Microsoft ha desplegado nuevas defensas en Windows orientadas a neutralizar un vector de phishing que ha ganado tracción en los últimos años: los archivos de conexión de Escritorio Remoto (.rdp) enviados como señuelo. Estas pequeñas configuraciones pueden parecer inofensivas, pero en manos de atacantes permiten establecer conexiones automáticas a equipos controlados por terceros y redirigir recursos locales —discos, portapapeles, dispositivos de autenticación— con el riesgo de exfiltrar archivos, credenciales y datos sensibles.
La medida llega dentro de las actualizaciones acumulativas de abril de 2026 para Windows 10 y Windows 11, e introduce dos capas de protección: un aviso educativo la primera vez que se abre un .rdp y, a partir de entonces, un diálogo de seguridad previo a cualquier conexión que muestra quién firmó el archivo, la dirección remota y qué recursos locales se pretenden redirigir —con todas las opciones desactivadas por defecto—. Si el archivo no está firmado digitalmente, Windows mostrará una advertencia de “Conexión remota desconocida” y etiquetas que indican que el creador no puede ser verificado. Para la explicación oficial de Microsoft sobre estos avisos puede consultarse su documentación en Microsoft Learn.
La razón de fondo no es especulativa: actores avanzados han abusado de RDP en campañas de phishing. Grupos patrocinados por estados y bandas criminales han enviado .rdp como adjunto o enlace en correos para que la víctima, sin darse cuenta, establezca una conexión hacia una máquina del atacante y deje expuestos discos locales y credenciales. En casos documentados se ha usado esa técnica para robar datos y suplantar identidades; informes públicos y artículos especializados han detallado incidentes donde RDP malicioso jugó un papel clave en la intrusión —por ejemplo, investigaciones periodísticas y técnicas que describen abusos similares pueden consultarse en medios especializados como BleepingComputer y en los análisis de inteligencia de múltiples proveedores de seguridad.
¿Qué cambia para el usuario y para el administrador? Para el usuario final, la novedad más visible es el diálogo informativo inicial y el posterior cuadro de verificación que obliga a confirmar la comprensión del riesgo. Para conexiones posteriores, el cuadro de seguridad mostrará el origen y las redirecciones previstas, pero dejará esas redirecciones deshabilitadas hasta que el usuario las active explícitamente. Desde el punto de vista del administrador, Microsoft documenta una forma de restaurar el comportamiento anterior temporalmente mediante una modificación en el registro: cambiar el valor RedirectionWarningDialogVersion a 1 en la clave HKLM\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services\\Client. Microsoft recomienda mantener las nuevas protecciones activadas debido al historial de abuso de los .rdp.
Es importante subrayar una limitación técnica: estas medidas se aplican únicamente cuando la conexión se inicia abriendo un archivo .rdp; no afectan a las sesiones iniciadas directamente desde el cliente de Escritorio Remoto ni a otras formas de conexión remota. Por eso la protección reduce un vector de phishing muy concreto, pero no sustituye otras medidas de seguridad perimetral y de acceso remoto.
Más allá del parche, conviene aprovechar el momento para reforzar prácticas de seguridad: evitar abrir archivos .rdp recibidos por correo sin verificar al remitente; preferir flujos de trabajo en los que los perfiles de conexión estén gestionados y firmados por la organización; y aplicar políticas de grupo que controlen la redirección de unidades, portapapeles y dispositivos de autenticación. También es aconsejable reducir la exposición de servicios RDP a Internet, usar autenticación multifactor, segmentar redes y monitorizar conexiones remotas para detectar actividad anómala. Para orientaciones prácticas sobre cómo reducir riesgo en RDP y configuraciones recomendadas, la página de la Agencia de Seguridad Cibernética de Estados Unidos ofrece guías útiles en CISA y Microsoft mantiene documentación sobre seguridad en Remote Desktop en Microsoft Learn - Remote Desktop Services.
¿Qué deberían hacer hoy las empresas? Aplicar las actualizaciones correspondientes (las cumulativas señaladas de abril de 2026 incluyen las protecciones), revisar las políticas de redirección y firma de perfiles, y reforzar la formación de usuarios para que traten archivos .rdp no solicitados con la misma cautela que cualquier otro adjunto sospechoso. Estas medidas colaboran en cerrar una ventana de ataque que, si bien técnica y pequeña en apariencia, ha demostrado ser efectiva cuando cae en manos equivocadas.
Si quiere profundizar en las notas de la actualización y en los avisos de seguridad de Microsoft, la documentación oficial sobre las advertencias de seguridad en conexiones remotas está disponible en Microsoft Learn, y para contexto sobre cómo los atacantes abusan de RDP puede consultarse el ecosistema de inteligencia y prensa especializada como BleepingComputer o recursos de CISA en CISA.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...