32abaad8ab25835ded71b0410" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Filtrar el tráfico a los servidores internos

Los servidores internos solo deben aceptar RDP desde la puerta de enlace. Configure el firewall de Windows en cada servidor.

{% stepper %}
{% step %}
Abra el firewall de Windows, liste **Reglas de entrada**, y abra las propiedades de **Escritorio remoto - Modo de usuario (TCP-In)**.

<figure><img src="/files/f41f8063e78dd4484534ddb564af5c87f3ad1234" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Vaya a la pestaña **Ámbito** .

<figure><img src="/files/7cf3f2033e4cd68c2600f6e6f8afe3756a429e75" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
En **Dirección IP remota**, permita solo las fuentes autorizadas: la dirección IP de la puerta de enlace, o `127.0.0.1` si la puerta de enlace se ejecuta en el propio servidor de destino.

<figure><img src="/files/8efd458bb0ceb5a3fabe76351433d2e7dfcb1ba4" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Conéctese a través de la puerta de enlace

{% stepper %}
{% step %}
Abra **Conexión a Escritorio remoto**, vaya a la pestaña **Avanzado** , luego **Configuración**.

<figure><img src="/files/363b3ffdb42f86695127010db74e105a0610d8d4" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Seleccione **Usar esta configuración del servidor de RD Gateway**, introduzca el **FQDN**, marque **Usar las credenciales de mi RD Gateway para el equipo remoto**, y haga clic en **Aceptar**.

<figure><img src="/files/a0ed0d14109ebbf183387c85abc26bbcab0a8543" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
De vuelta en la pestaña **General** , introduzca el nombre o la IP del servidor interno y su nombre de usuario, luego **Conectar**.

<figure><img src="/files/da95ce51aaa11fce0ea32aec813345ea6c41d1de" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Confirme el nombre de la puerta de enlace e introduzca la contraseña de la cuenta.

<figure><img src="/files/1c87dcee38ed9a5ce7fc2f2f7ac6d6eb4f120d94" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

Si el certificado de la puerta de enlace no es de confianza para el cliente (algo común con certificados autofirmados o de una CA interna), aparece este mensaje:

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FSr92NPJRPx9JejH1f09f%2Fimage.png?alt=media&#x26;token=f76f5b59-96ab-4dba-b5ce-ae5aee1c5039" alt=""><figcaption></figcaption></figure>

## Opción 2: Endurecer el protocolo RDP (solo temporalmente)

{% hint style="warning" %}
Estas medidas no son suficientes por sí solas y solo deben usarse temporalmente, mientras implementa una puerta de enlace o una VPN.
{% endhint %}

Base mínima temporal:

* Exija **MFA** para el acceso remoto (preferiblemente a través de un RD Gateway o una VPN).
* Habilite **Autenticación a nivel de red (NLA)** en los servidores de destino.
* Restrinja el RDP entrante a una estricta **lista de IP permitidas** (idealmente solo la puerta de enlace).

### Restrinja el acceso de los usuarios

Cree un grupo dedicado de Active Directory para los usuarios de RDP permitidos y aplíquelo con la Consola de administración de directivas de grupo ([GPMC](https://www.it-connect.fr/chapitres/la-console-gpmc-group-policy-management-console/)).

Enfoque típico:

* Agregue su grupo de AD al grupo local **Usuarios de Escritorio remoto** mediante GPO, o
* establezca el derecho de usuario **Permitir iniciar sesión a través de Servicios de Escritorio remoto**.

Ejemplo usando Grupos restringidos / pertenencia a grupos locales:

<figure><img src="/files/f115c6e0d8bd8c4a9de75fdd75375483edf7f9be" alt=""><figcaption></figcaption></figure>

Agregue los usuarios o grupos permitidos, luego haga clic en **Aceptar**.

<figure><img src="/files/f31af85340bcb58fe8e62d792986f027423bfcb9" alt=""><figcaption></figcaption></figure>

### Deshabilite la cuenta de invitado

Windows Server 2012 R2 incluye una cuenta de invitado habilitada de forma predeterminada. Desactívela para evitar intentos de escalada de privilegios. Ejecute `compmgmt.msc` para abrir Administración de equipos y deshabilitar la cuenta.

### Bloquee las cuentas después de inicios de sesión fallidos

Configure una política de bloqueo de cuentas (local o, preferiblemente, de dominio mediante la Consola de administración de directivas de grupo):

* `Configuración del equipo` > `Configuración de Windows` > `Configuración de seguridad` > `Directivas de cuenta` > `Directiva de bloqueo de cuentas`
* Establezca **Umbral de bloqueo de cuenta** en **5** inicios de sesión no válidos.
* Establezca la duración del bloqueo y el contador de reinicio en **15 minutos** (base típica).

{% hint style="info" %}
Recomendamos bloquear la cuenta después de 5 intentos fallidos de inicio de sesión.
{% endhint %}

### Exigir una política de contraseñas seguras

Las contraseñas seguras reducen el riesgo de ataques de fuerza bruta y de diccionario: use letras mayúsculas y minúsculas, números y caracteres especiales. Ejecute `gpedit.msc` para abrir el Editor de directivas de grupo local, luego vaya a `Configuración del equipo` > `Configuración de Windows` > `Configuración de seguridad` > `Directivas de cuenta` > `Directiva de contraseñas`.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/es/guias-de-remediacion-de-vulnerabilidades/how-to-resolve-rdp-service-exposure-from-the-internet.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
