Mes: julio 2026

  • RDP, SMB y botnets: por qué cerrar puertos expuestos ya no es opcional

    RDP, SMB y botnets: por qué cerrar puertos expuestos ya no es opcional

    La ciberseguridad empresarial ha cambiado. Durante años, muchas empresas han trabajado con servicios críticos publicados directamente en Internet: Escritorio Remoto, accesos administrativos, recursos compartidos, paneles de gestión o servicios heredados que “siempre han funcionado así”.

    El problema es que Internet ya no perdona. Hoy, cualquier puerto expuesto es escaneado de forma continua por bots, redes automatizadas, actores maliciosos y campañas de fuerza bruta. No hablamos de una posibilidad teórica, sino de una realidad diaria.

    Servicios como RDP, SMB, VPN mal configuradas o accesos administrativos abiertos son objetivos habituales para ataques automatizados, robo de credenciales, ransomware y movimientos laterales dentro de la red.

    INCIBE ya ha publicado recomendaciones específicas sobre la seguridad del Escritorio Remoto, destacando el uso de VPN como puerta de entrada segura para reducir el riesgo de incidentes en conexiones RDP.

    El riesgo de exponer RDP directamente a Internet

    El protocolo RDP es una herramienta muy útil para administración remota y teletrabajo, pero también uno de los servicios más atacados cuando se encuentra publicado directamente en Internet.

    Un puerto RDP abierto puede ser detectado en cuestión de minutos por sistemas automatizados. A partir de ahí empiezan los intentos de acceso, pruebas de usuario y contraseña, explotación de vulnerabilidades conocidas o campañas dirigidas contra credenciales débiles.

    Por eso, una buena configuración no debería limitarse únicamente a cambiar el puerto por defecto. Cambiar el puerto 3389 por otro puerto reduce ruido, pero no convierte el servicio en seguro. La medida realmente eficaz es limitar quién puede llegar al servicio.

    Las buenas prácticas actuales pasan por:

    • No publicar RDP de forma general a Internet.
    • Permitir acceso solo desde IPs autorizadas.
    • Usar VPN o redes privadas tipo Zero Trust.
    • Aplicar autenticación fuerte.
    • Revisar logs de acceso.
    • Mantener sistemas actualizados.
    • Auditar usuarios con permisos administrativos.
    • Aplicar bloqueo de cuentas ante intentos fallidos.

    SMB: el puerto 445 no debería estar abierto a Internet

    Otro caso especialmente delicado es SMB, utilizado para compartir archivos e impresoras en redes Windows. El puerto TCP 445 no debe estar expuesto a Internet salvo en escenarios muy controlados y justificados.

    INCIBE ya advirtió sobre vulnerabilidades que afectan al protocolo SMB y recogía la recomendación de bloquear mediante firewall las conexiones TCP al puerto 445 procedentes de Internet.

    Microsoft también mantiene documentación específica indicando que debe bloquearse el acceso SMB entrante desde Internet en los firewalls corporativos para proteger los dispositivos de la red.

    La exposición de SMB puede facilitar:

    • Acceso no autorizado a recursos compartidos.
    • Enumeración de información interna.
    • Ataques de fuerza bruta.
    • Propagación de malware.
    • Movimiento lateral.
    • Explotación de vulnerabilidades conocidas.
    • Ataques de ransomware.

    En resumen: SMB es para redes privadas, no para Internet abierto.

    Botnets: el enemigo silencioso

    Una botnet es una red de equipos comprometidos controlados por un tercero. Muchos ataques actuales no los ejecuta una persona manualmente, sino miles de sistemas automatizados probando servicios expuestos, credenciales filtradas, vulnerabilidades conocidas y configuraciones débiles.

    INCIBE dispone de un Servicio Antibotnet orientado a informar sobre amenazas o incidentes relacionados con botnets asociados a direcciones IP públicas.

    Esto demuestra una realidad importante: la protección ya no puede basarse únicamente en antivirus o contraseñas. Hay que reducir superficie de exposición, segmentar accesos, monitorizar y aplicar políticas preventivas.

    ENS, NIS2 y el nuevo marco de responsabilidad

    El Esquema Nacional de Seguridad, la directiva europea NIS2 y las guías técnicas de ENISA empujan en la misma dirección: gestión del riesgo, protección de sistemas, control de accesos, continuidad de negocio, auditoría y respuesta ante incidentes.

    ENISA publicó en 2025 una guía técnica para ayudar a implementar medidas de gestión del riesgo de ciberseguridad bajo NIS2 en sectores digitales, proveedores tecnológicos y servicios TIC.

    La directiva NIS2 exige medidas de gestión de riesgos que incluyan, entre otras, políticas de análisis de riesgos, seguridad de los sistemas de información, gestión de incidentes, continuidad de negocio, copias de seguridad y recuperación ante desastres.

    Traducido a una empresa real: ya no basta con “tenerlo funcionando”. Hay que poder justificar que los accesos están protegidos, que los servicios innecesarios no están expuestos, que existe trazabilidad y que se aplican controles razonables.

    Buenas prácticas recomendadas

    Desde Servinformática recomendamos revisar especialmente estos puntos:

    1. Cerrar servicios innecesarios

    Todo puerto abierto debe tener una justificación. Si no se usa, debe cerrarse. Si se usa, debe estar protegido.

    Especial atención a:

    • RDP.
    • SMB.
    • SSH.
    • FTP.
    • Paneles web administrativos.
    • Bases de datos expuestas.
    • Servicios antiguos sin soporte.

    2. Filtrar por IP

    Cuando un servicio debe estar publicado, no debería estar abierto a todo Internet. Lo correcto es permitir solo orígenes autorizados:

    • IP fija de oficina.
    • IPs de administración.
    • Redes VPN.
    • Redes privadas Zero Trust.
    • Sistemas de monitorización autorizados.

    3. Priorizar VPN o Zero Trust

    Siempre que sea posible, el acceso administrativo debe realizarse mediante una capa privada previa. Es decir, que el servicio no sea visible desde Internet, sino accesible únicamente tras autenticarse en una red segura.

    Aquí es donde soluciones como NetBird aportan mucho valor, especialmente en entornos multicliente y multitenant, permitiendo organizar accesos privados, segmentados y controlados sin depender de aperturas indiscriminadas de puertos.

    En Servinformática hemos incorporado recientemente una solución basada en NetBird para ofrecer una capa de acceso segura, organizada y escalable para nuestros clientes.

    4. Monitorización continua

    No basta con configurar una vez y olvidarse. Hay que revisar:

    • Intentos fallidos.
    • Accesos administrativos.
    • Cambios de firewall.
    • Nuevas reglas creadas.
    • Usuarios con privilegios.
    • Servicios expuestos.
    • Alertas de disponibilidad.
    • Eventos sospechosos.

    5. Contraseñas robustas y MFA

    El filtrado por IP reduce muchísimo el riesgo, pero no sustituye una buena política de credenciales.

    Toda cuenta administrativa debería tener:

    • Contraseña robusta.
    • No reutilización de claves.
    • Bloqueo ante intentos fallidos.
    • MFA siempre que sea posible.
    • Revisión periódica de usuarios activos.

    6. Auditoría y trazabilidad

    Toda acción administrativa relevante debería poder revisarse posteriormente: quién accedió, desde dónde, cuándo y qué cambios se realizaron.

    Esto es especialmente importante en entornos regulados, empresas con datos sensibles o infraestructuras críticas.

    Seguridad sin romper la operativa

    La seguridad no debe convertirse en un bloqueo para el trabajo diario. El objetivo no es aplicar medidas sin contexto, sino encontrar el equilibrio correcto entre protección y productividad.

    En algunos entornos puede tener sentido impedir el uso de credenciales guardadas en RDP. En otros, puede ser más razonable mantenerlas, siempre que el acceso esté restringido por IP, VPN, monitorización y controles adicionales.

    La clave está en no dejar servicios críticos abiertos de forma general a Internet.

    Nuestra recomendación

    Si vuestra empresa utiliza Escritorio Remoto, servidores Windows, recursos compartidos SMB o accesos administrativos publicados en Internet, es recomendable realizar una revisión urgente de exposición.

    Desde Servinformática podemos ayudaros a:

    • Auditar puertos abiertos.
    • Revisar reglas de firewall.
    • Proteger RDP.
    • Cerrar SMB expuesto.
    • Implantar acceso seguro mediante VPN o Zero Trust.
    • Monitorizar servidores.
    • Revisar eventos de seguridad.
    • Alinear la infraestructura con buenas prácticas ENS y NIS2.
    • Implantar soluciones multicliente con NetBird.

    La pregunta ya no es si una empresa será escaneada. La pregunta es si, cuando lo sea, sus servicios estarán protegidos o esperando al primer bot que pase por la puerta.

    Conclusión

    RDP y SMB son herramientas útiles, pero mal expuestas pueden convertirse en una puerta de entrada directa a la red corporativa.

    La tendencia actual marcada por INCIBE, ENISA, NIS2 y el Esquema Nacional de Seguridad es clara: reducir exposición, controlar accesos, monitorizar, auditar y aplicar capas de seguridad.

    Cerrar puertos, filtrar por IP y usar soluciones privadas de acceso remoto ya no es una recomendación avanzada. Es higiene básica de ciberseguridad.

    En Servinformática trabajamos cada día con infraestructuras críticas, servidores empresariales y entornos multicliente. Nuestra prioridad es que los sistemas sigan funcionando, sí, pero también que no estén regalando superficie de ataque a Internet.

    Porque en ciberseguridad, lo que hoy parece una molestia preventiva, mañana puede evitar una parada completa de negocio.

    RDP, SMB y botnets: por qué cerrar puertos expuestos ya no es opcional

    La ciberseguridad empresarial ha cambiado. Durante años, muchas empresas han trabajado con servicios críticos publicados directamente en Internet: Escritorio Remoto, accesos administrativos, recursos compartidos, paneles de gestión o servicios heredados que “siempre han funcionado así”.

    El problema es que Internet ya no perdona. Hoy, cualquier puerto expuesto es escaneado de forma continua por bots, redes automatizadas, actores maliciosos y campañas de fuerza bruta. No hablamos de una posibilidad teórica, sino de una realidad diaria.

    Servicios como RDP, SMB, VPN mal configuradas o accesos administrativos abiertos son objetivos habituales para ataques automatizados, robo de credenciales, ransomware y movimientos laterales dentro de la red.

    INCIBE ya ha publicado recomendaciones específicas sobre la seguridad del Escritorio Remoto, destacando el uso de VPN como puerta de entrada segura para reducir el riesgo de incidentes en conexiones RDP.

    El riesgo de exponer RDP directamente a Internet

    El protocolo RDP es una herramienta muy útil para administración remota y teletrabajo, pero también uno de los servicios más atacados cuando se encuentra publicado directamente en Internet.

    Un puerto RDP abierto puede ser detectado en cuestión de minutos por sistemas automatizados. A partir de ahí empiezan los intentos de acceso, pruebas de usuario y contraseña, explotación de vulnerabilidades conocidas o campañas dirigidas contra credenciales débiles.

    Por eso, una buena configuración no debería limitarse únicamente a cambiar el puerto por defecto. Cambiar el puerto 3389 por otro puerto reduce ruido, pero no convierte el servicio en seguro. La medida realmente eficaz es limitar quién puede llegar al servicio.

    Las buenas prácticas actuales pasan por:

    • No publicar RDP de forma general a Internet.
    • Permitir acceso solo desde IPs autorizadas.
    • Usar VPN o redes privadas tipo Zero Trust.
    • Aplicar autenticación fuerte.
    • Revisar logs de acceso.
    • Mantener sistemas actualizados.
    • Auditar usuarios con permisos administrativos.
    • Aplicar bloqueo de cuentas ante intentos fallidos.

    SMB: el puerto 445 no debería estar abierto a Internet

    Otro caso especialmente delicado es SMB, utilizado para compartir archivos e impresoras en redes Windows. El puerto TCP 445 no debe estar expuesto a Internet salvo en escenarios muy controlados y justificados.

    INCIBE ya advirtió sobre vulnerabilidades que afectan al protocolo SMB y recogía la recomendación de bloquear mediante firewall las conexiones TCP al puerto 445 procedentes de Internet.

    Microsoft también mantiene documentación específica indicando que debe bloquearse el acceso SMB entrante desde Internet en los firewalls corporativos para proteger los dispositivos de la red.

    La exposición de SMB puede facilitar:

    • Acceso no autorizado a recursos compartidos.
    • Enumeración de información interna.
    • Ataques de fuerza bruta.
    • Propagación de malware.
    • Movimiento lateral.
    • Explotación de vulnerabilidades conocidas.
    • Ataques de ransomware.

    En resumen: SMB es para redes privadas, no para Internet abierto.

    Botnets: el enemigo silencioso

    Una botnet es una red de equipos comprometidos controlados por un tercero. Muchos ataques actuales no los ejecuta una persona manualmente, sino miles de sistemas automatizados probando servicios expuestos, credenciales filtradas, vulnerabilidades conocidas y configuraciones débiles.

    INCIBE dispone de un Servicio Antibotnet orientado a informar sobre amenazas o incidentes relacionados con botnets asociados a direcciones IP públicas.

    Esto demuestra una realidad importante: la protección ya no puede basarse únicamente en antivirus o contraseñas. Hay que reducir superficie de exposición, segmentar accesos, monitorizar y aplicar políticas preventivas.

    ENS, NIS2 y el nuevo marco de responsabilidad

    El Esquema Nacional de Seguridad, la directiva europea NIS2 y las guías técnicas de ENISA empujan en la misma dirección: gestión del riesgo, protección de sistemas, control de accesos, continuidad de negocio, auditoría y respuesta ante incidentes.

    ENISA publicó en 2025 una guía técnica para ayudar a implementar medidas de gestión del riesgo de ciberseguridad bajo NIS2 en sectores digitales, proveedores tecnológicos y servicios TIC.

    La directiva NIS2 exige medidas de gestión de riesgos que incluyan, entre otras, políticas de análisis de riesgos, seguridad de los sistemas de información, gestión de incidentes, continuidad de negocio, copias de seguridad y recuperación ante desastres.

    Traducido a una empresa real: ya no basta con “tenerlo funcionando”. Hay que poder justificar que los accesos están protegidos, que los servicios innecesarios no están expuestos, que existe trazabilidad y que se aplican controles razonables.

    Buenas prácticas recomendadas

    Desde Servinformática recomendamos revisar especialmente estos puntos:

    1. Cerrar servicios innecesarios

    Todo puerto abierto debe tener una justificación. Si no se usa, debe cerrarse. Si se usa, debe estar protegido.

    Especial atención a:

    • RDP.
    • SMB.
    • SSH.
    • FTP.
    • Paneles web administrativos.
    • Bases de datos expuestas.
    • Servicios antiguos sin soporte.

    2. Filtrar por IP

    Cuando un servicio debe estar publicado, no debería estar abierto a todo Internet. Lo correcto es permitir solo orígenes autorizados:

    • IP fija de oficina.
    • IPs de administración.
    • Redes VPN.
    • Redes privadas Zero Trust.
    • Sistemas de monitorización autorizados.

    3. Priorizar VPN o Zero Trust

    Siempre que sea posible, el acceso administrativo debe realizarse mediante una capa privada previa. Es decir, que el servicio no sea visible desde Internet, sino accesible únicamente tras autenticarse en una red segura.

    Aquí es donde soluciones como NetBird aportan mucho valor, especialmente en entornos multicliente y multitenant, permitiendo organizar accesos privados, segmentados y controlados sin depender de aperturas indiscriminadas de puertos.

    En Servinformática hemos incorporado recientemente una solución basada en NetBird para ofrecer una capa de acceso segura, organizada y escalable para nuestros clientes.

    4. Monitorización continua

    No basta con configurar una vez y olvidarse. Hay que revisar:

    • Intentos fallidos.
    • Accesos administrativos.
    • Cambios de firewall.
    • Nuevas reglas creadas.
    • Usuarios con privilegios.
    • Servicios expuestos.
    • Alertas de disponibilidad.
    • Eventos sospechosos.

    5. Contraseñas robustas y MFA

    El filtrado por IP reduce muchísimo el riesgo, pero no sustituye una buena política de credenciales.

    Toda cuenta administrativa debería tener:

    • Contraseña robusta.
    • No reutilización de claves.
    • Bloqueo ante intentos fallidos.
    • MFA siempre que sea posible.
    • Revisión periódica de usuarios activos.

    6. Auditoría y trazabilidad

    Toda acción administrativa relevante debería poder revisarse posteriormente: quién accedió, desde dónde, cuándo y qué cambios se realizaron.

    Esto es especialmente importante en entornos regulados, empresas con datos sensibles o infraestructuras críticas.

    Seguridad sin romper la operativa

    La seguridad no debe convertirse en un bloqueo para el trabajo diario. El objetivo no es aplicar medidas sin contexto, sino encontrar el equilibrio correcto entre protección y productividad.

    En algunos entornos puede tener sentido impedir el uso de credenciales guardadas en RDP. En otros, puede ser más razonable mantenerlas, siempre que el acceso esté restringido por IP, VPN, monitorización y controles adicionales.

    La clave está en no dejar servicios críticos abiertos de forma general a Internet.

    Nuestra recomendación

    Si vuestra empresa utiliza Escritorio Remoto, servidores Windows, recursos compartidos SMB o accesos administrativos publicados en Internet, es recomendable realizar una revisión urgente de exposición.

    Desde Servinformática podemos ayudaros a:

    • Auditar puertos abiertos.
    • Revisar reglas de firewall.
    • Proteger RDP.
    • Cerrar SMB expuesto.
    • Implantar acceso seguro mediante VPN o Zero Trust.
    • Monitorizar servidores.
    • Revisar eventos de seguridad.
    • Alinear la infraestructura con buenas prácticas ENS y NIS2.
    • Implantar soluciones multicliente con NetBird.

    La pregunta ya no es si una empresa será escaneada. La pregunta es si, cuando lo sea, sus servicios estarán protegidos o esperando al primer bot que pase por la puerta.

    Conclusión

    RDP y SMB son herramientas útiles, pero mal expuestas pueden convertirse en una puerta de entrada directa a la red corporativa.

    La tendencia actual marcada por INCIBE, ENISA, NIS2 y el Esquema Nacional de Seguridad es clara: reducir exposición, controlar accesos, monitorizar, auditar y aplicar capas de seguridad.

    Cerrar puertos, filtrar por IP y usar soluciones privadas de acceso remoto ya no es una recomendación avanzada. Es higiene básica de ciberseguridad.

    En Servinformática trabajamos cada día con infraestructuras críticas, servidores empresariales y entornos multicliente. Nuestra prioridad es que los sistemas sigan funcionando, sí, pero también que no estén regalando superficie de ataque a Internet.

    Porque en ciberseguridad, lo que hoy parece una molestia preventiva, mañana puede evitar una parada completa de negocio.

    La ciberseguridad empresarial ha cambiado. Durante años, muchas empresas han trabajado con servicios críticos publicados directamente en Internet: Escritorio Remoto, accesos administrativos, recursos compartidos, paneles de gestión o servicios heredados que “siempre han funcionado así”.

    El problema es que Internet ya no perdona. Hoy, cualquier puerto expuesto es escaneado de forma continua por bots, redes automatizadas, actores maliciosos y campañas de fuerza bruta. No hablamos de una posibilidad teórica, sino de una realidad diaria.

    Servicios como RDP, SMB, VPN mal configuradas o accesos administrativos abiertos son objetivos habituales para ataques automatizados, robo de credenciales, ransomware y movimientos laterales dentro de la red.

    INCIBE ya ha publicado recomendaciones específicas sobre la seguridad del Escritorio Remoto, destacando el uso de VPN como puerta de entrada segura para reducir el riesgo de incidentes en conexiones RDP.

    El riesgo de exponer RDP directamente a Internet

    El protocolo RDP es una herramienta muy útil para administración remota y teletrabajo, pero también uno de los servicios más atacados cuando se encuentra publicado directamente en Internet.

    Un puerto RDP abierto puede ser detectado en cuestión de minutos por sistemas automatizados. A partir de ahí empiezan los intentos de acceso, pruebas de usuario y contraseña, explotación de vulnerabilidades conocidas o campañas dirigidas contra credenciales débiles.

    Por eso, una buena configuración no debería limitarse únicamente a cambiar el puerto por defecto. Cambiar el puerto 3389 por otro puerto reduce ruido, pero no convierte el servicio en seguro. La medida realmente eficaz es limitar quién puede llegar al servicio.

    Las buenas prácticas actuales pasan por:

    • No publicar RDP de forma general a Internet.
    • Permitir acceso solo desde IPs autorizadas.
    • Usar VPN o redes privadas tipo Zero Trust.
    • Aplicar autenticación fuerte.
    • Revisar logs de acceso.
    • Mantener sistemas actualizados.
    • Auditar usuarios con permisos administrativos.
    • Aplicar bloqueo de cuentas ante intentos fallidos.

    SMB: el puerto 445 no debería estar abierto a Internet

    Otro caso especialmente delicado es SMB, utilizado para compartir archivos e impresoras en redes Windows. El puerto TCP 445 no debe estar expuesto a Internet salvo en escenarios muy controlados y justificados.

    INCIBE ya advirtió sobre vulnerabilidades que afectan al protocolo SMB y recogía la recomendación de bloquear mediante firewall las conexiones TCP al puerto 445 procedentes de Internet.

    Microsoft también mantiene documentación específica indicando que debe bloquearse el acceso SMB entrante desde Internet en los firewalls corporativos para proteger los dispositivos de la red.

    La exposición de SMB puede facilitar:

    • Acceso no autorizado a recursos compartidos.
    • Enumeración de información interna.
    • Ataques de fuerza bruta.
    • Propagación de malware.
    • Movimiento lateral.
    • Explotación de vulnerabilidades conocidas.
    • Ataques de ransomware.

    En resumen: SMB es para redes privadas, no para Internet abierto.

    Botnets: el enemigo silencioso

    Una botnet es una red de equipos comprometidos controlados por un tercero. Muchos ataques actuales no los ejecuta una persona manualmente, sino miles de sistemas automatizados probando servicios expuestos, credenciales filtradas, vulnerabilidades conocidas y configuraciones débiles.

    INCIBE dispone de un Servicio Antibotnet orientado a informar sobre amenazas o incidentes relacionados con botnets asociados a direcciones IP públicas.

    Esto demuestra una realidad importante: la protección ya no puede basarse únicamente en antivirus o contraseñas. Hay que reducir superficie de exposición, segmentar accesos, monitorizar y aplicar políticas preventivas.

    ENS, NIS2 y el nuevo marco de responsabilidad

    El Esquema Nacional de Seguridad, la directiva europea NIS2 y las guías técnicas de ENISA empujan en la misma dirección: gestión del riesgo, protección de sistemas, control de accesos, continuidad de negocio, auditoría y respuesta ante incidentes.

    ENISA publicó en 2025 una guía técnica para ayudar a implementar medidas de gestión del riesgo de ciberseguridad bajo NIS2 en sectores digitales, proveedores tecnológicos y servicios TIC.

    La directiva NIS2 exige medidas de gestión de riesgos que incluyan, entre otras, políticas de análisis de riesgos, seguridad de los sistemas de información, gestión de incidentes, continuidad de negocio, copias de seguridad y recuperación ante desastres.

    Traducido a una empresa real: ya no basta con “tenerlo funcionando”. Hay que poder justificar que los accesos están protegidos, que los servicios innecesarios no están expuestos, que existe trazabilidad y que se aplican controles razonables.

    Buenas prácticas recomendadas

    Desde Servinformática recomendamos revisar especialmente estos puntos:

    1. Cerrar servicios innecesarios

    Todo puerto abierto debe tener una justificación. Si no se usa, debe cerrarse. Si se usa, debe estar protegido.

    Especial atención a:

    • RDP.
    • SMB.
    • SSH.
    • FTP.
    • Paneles web administrativos.
    • Bases de datos expuestas.
    • Servicios antiguos sin soporte.

    2. Filtrar por IP

    Cuando un servicio debe estar publicado, no debería estar abierto a todo Internet. Lo correcto es permitir solo orígenes autorizados:

    • IP fija de oficina.
    • IPs de administración.
    • Redes VPN.
    • Redes privadas Zero Trust.
    • Sistemas de monitorización autorizados.

    3. Priorizar VPN o Zero Trust

    Siempre que sea posible, el acceso administrativo debe realizarse mediante una capa privada previa. Es decir, que el servicio no sea visible desde Internet, sino accesible únicamente tras autenticarse en una red segura.

    Aquí es donde soluciones como NetBird aportan mucho valor, especialmente en entornos multicliente y multitenant, permitiendo organizar accesos privados, segmentados y controlados sin depender de aperturas indiscriminadas de puertos.

    En Servinformática hemos incorporado recientemente una solución basada en NetBird para ofrecer una capa de acceso segura, organizada y escalable para nuestros clientes.

    4. Monitorización continua

    No basta con configurar una vez y olvidarse. Hay que revisar:

    • Intentos fallidos.
    • Accesos administrativos.
    • Cambios de firewall.
    • Nuevas reglas creadas.
    • Usuarios con privilegios.
    • Servicios expuestos.
    • Alertas de disponibilidad.
    • Eventos sospechosos.

    5. Contraseñas robustas y MFA

    El filtrado por IP reduce muchísimo el riesgo, pero no sustituye una buena política de credenciales.

    Toda cuenta administrativa debería tener:

    • Contraseña robusta.
    • No reutilización de claves.
    • Bloqueo ante intentos fallidos.
    • MFA siempre que sea posible.
    • Revisión periódica de usuarios activos.

    6. Auditoría y trazabilidad

    Toda acción administrativa relevante debería poder revisarse posteriormente: quién accedió, desde dónde, cuándo y qué cambios se realizaron.

    Esto es especialmente importante en entornos regulados, empresas con datos sensibles o infraestructuras críticas.

    Seguridad sin romper la operativa

    La seguridad no debe convertirse en un bloqueo para el trabajo diario. El objetivo no es aplicar medidas sin contexto, sino encontrar el equilibrio correcto entre protección y productividad.

    En algunos entornos puede tener sentido impedir el uso de credenciales guardadas en RDP. En otros, puede ser más razonable mantenerlas, siempre que el acceso esté restringido por IP, VPN, monitorización y controles adicionales.

    La clave está en no dejar servicios críticos abiertos de forma general a Internet.

    Nuestra recomendación

    Si vuestra empresa utiliza Escritorio Remoto, servidores Windows, recursos compartidos SMB o accesos administrativos publicados en Internet, es recomendable realizar una revisión urgente de exposición.

    Desde Servinformática podemos ayudaros a:

    • Auditar puertos abiertos.
    • Revisar reglas de firewall.
    • Proteger RDP.
    • Cerrar SMB expuesto.
    • Implantar acceso seguro mediante VPN o Zero Trust.
    • Monitorizar servidores.
    • Revisar eventos de seguridad.
    • Alinear la infraestructura con buenas prácticas ENS y NIS2.
    • Implantar soluciones multicliente con NetBird.

    La pregunta ya no es si una empresa será escaneada. La pregunta es si, cuando lo sea, sus servicios estarán protegidos o esperando al primer bot que pase por la puerta.

    Conclusión

    RDP y SMB son herramientas útiles, pero mal expuestas pueden convertirse en una puerta de entrada directa a la red corporativa.

    La tendencia actual marcada por INCIBE, ENISA, NIS2 y el Esquema Nacional de Seguridad es clara: reducir exposición, controlar accesos, monitorizar, auditar y aplicar capas de seguridad.

    Cerrar puertos, filtrar por IP y usar soluciones privadas de acceso remoto ya no es una recomendación avanzada. Es higiene básica de ciberseguridad.

    En Servinformática trabajamos cada día con infraestructuras críticas, servidores empresariales y entornos multicliente. Nuestra prioridad es que los sistemas sigan funcionando, sí, pero también que no estén regalando superficie de ataque a Internet.

    Porque en ciberseguridad, lo que hoy parece una molestia preventiva, mañana puede evitar una parada completa de negocio.