Teletrabajo bajo ataque: por qué el acceso sin VPN es una puerta abierta
TL;DR
- El escritorio remoto (RDP) expuesto a internet es el vector de entrada número uno en ataques a pymes. Los bots lo escanean de forma continua.
- Sin VPN corporativa, los datos viajan en claro por redes WiFi que no controlas: la de casa, la cafetería, el hotel.
- La VPN de consumo (NordVPN, ExpressVPN) no sustituye a la VPN corporativa: cifra el acceso a internet pero no conecta con la red de empresa.
- El mínimo exigible para teletrabajar seguro: VPN corporativa + 2FA en todos los accesos + antivirus gestionado en el equipo remoto.
- El WiFi doméstico expone el equipo de trabajo a la misma red que el resto de dispositivos del hogar, incluyendo los menos seguros.
"El teletrabajo ha abierto una ventana a la conciliación, pero si no tienes una VPN, esa ventana está abierta de par en par para cualquiera."
Poder trabajar desde casa o desde cualquier lugar es una ventaja competitiva real para atraer y retener talento. El problema surge cuando ese acceso remoto se implementa a las bravas: usando el escritorio remoto de Windows sin protección, guardando contraseñas en el navegador del ordenador personal, conectándose a carpetas compartidas sin un túnel seguro, o accediendo a sistemas críticos desde el WiFi de una cafetería. El teletrabajo mal configurado no es una opción de trabajo flexible: es una puerta abierta a la red corporativa que cualquier atacante puede encontrar en minutos.
1. Por qué el escritorio remoto (RDP) es el vector de ataque favorito
El Protocolo de Escritorio Remoto (RDP) de Windows permite conectarse a un ordenador desde cualquier lugar del mundo. Es cómodo y gratuito: viene incluido en Windows. El problema es que cuando se configura de forma naif, abriendo el puerto 3389 directamente en el router, ese puerto queda visible para cualquier máquina de internet. Y hay bots que escanean toda la red IPv4 buscando puertos RDP abiertos de forma continua, las 24 horas del día.
Cuando un bot encuentra el puerto, comienza un ataque de fuerza bruta: prueba combinaciones de usuario y contraseña usando diccionarios de credenciales robadas y contraseñas comunes. Si el nombre de usuario es "admin" o el nombre de la empresa y la contraseña es débil o reutilizada, es cuestión de horas. Según datos del INCIBE, el RDP expuesto a internet es la vía de entrada más frecuente en los ataques de ransomware contra pymes españolas.
La solución no es eliminar el acceso remoto, sino protegerlo correctamente. Un puerto RDP nunca debería estar directamente expuesto a internet. Si se necesita acceso remoto al escritorio, debe pasar obligatoriamente a través de una VPN corporativa. Quien accede se autentica primero en la VPN y solo entonces puede ver el sistema de escritorio remoto, que permanece invisible desde fuera de ese túnel.
2. La VPN corporativa: lo que sí cifra el canal de verdad
Una VPN corporativa crea un túnel cifrado entre el dispositivo del empleado y la red de la empresa. Todo el tráfico que viaja por ese túnel está cifrado extremo a extremo: nadie en medio, ni el operador de internet del empleado, ni un atacante en la misma red WiFi, puede leer ni interceptar esos datos. El dispositivo del empleado, una vez conectado a la VPN, es virtualmente como si estuviera sentado en la oficina, con acceso a los mismos recursos y con el mismo nivel de protección.
Es importante distinguir entre una VPN corporativa y una VPN de consumo como NordVPN o ExpressVPN. Las VPN de consumo cifran el tráfico entre el dispositivo e internet, lo que es útil para navegar de forma privada en redes públicas. Pero no crean ningún túnel hacia la red corporativa: no dan acceso al servidor de la empresa, no cifran el acceso al ERP interno, no conectan con los recursos de red de la oficina. Son herramientas distintas para propósitos distintos.
Para una pyme, las opciones de VPN corporativa van desde soluciones integradas en firewalls gestionados (Fortinet, Sophos, pfSense) hasta soluciones modernas de Zero Trust Network Access como Cloudflare Access o Tailscale, que no requieren hardware adicional y son más fáciles de gestionar para equipos pequeños. La elección depende del tamaño del equipo, la complejidad de la infraestructura y el presupuesto. Lo que no es opción es no tener ninguna.
3. El factor WiFi doméstico: el eslabón más débil
El router que el operador de fibra instala en casa está diseñado para uso doméstico estándar. No tiene las funciones de segmentación de red, control de acceso ni monitorización de tráfico de un equipo empresarial. Y en la misma red donde está el ordenador de trabajo también hay el móvil del empleado, la tablet de los niños con aplicaciones de dudosa procedencia, la consola de videojuegos, el televisor inteligente y todos los dispositivos del hogar que en muchos casos nunca se actualizan.
Si cualquier dispositivo de esa red doméstica está comprometido (un malware en el móvil, una vulnerabilidad sin parchear en la consola, una aplicación con permisos excesivos), ese dispositivo puede explorar la red local y potencialmente acceder al ordenador de trabajo. Esto se llama movimiento lateral: el atacante usa un dispositivo débil de la red para llegar a otro más valioso. La VPN corporativa aísla parcialmente el equipo de trabajo de este riesgo al crear un canal separado para el tráfico corporativo, pero no elimina completamente la exposición.
La solución más completa para el entorno doméstico es que el equipo de trabajo esté en una VLAN separada del resto del hogar, configurada en el router doméstico. No todos los routers de consumo soportan VLANs, pero los modelos más recientes de algunos operadores y los routers de gama media sí lo permiten. En la práctica, para la mayoría de pymes, la combinación de VPN corporativa + antivirus gestionado en el equipo de trabajo es suficiente para mitigar los riesgos más importantes del WiFi doméstico.
4. El doble factor de autenticación: la segunda línea de defensa
Incluso con VPN correctamente configurada, hay que asumir que las contraseñas pueden comprometerse. Las credenciales de acceso se filtran regularmente en brechas de datos de terceros, se reutilizan en múltiples servicios, o se obtienen mediante phishing dirigido. Una contraseña comprometida no debería ser suficiente para que un atacante acceda a la red corporativa.
El doble factor de autenticación añade un segundo elemento de verificación que el atacante no tiene aunque tenga la contraseña: un código temporal generado en el móvil del empleado, una notificación push que requiere aprobación, o una clave de hardware física. Con 2FA activo, tener la contraseña correcta no es suficiente para entrar. Esto se aplica tanto al acceso VPN como al correo corporativo, los paneles de administración y cualquier sistema accesible desde fuera de la red de oficina.
La configuración de 2FA en VPN es parte del servicio de redes y acceso remoto seguro que ofrecemos. No es complejo de implementar pero requiere planificación correcta para no interrumpir el trabajo de los empleados durante la transición. También puede complementarse con la lectura sobre la auditoría informática básica para entender el estado completo de los accesos de la empresa.
5. Antivirus gestionado en el equipo remoto: visibilidad desde la oficina
Cuando el empleado trabaja desde casa, el equipo de IT de la empresa pierde visibilidad sobre lo que ocurre en ese dispositivo. El antivirus gestionado resuelve ese problema: a diferencia del antivirus tradicional que solo protege localmente, el antivirus gestionado tiene una consola central desde la que el responsable IT puede ver el estado de protección de todos los dispositivos remotos, recibir alertas de detecciones, aplicar políticas de seguridad de forma remota y verificar que las actualizaciones están al día.
Esta visibilidad centralizada es especialmente importante en un entorno de teletrabajo donde el técnico no puede ir físicamente al puesto del empleado. Saber que el equipo del empleado que trabaja desde casa tiene el antivirus actualizado, no ha detectado ninguna amenaza en las últimas 24 horas y tiene el sistema operativo con los parches del mes aplicados es información que permite actuar de forma preventiva antes de que un problema en ese equipo afecte a la red corporativa.
Tabla comparativa: acceso remoto seguro vs. inseguro
| Elemento | Inseguro | Seguro |
|---|---|---|
| Acceso al escritorio remoto | Puerto RDP abierto directamente a internet | RDP solo accesible desde dentro de la VPN |
| Cifrado del canal | Tráfico en claro por red WiFi compartida | Túnel VPN corporativo cifrado extremo a extremo |
| Autenticación | Solo contraseña (puede comprometerse) | Contraseña + segundo factor (app o hardware) |
| Protección del endpoint | Antivirus local sin visibilidad central | EDR gestionado con consola central |
| Monitorización | Sin visibilidad de lo que ocurre en remoto | Alertas centralizadas de estado de cada equipo |
Por dónde empezar mañana
- Comprueba si tienes el puerto RDP abierto en tu router. Desde un equipo externo (por ejemplo, usando una herramienta como Shodan o simplemente buscando "what is my IP" y luego escaneando el puerto 3389), verifica si tu dirección IP pública tiene ese puerto accesible. Si lo está, ciérralo de inmediato y planifica la implementación de VPN antes de reactivar el acceso remoto.
- Activa el 2FA en el correo corporativo esta semana. Es el acceso más valioso y el que más se intenta comprometer. Si usas Microsoft 365 o Google Workspace, el proceso de activación tarda menos de 30 minutos para todo el equipo.
- Evalúa una solución VPN adecuada a tu tamaño. Para equipos pequeños (menos de 10 usuarios remotos), soluciones como Tailscale o Cloudflare Access tienen una implementación sencilla y coste asequible. Para infraestructuras más complejas, un firewall con VPN integrada ofrece más control.
- Verifica el estado del antivirus en todos los equipos remotos. Si no tienes visibilidad central del estado de protección de los equipos que trabajan fuera de la oficina, hay un punto ciego que necesitas resolver.
Preguntas frecuentes
¿Es suficiente con una VPN de consumo para teletrabajar seguro?
No. Las VPN de consumo cifran el tráfico hacia internet pero no crean un túnel hacia la red corporativa. Son útiles para WiFi público pero no sustituyen a una VPN corporativa.
¿Qué es RDP y por qué es peligroso sin protección?
RDP es el protocolo de escritorio remoto de Windows. Si el puerto RDP está expuesto directamente a internet, hay bots que lo escanean continuamente y prueban credenciales por fuerza bruta. Es la vía de entrada más frecuente en ransomware contra pymes.
¿El doble factor de autenticación es suficiente sin VPN?
No son sustitutos. El 2FA verifica identidad pero no cifra el canal de comunicación. Sin VPN, los datos viajan en claro. Con ambos tienes canal cifrado y verificación de identidad.
¿Cuánto cuesta implementar una VPN corporativa para una pyme?
Un firewall con VPN integrada para 10-25 usuarios puede costar entre 500 y 2.000 euros. Soluciones cloud como Tailscale o Cloudflare Zero Trust tienen costes mensuales por usuario más bajos para equipos pequeños.
¿Qué pasa si un empleado trabaja desde WiFi público sin VPN?
El tráfico viaja sin cifrar por una red compartida. Un atacante en la misma red puede capturar credenciales y datos sensibles con herramientas gratuitas. El riesgo es real y no requiere sofisticación técnica especial.
¿Qué diferencia hay entre VPN de túnel completo y split tunneling?
En túnel completo, todo el tráfico pasa por la VPN corporativa. En split tunneling, solo el tráfico hacia la red de empresa va por el túnel. El split tunneling es más rápido pero requiere configuración cuidadosa para no crear brechas.
Servicio relacionado
Configuramos accesos remotos seguros y auditamos el estado de tu red para que el teletrabajo sea una ventaja y no un riesgo de seguridad.
Ver servicios de redes y VPN