Las herramientas de escritorio remoto: Una solución peligrosa

La necesidad de poder trabajar lejos de los equipos que procesan la información ha sido una de las primeras (sino la primera) aspiraciones de quienes trabajan en tecnología. Imaginemos una sala de cómputo con centenares de equipos generando ruidos ensordecedores en salas a 18 grados centígrados. ¿Quién quisiera estar en un entorno así?

Lo que hoy conocemos como “Escritorio Remoto”, “Terminal”, “Escritorio Virtual” y sus diversos nombres, es una evolución que se inicia con los terminales (teletipos) que provenían del sistema telegráfico y casi en paralelo se incorporan como periférico con la aparición de los primeros computadores. Evolucionaron y se adaptaron a todas las tendencias de la tecnología, exitosas y fallidas, hasta lo que hoy conocemos. Prácticamente cualquier dispositivo que hoy utilizamos a diario puede, técnicamente hablando, operar como huésped o servidor de una sesión remota.

¿Cuál es el problema?

La posibilidad de acceder de manera remota a un dispositivo, facilita enormemente la administración, gestión y uso de los dispositivos. Reduce costos y tiempo, facilita el despliegue de tecnología y convierte al equipo de tecnología y usuarios en personas “ubicuas”. Con la llegada de las telecomunicaciones y el internet se incrementó la distancia posible del enlace, y con ello perdieron relevancia temas como la seguridad física y las fronteras con todas sus implicaciones. 

Existen miles de herramientas disponibles en el mercado. Cada una más fácil o más especializadas que otras. Sin embargo todas ellas se reducen a un grupo mucho más reducido de estándares y protocolos. Esto ha llevado a que cualquier persona pueda hacer uso de esta tecnología para, por ejemplo, revisar la computadora de su casa desde la oficina, hacerle soporte técnico a un familiar. Y si bien la tecnología ha madurado en temas de seguridad, en la práctica dependerá del usuario que lo implemente el que no se convierta en un riesgo.

Por ejemplo, Google ofrece una extensión denominada Chrome Remote Desktop que permite a un usuario acceder remotamente al equipo en el cual lo instaló. No es una aplicación que requiera de privilegios de administración del computador (por cierto que Chrome tampoco) ya que corre sobre el navegador web, y por el contrario para restringirlo se requiere de herramientas y procedimientos que las empresas no siempre cuentan.

Otro ejemplo es TeamViewer, una de las más famosas en este rubro. Asegura tener más de un tercio de ese mercado y de contar en su cartera con el 90% de las Fortune 500. esta herramienta se ofrece en presentaciones que permiten ser ejecutadas sin tampoco requerir privilegios de administración tanto en los servidores como los huéspedes.

Luego tenemos soluciones implementadas formalmente por las organizaciones. Esto puede variar, incluyendo las antes mencionadas, desde soluciones orientadas a dar soporte técnico hasta plataformas que resuelven la problemática de entornos que no fueron diseñados para trabajar fuera de redes locales, simplificar/optimizar licenciamiento o simplemente acelerar la adopción del trabajo remoto. En muchos casos, es la virtualización de un equipo de escritorio, que se ejecuta en ambientes centralizados. 

Si estos ejemplos no le convencen, indague en su organización. Puede sorprenderse de la cantidad y antigüedad de estas soluciones en su negocio.

 El problema de estas soluciones radica en la posibilidad que ocurran accesos por terceros no autorizados. La gravedad en este caso está en que su implementación puede realizarse sin los controles apropiados como consecuencia de la urgencia o impericia del usuario que lo haga.

Y no es solo un problema relacionado con la herramienta y su implementación: La mayoría de las soluciones consta de varios elementos importantes a la hora de evaluar los riesgos: Configuración del servidor centralizado o descentralizado (1 y 3), software servidor (2 y 4) esquemas de comunicación, protección de red y cifrado entre dispositivos (5), configuración de software cliente (6), configuración del huésped (dispositivo utilizado para ejecutar la aplicación cliente) (7) y la intervención de terceras partes (8).

¿Cómo se agravó esto con la pandemia?

La necesidad de retomar las operaciones con limitaciones de movilidad disparó el uso de estas soluciones. Su implementación desde la emergencia supone que en muchos casos, las decisiones fueron tomadas tomando las opciones más cercanas y no necesariamente las apropiadas para una adopción masiva. El otro tema es que su adopción puede no haberse hecho con un enfoque holístico, obviando los riesgos asociados a los nuevos elementos o los emergentes en los actuales como consecuencia de este nuevo servicio.

¿Qué hacer? 

 Lo primero es tomar conciencia de que todas las personas, naturales y jurídicas, grandes o pequeñas están igual de expuestas, y la primera acción a ejecutar es reconocer cómo y dónde se están utilizando estas tecnologías en su negocio. Luego se hace necesario identificar cómo está implementada la solución, su configuración y los riesgos asociados, para entonces abordar las acciones necesarias para su remediación. 

Muchas de estas soluciones se implementaron como medidas temporales. Hoy es de los servicios primordiales del negocio, y urge que la organización realice las evaluaciones de riesgo independientes que permitan minimizar estos riesgos y otros ocasionados por los cambios de este último año.