TroutTrout
Back to Blog
AuthenticationRemote Access

MFA para el acceso remoto: VPN, RDP y portales en la nube

Trout Team8 min read

Una contraseña de VPN robada. Un puerto RDP expuesto. Un portal en la nube con autenticación de un solo factor. Estos son los tres puntos de entrada más comunes de las brechas de acceso remoto. La autenticación multifactor (MFA) cierra los tres al exigir un segundo factor de verificación que un atacante no puede robar de forma remota. Comprender cómo implementar bien la MFA en cada ruta, y dónde la MFA por sí sola no basta, puede mejorar notablemente su postura de seguridad.

Comprender la necesidad de MFA en el acceso remoto

Las tecnologías de acceso remoto han cambiado la forma de operar de las empresas, ofreciendo flexibilidad y eficiencia. También introducen nuevas vulnerabilidades. El acceso no autorizado mediante credenciales comprometidas puede provocar brechas devastadoras. La MFA añade una capa de seguridad al exigir dos o más factores de verificación para obtener acceso, lo que mitiga los riesgos de la autenticación basada solo en contraseña.

CISA es explícita en que la MFA resistente al phishing es el estándar de referencia y en que cualquier MFA es mucho mejor que ninguna, porque detiene los ataques de reutilización de credenciales que impulsan la mayoría de las intrusiones (CISA, Multifactor Authentication). El motivo importa para la tecnología operativa (OT): en entornos industriales, una sola credencial reutilizada puede tender un puente entre un buzón corporativo y una estación de trabajo de un sistema de control.

El papel de la MFA en la mitigación de riesgos

  • Impedir accesos no autorizados: al exigir varias formas de identificación, la MFA reduce considerablemente el riesgo de acceso no autorizado mediante contraseñas robadas o comprometidas.
  • Reforzar el cumplimiento: marcos como NIST SP 800-171 y CMMC exigen autenticación sólida. El control 3.5.3 de NIST SP 800-171 exige MFA para el acceso local y de red a cuentas con privilegios, así como para el acceso de red a cuentas sin privilegios (NIST SP 800-171 Rev. 2).
  • Reducir el phishing y el robo de credenciales: la MFA puede frustrar el phishing y otros robos de credenciales al añadir un paso de verificación que los atacantes no pueden reproducir fácilmente de forma remota, sobre todo cuando el factor resiste al phishing.

El problema del RDP en OT

El RDP merece su propia sección, porque es uno de los puntos de entrada más explotados hacia las redes industriales. Cuando un puerto RDP es accesible desde Internet, los atacantes lo encuentran en cuestión de horas mediante escaneo automatizado, y luego fuerzan o reutilizan credenciales robadas. Los informes de amenazas sitúan de forma constante el RDP expuesto entre los vectores de acceso inicial más comunes del ransomware, y la guía de CISA sobre la protección del acceso remoto señala la exposición directa del RDP como una práctica que debe eliminarse (CISA, Guide to Securing Remote Access Software).

Lo que está en juego es mayor en OT que en TI. NIST SP 800-82, la guía de referencia para la seguridad de OT, insiste en que el acceso remoto a los entornos de sistemas de control debe controlarse estrictamente, canalizarse a través de un intermediario reforzado y nunca exponerse directamente a redes no confiables (NIST SP 800-82 Rev. 3). Un atacante que llega a una estación de trabajo de ingeniería a través de un puerto RDP abierto está a un solo paso de una interfaz hombre-máquina (HMI) o de un controlador lógico programable, donde las consecuencias son físicas y no solo una pérdida de datos.

Buenas prácticas para la seguridad del RDP

  • Eliminar la exposición RDP entrante: ningún host de un sistema de control debe aceptar RDP directamente desde Internet, ni siquiera desde la red corporativa sin intermediación. Elimine la ruta entrante por completo en lugar de confiar en una contraseña para defenderla.
  • Usar autenticación de nivel de red (NLA) con TLS: la NLA obliga a autenticarse antes de establecer una sesión, y el TLS protege el canal. Ambos deben negociarse de forma predeterminada.
  • Canalizar el RDP a través de una puerta de enlace consciente de la identidad: en lugar de abrir puertos, enrute el RDP a través de una puerta de enlace que autentique al usuario, aplique MFA, imponga el mínimo privilegio y registre la sesión de forma centralizada.
  • Añadir MFA por encima: incluso una conexión intermediada debe exigir un segundo factor, idealmente resistente al phishing, antes de conceder una sesión.
  • Parchear y supervisar: mantenga los servicios RDP actualizados y revise los registros de sesión en busca de anomalías.

Implementar MFA para las VPN

Las VPN son un método común para asegurar el acceso remoto a las redes corporativas. Sin MFA, se convierten en un objetivo. Con MFA son más sólidas, pero no constituyen una respuesta completa.

Pasos para integrar MFA con las VPN

  1. Evaluar la configuración actual de la VPN: comprenda su arquitectura VPN existente y su compatibilidad con soluciones de MFA.
  2. Elegir la solución de MFA adecuada: seleccione una solución de MFA que se integre con su puerta de enlace VPN. Prefiera factores resistentes al phishing antes que SMS o códigos de un solo uso cuando sea posible.
  3. Implementar y probar: despliegue la MFA por fases, empezando por un grupo piloto para resolver problemas antes del despliegue general.
  4. Formar a los usuarios: ofrezca formación para que los usuarios comprendan la importancia de la MFA y sepan utilizarla.

Los límites de la VPN con MFA

La VPN con MFA autentica al usuario en la puerta de entrada y, a menudo, concede un amplio alcance de red una vez dentro. Ese acceso plano es el problema: un terminal comprometido, un secuestro de sesión o un token robado pueden convertir una única sesión VPN autenticada en movimiento lateral por todo el entorno. La guía de NIST sobre la arquitectura Zero Trust plantea la solución de forma directa: autenticar cada solicitud, conceder el acceso por recurso en lugar de por red y asumir que la red ya es hostil (NIST SP 800-207, Zero Trust Architecture). En la práctica, eso significa pasar de una VPN que expone un segmento de red a un modelo en el que cada conexión se intermedia, se limita a un solo recurso y se verifica de forma continua. Para la OT, esa es la diferencia entre un proveedor que alcanza una sola HMI durante una única ventana de mantenimiento y ese mismo proveedor capaz de escanear toda la red de la planta.

MFA para los portales en la nube

Los portales en la nube se utilizan cada vez más para acceder a servicios y datos. La MFA ayuda a proteger estos puntos de acceso frente a intrusiones no autorizadas.

Implementar MFA en entornos en la nube

  • Aprovechar las funciones de MFA integradas: muchos proveedores en la nube ofrecen MFA integrada. Actívela en todas partes y desactive las rutas de autenticación heredadas que la eluden.
  • Integrar un proveedor de identidad: use un proveedor de identidad que admita MFA para aplicar una autenticación coherente y resistente al phishing en varios servicios en la nube.
  • Supervisar y revisar los registros de acceso: revise periódicamente los registros de acceso para detectar actividad sospechosa que pueda indicar una cuenta comprometida.

Su relación con el cumplimiento

Los controles anteriores no son solo buena higiene: son requisitos explícitos. NIST SP 800-171 sitúa la MFA en el centro de su familia de Identificación y Autenticación (IA), al exigir MFA para las cuentas con privilegios y para el acceso de red a los sistemas que manejan información no clasificada controlada. El CMMC hereda directamente estos controles IA: un entorno OT que intermedia el RDP, aplica MFA y limita el acceso por recurso también construye sus pruebas de cumplimiento. La guía de CISA sobre acceso remoto y MFA, junto con la dirección específica de OT de NIST SP 800-82, completan el cuadro: eliminar la exposición directa, intermediar a través de la identidad y verificar de forma continua.

Retos y soluciones en el despliegue de la MFA

La MFA es potente, pero su despliegue tiene fricciones. Conocer los problemas comunes facilita el despliegue.

Abordar los retos comunes del despliegue de la MFA

  • Resistencia de los usuarios: algunos encuentran la MFA engorrosa. Aborde esto eligiendo opciones cómodas y resistentes al phishing y ofreciendo formación clara.
  • Compatibilidad técnica: confirme que la solución de MFA elegida funciona con los sistemas existentes, incluidos los activos OT heredados que no pueden ejecutar agentes y deben protegerse en la capa de red.
  • Costes: la MFA tiene un coste, pero el coste de una brecha es mucho mayor. Considere la MFA una inversión en resiliencia.

Conclusión

Implemente la MFA en cada ruta de acceso remoto: VPN, RDP y portales en la nube. Para el RDP, la prioridad es eliminar por completo la exposición entrante e intermediar el acceso a través de una puerta de enlace consciente de la identidad con NLA y TLS, y luego añadir la MFA por encima. Para las VPN, elija un factor de MFA resistente al phishing, pruebe antes del despliegue general y reconozca que la VPN con MFA aún le deja un acceso de red plano mientras no evolucione hacia una intermediación por recurso. Para los portales en la nube, active la MFA integrada del proveedor o integre su proveedor de identidad. El beneficio de cumplimiento es inmediato: NIST SP 800-171 y CMMC exigen ambos la MFA para el acceso remoto a datos controlados. El beneficio de seguridad es mayor: una contraseña robada por sí sola ya no puede alcanzar su red, y en OT, eso puede marcar la diferencia entre un incidente contenido y uno físico.