Una grave vulnerabilidad en el Protocolo de Escritorio Remoto (RDP) de Windows permitiría a atacantes acceder a sistemas usando credenciales antiguas almacenadas en caché. Microsoft lo considera una “funcionalidad esperada”.
El Protocolo de Escritorio Remoto (RDP), integrado en prácticamente todas las versiones modernas de Windows, se ha convertido en un foco de preocupación en el mundo de la ciberseguridad. Investigadores han alertado de la existencia de una backdoor persistente que afecta tanto a Windows 10 como a Windows 11 y versiones anteriores, la cual permitiría a un atacante reutilizar credenciales previamente válidas para acceder a sistemas protegidos. Lo más inquietante: Microsoft no tiene intención de parchearla, ya que lo considera parte del diseño del sistema operativo.
¿Cómo funciona esta “backdoor” en RDP?
La vulnerabilidad reside en la gestión de credenciales en caché. Windows guarda de forma local las contraseñas de usuarios que han iniciado sesión previamente. Esto, en principio, permite acceder al equipo aunque no tenga conexión a Internet, una función útil para trabajadores en movilidad. Sin embargo, este mecanismo puede ser explotado por atacantes para iniciar sesión con una contraseña antigua si el sistema no ha actualizado el hash de autenticación.
El problema afecta especialmente al RDP (Remote Desktop Protocol), ya que permite conexiones remotas sin necesidad de interacción física con el dispositivo. Un atacante que haya capturado o tenido acceso a una contraseña anterior puede conectarse al sistema si dicha contraseña aún reside en caché local.
¿Por qué es tan grave?
- Acceso no autorizado: se puede iniciar sesión con contraseñas antiguas, incluso si han sido cambiadas en la nube o en Active Directory.
- Persistencia de acceso: los atacantes podrían mantener puertas traseras a sistemas corporativos sin ser detectados.
- Vulnerabilidad histórica: afecta a versiones de Windows desde Windows NT 4.0 Terminal Server Edition (1998) hasta hoy.
- Sin solución prevista: Microsoft ha declarado que esta funcionalidad es necesaria para permitir el acceso offline en determinados escenarios.
¿Qué dice Microsoft?
En su documentación oficial sobre el proceso de inicio de sesión, Microsoft explica que las credenciales se verifican primero con la copia local almacenada en caché. Si esta verificación es exitosa, el sistema permite el acceso aunque el equipo esté desconectado. Según Microsoft, esto “garantiza que al menos una cuenta pueda iniciar sesión” cuando no hay conexión a red.
La empresa no lo considera una vulnerabilidad, sino una característica esperada del funcionamiento de Windows en entornos híbridos. Pero desde la perspectiva de la ciberseguridad, esto representa una puerta trasera potencialmente explotable, especialmente en infraestructuras empresariales.
¿Cómo se puede explotar?
- Captura previa de credenciales: mediante ataques de phishing, malware o acceso físico previo.
- Persistencia tras cambio de clave: aunque la contraseña haya sido cambiada en el servidor, la versión antigua sigue funcionando localmente.
- Acceso remoto vía RDP: si el sistema permite conexiones remotas, el atacante puede reutilizar las credenciales desde cualquier lugar.
¿Qué medidas pueden tomarse?
Aunque Microsoft no tiene previsto solucionar el problema, existen formas de mitigar el riesgo:
- Deshabilitar el almacenamiento de credenciales en caché mediante políticas de grupo (GPO).
- Forzar el uso de autenticación multifactor (MFA) para todas las sesiones RDP.
- Limitar o deshabilitar RDP en equipos donde no sea estrictamente necesario.
- Revisar regularmente las configuraciones de políticas de acceso remoto.
- Registrar e inspeccionar todos los eventos de inicio de sesión, especialmente los locales y remotos.
¿Qué alternativas existen?
Para quienes buscan mayor seguridad, los entornos Linux y soluciones de escritorio remoto basadas en protocolos más robustos como Wayland + PipeWire, AnyDesk, RustDesk o NoMachine pueden ofrecer un nivel adicional de control sobre credenciales y acceso remoto.
Conclusión
En tiempos donde la seguridad informática debería ser prioritaria, que un protocolo como RDP —presente en millones de equipos en todo el mundo— permita el acceso con contraseñas antiguas sin que Microsoft lo considere un problema, genera una gran preocupación.
Los administradores de sistemas y responsables de IT deben ser conscientes de esta “característica” y aplicar medidas de mitigación urgentes. En un contexto de ciberataques cada vez más sofisticados, ignorar estas puertas traseras es dejar la puerta abierta al desastre.
Referencias: Imagen destacada de Guide Book Gallery, Microsoft y El chapuzas informático.
