🔒 🖥️ Escritorio remoto en Windows: la puerta que dejas abierta sin saberlo

hace 3 meses

Table of Contents

¿Tu ordenador con Windows está expuesto? guía de protección contra acceso remoto a tu Windows

El acceso remoto Windows seguro mal configurado es uno de los mayores riesgos digitales: cada vez que alguien se conecta a tu ordenador remotamente, tiene una ventana abierta a tus archivos, contraseñas, cuentas bancarias y cámaras.

Como publicación de referencia en ciberseguridad, vemos a diario cómo el control remoto mal configurado se convierte en la puerta de entrada más sencilla para los atacantes y en la más ignorada por los usuarios, comprometiendo el endurecimiento del endpoint antes incluso de que el sistema operativo entre en juego.

La buena noticia es que esta protección se construye con pasos concretos: desactivar lo innecesario, bloquear el puerto 3389, forzar NLA, exigir MFA y registrar los eventos 4625, todos ellos aplicables con PowerShell sin necesidad de soluciones de pago.

💡 Resumen rápido

🔒 Acceso remoto Windows: cómo desactivarlo o protegerlo con PowerShell 2026

El acceso remoto Windows seguro permite controlar un ordenador desde otro dispositivo a través de internet o una red local. El puerto RDP 3389 expuesto recibe intentos de intrusión automatizados cada día. La vulnerabilidad BlueKeep (CVE-2019-0708, CVSS 9.8) permitía ejecución remota de código sin autenticación previa.

✅ Cómo deshabilitar RDP, bloquear el puerto 3389 y detectar software remoto instalado
✅ Las 8 medidas clave: VPN, MFA, NLA y restricción por IP
✅ Comparativa de seguridad: RDP, TeamViewer, AnyDesk, VNC y RustDesk
✅ Script PowerShell con 4 tareas programadas: inicio, logon, cada hora y al conectar a red nueva
✅ Señales de acceso remoto comprometido y cómo reaccionar

📅 2026 · 🕐 8 minutos de lectura

🔍 ¿Qué es el acceso remoto Windows seguro y por qué es importante? El acceso remoto Windows seguro es el conjunto de tecnologías, protocolos y medidas que permiten controlar un ordenador Windows desde otro dispositivo a través de internet o una red local, garantizando que solo personas autorizadas puedan conectarse. El puerto RDP 3389 expuesto recibe intentos de intrusión automatizados cada día: los grupos de ransomware mantienen escáneres permanentes buscando equipos vulnerables. La protección se construye en ocho pasos: desactivar RDP si no lo usas, contraseñas robustas únicas, 2FA, VPN obligatoria, firewall con restricción por IP, actualizaciones al día, detección de RAT no autorizados y monitorización de eventos 4625.

En el manual técnico de hardening de Windows: guía completa de endurecimiento del sistema en 2026 encontrarás todas las guías prácticas para proteger tu equipo paso a paso.

📌 ¿Qué es el control remoto de ordenadores?

🔍¿Qué es el control remoto de un ordenador? El control remoto de ordenadores es la capacidad de operar un equipo Windows desde otro dispositivo sin estar físicamente delante de él, usando protocolos como RDP (puerto 3389), VNC (5900), SSH (22) o herramientas comerciales como TeamViewer y AnyDesk (HTTPS 443). El equipo controlado se llama host y el cliente conecta a través de internet, LAN o VPN. La seguridad depende del protocolo, el cifrado y la autenticación aplicada: los protocolos más seguros son SSH y RDP detrás de VPN; los menos seguros son RDP expuesto directamente a internet y VNC sin tunelizar.

💡 Definición rápida

El control remoto de ordenadores es la capacidad de operar un equipo Windows desde otro dispositivo sin estar físicamente delante de él. El equipo controlado se llama host y el cliente conecta a través de internet, LAN o VPN. La seguridad depende del protocolo, el cifrado y la autenticación: estos cuatro factores definen si tu configuración constituye o no un acceso remoto Windows seguro.

Protocolo / Herramienta	Uso principal	Puerto por defecto	Cifrado
RDP (Microsoft)	Escritorio remoto Windows	3389 TCP	TLS
VNC	Multiplataforma, open source	5900 TCP	Opcional
TeamViewer	Soporte técnico y teletrabajo	443 / 5938	AES-256
AnyDesk	Soporte y trabajo remoto	443 / 7070	TLS 1.2
SSH	Administración de servidores	22 TCP	AES-256
Chrome Remote Desktop	Acceso personal ocasional	443 HTTPS	TLS

🏆 Ranking de protocolos por nivel de seguridad nativo

Protocolo	Seguridad nativa	Recomendado para	Combinar con
SSH	🟢 Excelente	Administración Linux/servidores	Claves públicas + MFA
RDP + VPN	🟢 Muy buena	Teletrabajo profesional Windows	NLA + 2FA + restricción IP
TeamViewer	🟡 Buena con MFA	Soporte técnico puntual	MFA + dispositivos confianza
AnyDesk	🟡 Buena con MFA	Soporte técnico puntual	MFA + lista blanca
Chrome Remote Desktop	🟡 Aceptable	Uso doméstico ocasional	Cuenta Google con 2FA
RDP expuesto sin VPN	🔴 Mala	Nunca recomendable	Solo si imposible alternativa
VNC sin tunelizar	🔴 Pésima	Nunca recomendable	Solo dentro de SSH/VPN

⚠️ Riesgos de no aplicar un acceso remoto Windows seguro

🔍 ¿Cuáles son los riesgos de tener RDP expuesto en Windows?

Los cinco riesgos principales del RDP mal configurado ordenados por frecuencia:

Fuerza bruta RDP (muy alta): bots rastrean el puerto 3389 y lanzan diccionarios de credenciales automáticamente
Ransomware vía RDP (muy alta): grupos como LockBit y BlackCat entran por RDP expuesto y cifran todos los archivos
Estafa de soporte técnico falso (alta): el atacante llama haciéndose pasar por Microsoft y convence a la víctima de instalar TeamViewer
Credential stuffing (alta): contraseñas reutilizadas de brechas anteriores abren acceso a todas las cuentas vinculadas
Man-in-the-Middle (media): interceptación de sesión en conexiones no cifradas

Según la CISA, el RDP expuesto es el punto de entrada en más del 50% de los ataques de ransomware documentados.

Un escritorio remoto mal configurado es uno de los vectores de ataque más utilizados en la actualidad. El NIST SP 800-46r2, Guía de acceso remoto seguro, establece los principios técnicos para construir un acceso remoto Windows seguro alineado con los estándares oficiales de la industria.

🚨 Dato crítico: Cada día se realizan millones de intentos automatizados de conexión al puerto 3389 desde redes de bots que rastrean internet buscando equipos sin protección y con credenciales débiles.

🔓 Acceso no autorizado: un atacante con tus credenciales tiene control total del equipo.
🦠 Instalación de malware: ransomware, keyloggers y troyanos.
📁 Robo de datos: archivos, contraseñas guardadas, documentos.
🎭 Estafas de soporte técnico falso por vishing en 2026: cómo funcionan y cómo evitarlas: el atacante llama haciéndose pasar por un técnico de Microsoft, convence a la víctima de instalar TeamViewer o AnyDesk y obtiene acceso total al equipo.
🔒 Secuestro del equipo: bloqueo total del acceso.
🕵️ Espionaje: cámara, micrófono y actividad en tiempo real.

Tipo de ataque	Vector de entrada	Impacto	Frecuencia
Fuerza bruta RDP	Puerto 3389 expuesto	Control total del equipo	🔴 Muy alta
Ransomware vía RDP	Credenciales comprometidas	Cifrado de archivos	🔴 Muy alta
Estafa soporte técnico	Ingeniería social	Robo de datos y dinero	🟠 Alta
Credential stuffing	Contraseñas reutilizadas	Acceso a cuentas vinculadas	🟠 Alta
Man-in-the-Middle	Conexión no cifrada	Interceptación de sesión	🟡 Media

💸 Coste real de un incidente por RDP comprometido

🔍 ¿Cuánto cuesta un incidente provocado por RDP expuesto? El coste depende del perfil afectado: para un usuario doméstico entre 800-5.000 € (recuperación de archivos, formateo, pérdida de productividad); para una pyme entre 15.000-150.000 € (rescate medio LockBit ~50.000 €, días de actividad parada, recuperación forense); para una empresa mediana puede superar 1 millón € si hay extorsión doble, sanciones AEPD y daño reputacional. La inversión en acceso remoto Windows seguro (10 minutos de PowerShell) es prácticamente cero comparada con cualquier coste de remediación.

Perfil afectado	Coste medio	Tiempo medio de recuperación	Probabilidad de pérdida de datos
Usuario doméstico	800 - 5.000 €	3 - 14 días	🟠 Alta
Autónomo / Freelance	3.000 - 25.000 €	5 - 21 días	🔴 Muy alta
Pyme (10-50 empleados)	15.000 - 150.000 €	10 - 60 días	🔴 Muy alta
Empresa mediana	150.000 - 1.000.000 €	30 - 120 días	🔴 Crítica
Infraestructura crítica	1.000.000 € +	60 - 365 días	🔴 Catastrófica

Otro riesgo poco comentado es la persistencia de los atacantes: una vez dentro, suelen instalar TeamViewer, AnyDesk o RustDesk en modo desatendido como backdoor secundaria. Esto se detalla en la guía técnica sobre backdoor: qué es, cómo detectarlo y cómo eliminarlo en 2026. Por eso, una postura defensiva seria incluye también la auditoría periódica de qué herramientas RAT están instaladas.

Más allá de mantener el acceso, los grupos profesionales no se quedan en la cuenta del usuario que entró: necesitan SYSTEM para desactivar Defender y desplegar el payload final. El análisis completo de escalación de privilegios en Windows: técnicas, detección y cómo prevenirla en 2026 detalla paso a paso cómo ocurre este proceso.

🦠 RAT modernos más usados como backdoor secundaria

🎯 TeamViewer Host en modo desatendido sin contraseña conocida por el usuario.
🎯 AnyDesk en modo silencioso con acceso aprobado por el atacante.
🎯 RustDesk autohospedado, ideal para atacantes porque evita registros corporativos.
🎯 ScreenConnect (ConnectWise) usado masivamente tras la vulnerabilidad CVE-2024-1709.
🎯 Supremo con configuración portable que no deja huella en el menú Inicio.
🎯 NetSupport Manager distribuido como falsa actualización de Adobe.
🎯 Atera RMM y SimpleHelp abusados para persistencia LotL.
🎯 UltraVNC / TightVNC con puerto camuflado en 5901-5910.

🛡️ Cómo configurar el acceso remoto Windows seguro

🔍 ¿Cómo configurar correctamente el acceso remoto en Windows en 2026?

Ocho medidas de acceso remoto Windows seguro ordenadas por prioridad:

Desactiva RDP si no lo usas — elimina toda la superficie de ataque
Contraseñas únicas de 16+ caracteres — primera barrera contra fuerza bruta
2FA en toda cuenta crítica — bloquea el acceso aunque la contraseña esté comprometida
RDP siempre detrás de VPN (WireGuard, OpenVPN, Tailscale) — oculta el equipo de internet
Firewall con restricción por IP — bloquea el 3389 en TCP y UDP
Windows y herramientas remotas actualizadas — cierra CVEs como BlueKeep y DejaBlue
Detecta procesos RAT no autorizados — TeamViewer, AnyDesk, VNC en modo silencioso
Monitoriza eventos 4625 fallidos — detección de fuerza bruta activa

El orden importa: cada capa cubre lo que la anterior deja expuesto.

🔌 1. Desactiva el escritorio remoto si no lo usas

La primera medida defensiva es la más simple: si no lo necesitas, desactívalo. Windows tiene RDP disponible pero desactivado por defecto en versiones domésticas.

# 1. Desactivar RDP
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" `
  -Name "fDenyTSConnections" -Value 1

# 2. Verificar registro
$val = (Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" `
  -Name "fDenyTSConnections").fDenyTSConnections
Write-Host "fDenyTSConnections = $val" -ForegroundColor $(if ($val -eq 1) {"Green"} else {"Red"})

# 3. Crear regla firewall (solo si no existe)
if (-not (Get-NetFirewallRule -DisplayName "Bloquear RDP" -ErrorAction SilentlyContinue)) {
    New-NetFirewallRule -DisplayName "Bloquear RDP" -Direction Inbound `
      -Protocol TCP -LocalPort 3389 -Action Block | Out-Null
    Write-Host "Regla firewall creada." -ForegroundColor Green
} else {
    Write-Host "La regla ya existia." -ForegroundColor Yellow
}

# 4. Confirmar estado del servicio RDP
$svc = Get-Service -Name "TermService"
Write-Host "Servicio TermService: $($svc.Status)" -ForegroundColor Cyan

RDP es solo uno de los servicios de red que Windows mantiene activos por defecto. Cerrar el puerto 3389 deja sin tocar otros servicios de compartición que también escuchan en LAN: SMBv1 (vector de WannaCry), LLMNR y NetBIOS (captura de hashes NTLM), Print Spooler (PrintNightmare) y Remote Registry. ⚠️ Si existe /seguridad-windows/servicios-de-comparticion-windows/, añade aquí el enlace con anchor: "guía técnica de servicios de compartición en Windows: cómo deshabilitar SMBv1, LLMNR, NetBIOS y Print Spooler".

🔑 2. Contraseñas robustas y únicas

Contraseña de al menos 16 caracteres, combinando mayúsculas, minúsculas, números y símbolos, única para cada servicio. Consulta la guía técnica para crear contraseñas seguras y difíciles de hackear en 2026. Una contraseña fuerte es la primera línea de defensa de cualquier conexión remota, pero por sí sola no es suficiente.

📱 3. Activa la autenticación de dos factores (2FA)

El doble factor es la medida más efectiva: aunque un atacante consiga tu contraseña, sin el segundo factor no puede conectarse. Sumar 2FA detiene los ataques de fuerza bruta y de credential stuffing aunque la contraseña haya sido comprometida en una filtración previa. Aprende a configurarlo en la guía maestra de autenticación de dos factores: qué es, tipos y cómo activarla paso a paso.

🌐 4. Usa siempre una VPN para conexiones remotas

✅ La VPN cifra todo el tráfico entre cliente y equipo remoto.
✅ Oculta el equipo remoto de los escaneos de internet.
✅ Añade una capa de autenticación previa.
✅ Permite restringir el acceso por IP o grupo de usuarios.

El escritorio remoto nunca debe publicarse directamente en internet. Si necesitas RDP, debe ir siempre dentro de una VPN —WireGuard, OpenVPN, Tailscale o la VPN de tu router— que actúe como antesala autenticada y cifrada.

🔥 5. Configura el firewall

# Permitir RDP solo desde IP de confianza
New-NetFirewallRule -DisplayName "RDP solo IP confianza" `
  -Direction Inbound -Protocol TCP -LocalPort 3389 `
  -RemoteAddress 192.168.1.100 -Action Allow

# Bloquear RDP desde el resto
New-NetFirewallRule -DisplayName "Bloquear RDP resto" `
  -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block

Un firewall bien configurado es el segundo pilar de esta protección: aunque el atacante conozca la contraseña, sin la IP de origen autorizada el firewall descarta la conexión en capa 3. Combinar restricción por IP con VPN y MFA forma la triple barrera que define una protección de nivel profesional. Para cerrar también los demás puertos que los atacantes escanean antes de intentar una intrusión: ⚠️ Si existe /ciberseguridad/como-bloquear-puertos-peligrosos-en-windows/, añade aquí el enlace con anchor: "guía para bloquear puertos peligrosos en Windows con el Firewall de Windows y PowerShell".

🔄 6. Mantén todo actualizado

BlueKeep (CVE-2019-0708) y DejaBlue explotaron vulnerabilidades conocidas en versiones desactualizadas de RDP. Sin parches al día no hay acceso remoto Windows seguro que valga: un solo CVE sin parchear puede saltarse contraseñas, MFA y firewalls. Activa las actualizaciones automáticas de Windows y mantén TeamViewer, AnyDesk y cualquier herramienta de acceso remoto al día.

🕵️ 7. Detecta software de acceso remoto no autorizado

$herramientas = @("TeamViewer", "AnyDesk", "vnc", "rdpclip", "ScreenConnect", "LogMeIn", "Supremo")
Get-Process | Where-Object { $herramientas -contains $_.Name } |
Select-Object Name, Id, CPU, StartTime

Detectar software RAT no autorizado es uno de los pasos más infravalorados. Muchos usuarios no recuerdan haber instalado TeamViewer o AnyDesk porque vinieron como dependencias de otro software, dejando una puerta trasera permanente. Una postura defensiva sólida obliga a inventariar mensualmente qué RAT comerciales no autorizados están en ejecución.

📋 8. Monitoriza los intentos de acceso

# Últimos 20 intentos de inicio de sesión fallidos (Event ID 4625)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 20 |
Select-Object TimeCreated, Message | Format-List

El evento 4625 es la señal más clara de que alguien está intentando entrar por fuerza bruta. Para llevar este punto a su forma completa, consulta la guía avanzada de monitorización de logins en Windows con eventos 4624 y 4625 para detectar credential stuffing. Esa guía añade tres tareas programadas que generan un CSV histórico permanente y reducen el tiempo medio de detección de intrusiones de 207 días a minutos.

📊 Configuración recomendada según escenario de uso

Escenario	RDP	VPN	2FA	RAT externos
PC doméstico sin uso remoto	🔴 Desactivado	—	—	🔴 Ninguno
Teletrabajador puntual	🟡 Solo bajo VPN	🟢 Obligatoria	🟢 Obligatorio	🟡 Solo si necesario
Autónomo con soporte técnico	🔴 Desactivado	🟡 Opcional	🟢 Obligatorio	🟢 Bajo demanda + MFA
Administrador IT pyme	🟢 Bajo VPN + IP fija	🟢 Obligatoria	🟢 Llave física	🟢 RMM con auditoría
Servidor expuesto a internet	🔴 Nunca directo	🟢 Obligatoria + bastion	🟢 Llave + cert	🔴 Ninguno

⚙️ Script completo: Cierre y bloqueo de conexiones remotas con 4 tareas programadas

🔍 ¿Qué hace el script RemoteAccess-Guard y qué tareas programadas crea?

El script RemoteAccess-Guard aplica en un solo archivo todas las capas del acceso remoto Windows seguro y crea cuatro tareas programadas que mantienen la protección activa:

RemoteAccess-Guard-Inicio: se ejecuta en cada arranque — reaplica el bloqueo de RDP y la regla de firewall
RemoteAccess-Guard-Logon: se ejecuta en cada inicio de sesión — detecta procesos RAT instalados en silencio
RemoteAccess-Guard-Horaria: se ejecuta cada hora — vigilancia continua contra reactivaciones de malware
RemoteAccess-Guard-Red: se ejecuta al cambiar de red — evita que el cambio de perfil de firewall reabra el puerto 3389

El script es idempotente (solo actúa si detecta desviación), genera log en C:\Logs\ y es completamente reversible.

⚠️ Antes de ejecutar: Este script modifica el registro de Windows, el firewall y crea cuatro tareas programadas persistentes. Es completamente reversible mediante el script de reversión. Crea un punto de restauración automáticamente en su primera ejecución. Genera log en C:\Logs\remote-access-guard.log y CSV histórico en C:\Logs\remote-access-guard-historico.csv.

📅 Tareas programadas que crea este script

Nombre de la tarea	Disparador	Frecuencia	Propósito
`RemoteAccess-Guard-Inicio`	Al iniciar Windows (`-AtStartup`)	Cada arranque del equipo	Reaplica el bloqueo de RDP, Asistencia Remota y la regla del firewall por si una actualización de Windows ha revertido alguna configuración
`RemoteAccess-Guard-Logon`	Al iniciar sesión (`-AtLogOn`)	Cada login (incluye reinicios)	Verifica el bloqueo cuando un usuario inicia sesión y detecta procesos de TeamViewer, AnyDesk o VNC lanzados por un instalador silencioso
`RemoteAccess-Guard-Horaria`	Cada hora (`-RepetitionInterval 1h`)	24 veces al día	Vigilancia continua: si malware reactiva RDP, elimina la regla del firewall o instala un RAT, el script lo detecta y lo revierte en menos de una hora
`RemoteAccess-Guard-Red`	Al conectar a una red (evento 10000)	Cada vez que cambia la conexión de red	Revisa el bloqueo al conectar a WiFi o LAN nueva; momento en el que Windows puede cambiar de perfil de firewall y reabrir puertos

✅ Por qué añadimos la tarea "al conectar a red nueva": Cuando Windows identifica una red nueva (evento 10000 del log Microsoft-Windows-NetworkProfile/Operational), puede cambiar automáticamente de perfil de firewall (privado a público o viceversa), y ese cambio puede reactivar reglas que expongan RDP. Esta tarea verifica que el puerto 3389 sigue bloqueado en todos los perfiles. Especialmente útil en portátiles que cambian de red con frecuencia.

💻 Cómo instalar y ejecutar el script — un solo comando

⚙️ Pega este comando en PowerShell como administrador:

👉 Pulsa Windows → escribe PowerShell → clic derecho → Ejecutar como administrador

Invoke-WebRequest -Uri "https://seguridadenmipc.com/wp-content/uploads/2026/06/RemoteAccess-Guard.txt" -OutFile "$HOME\rag.ps1" -UseBasicParsing; Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force; & "$HOME\rag.ps1"

↩️ Script de reversión (elimina las 4 tareas y restaura la configuración)

# ============================================================
# Revertir RemoteAccess-Guard
# ============================================================

# 1. ELIMINAR PRIMERO las 4 tareas programadas
$tareas = @(
    "RemoteAccess-Guard-Inicio",
    "RemoteAccess-Guard-Logon",
    "RemoteAccess-Guard-Horaria",
    "RemoteAccess-Guard-Red"
)
foreach ($t in $tareas) {
    if (Get-ScheduledTask -TaskName $t -ErrorAction SilentlyContinue) {
        Unregister-ScheduledTask -TaskName $t -Confirm:$false
        Write-Host "[OK] Tarea $t eliminada." -ForegroundColor Green
    }
}

# 2. Reactivar RDP
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" `
    -Name "fDenyTSConnections" -Value 0 -Force

# 3. Reactivar Asistencia Remota
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Remote Assistance" `
    -Name "fAllowToGetHelp" -Value 1 -Force

# 4. Eliminar reglas de firewall
Remove-NetFirewallRule -DisplayName "BLOQUEO RDP 3389 TCP" -ErrorAction SilentlyContinue
Remove-NetFirewallRule -DisplayName "BLOQUEO RDP 3389 UDP" -ErrorAction SilentlyContinue

Write-Host ""
Write-Host "[OK] RemoteAccess-Guard revertido y RDP reactivado." -ForegroundColor Green
Write-Host "    Reinicia el equipo para aplicar los cambios." -ForegroundColor Yellow

⚠️ Riesgos y efectos reales del script

Función del sistema	¿Se ve afectada?	Detalle técnico
Inicio de sesión local	🟢 No	No modifica LSASS, SAM ni políticas de cuenta
Inicio de Windows	🟢 No	Las tareas se ejecutan en background tras el arranque
Reinicio / apagado	🟢 No	No modifica el subsistema de apagado ni BCD
UEFI / arranque seguro	🟢 No	No afecta BCD, Secure Boot ni particiones EFI
Banca, Gmail y plataformas web	🟢 No	Solo bloquea entrada 3389, la navegación sale por 80/443
Cambio de red (WiFi / LAN)	🟢 Sí (positivo)	La tarea Red verifica el bloqueo al cambiar de red
Conexiones RDP entrantes	🔴 Sí (a propósito)	Puerto 3389 TCP y UDP bloqueado en todos los perfiles
Asistencia Remota	🔴 Sí (a propósito)	Se desactiva `fAllowToGetHelp`
TeamViewer / AnyDesk / VNC	🟡 Solo detecta, no detiene	El script registra qué RAT están activos; no los mata ni desinstala
Carga de CPU (4 tareas)	🟡 Mínima	Cada ejecución consume pocos segundos; total < 2 min/día

🚨 Casos en los que NO debes ejecutar el script sin consultar antes:

Si tu equipo es gestionado por el departamento de IT de una empresa.
Si utilizas RDP habitualmente para teletrabajo o soporte técnico.
Si tienes un NAS, servidor o backup que accede al PC por el puerto 3389.
Si usas TeamViewer o AnyDesk legítimamente: el script los detecta pero no los detiene; aparecerán en el CSV como procesos remotos activos.
Si tu antivirus o EDR corporativo ya aplica hardening similar.

En estos casos, comenta las líneas correspondientes del script o ejecuta el script de reversión si surge algún problema.

🔎 ¿Cómo verificar que el bloqueo está activo?

🔍 ¿Cómo comprobar que RDP está bloqueado correctamente en Windows?

Cuatro comprobaciones en PowerShell dan certeza inmediata de que el acceso remoto Windows seguro está activo:

Get-ItemProperty "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name fDenyTSConnections debe devolver 1
Get-NetFirewallRule -DisplayName "BLOQUEO RDP 3389*" debe mostrar TCP y UDP con Enabled=True, Action=Block
Get-ScheduledTask -TaskName "RemoteAccess-Guard-*" debe listar las 4 tareas en estado Ready
Import-Csv C:\Logs\remote-access-guard-historico.csv | Select -Last 24 no debe registrar incrementos anómalos en cambios aplicados

💡 Comandos de verificación

# Las 4 tareas programadas
Get-ScheduledTask -TaskName "RemoteAccess-Guard-*" | `
  Select TaskName, State, LastRunTime, LastTaskResult

# RDP debe estar deshabilitado (fDenyTSConnections = 1)
Get-ItemProperty "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name fDenyTSConnections

# Asistencia Remota deshabilitada (fAllowToGetHelp = 0)
Get-ItemProperty "HKLM:\System\CurrentControlSet\Control\Remote Assistance" -Name fAllowToGetHelp

# Reglas de firewall TCP y UDP deben existir, Enabled y Action=Block
Get-NetFirewallRule -DisplayName "BLOQUEO RDP 3389*" | Select DisplayName, Enabled, Action, Profile

# Ver CSV historico
Import-Csv C:\Logs\remote-access-guard-historico.csv | Select -Last 24

⚡ Checklist de auditoría rápida de acceso remoto Windows seguro (5 minutos)

Sin instalar nada, audita en 5 minutos el estado real de tu acceso remoto Windows seguro:

☑ RDP desactivado: registro fDenyTSConnections = 1
☑ Puerto 3389 cerrado: Test-NetConnection localhost -Port 3389 debe fallar
☑ Reglas de firewall activas: TCP y UDP, habilitadas, Action=Block
☑ Asistencia Remota desactivada: fAllowToGetHelp = 0
☑ NLA forzado: UserAuthentication = 1
☑ Sin procesos RAT activos: no aparece TeamViewer, AnyDesk, VNC, RustDesk, etc.
☑ Las 4 tareas programadas presentes y en Ready con LastTaskResult = 0
☑ Eventos 4625 estables: menos de 20 intentos fallidos en últimas 24 h
☑ Windows actualizado a la última build estable
☑ Sin redirecciones de puerto 3389 en el router

✔ 10/10 = endpoint protegido a nivel corporativo · ✘ menos de 7 = exposición activa

Señales de que tu acceso remoto en Windows ha sido comprometido

🧠 Señales de que tu acceso remoto ha sido comprometido

🔍 ¿Cómo saber si alguien ha comprometido el acceso remoto de mi PC?

Diez señales de compromiso del acceso remoto Windows ordenadas por urgencia:

El cursor se mueve solo o aparecen ventanas que no has abierto — urgencia máxima
Han cambiado tu contraseña o configuración sin que lo hayas hecho tú — urgencia máxima
El antivirus o Windows Update dejaron de funcionar repentinamente — urgencia máxima
Eventos 4624 (login exitoso) en horario en el que no usas el equipo
Reglas nuevas en el firewall que no recuerdas haber creado
Servicios nuevos en ejecución relacionados con software RMM
Aparecen o desaparecen archivos sin tu intervención
La luz de la cámara se enciende sola
El equipo está lento con alta CPU o uso de red sin razón aparente
Tus contactos reciben mensajes que tú no has enviado

🖱️ El cursor se mueve solo o aparecen ventanas que no has abierto.
⚡ El equipo está lento con alta CPU o uso de red sin razón aparente.
🔒 Han cambiado tu contraseña o configuración sin que lo hayas hecho tú.
📁 Aparecen o desaparecen archivos sin tu intervención.
🌐 El antivirus o Windows Update dejaron de funcionar repentinamente.
💡 La luz de la cámara se enciende sola.
📧 Tus contactos reciben mensajes que tú no has enviado.
🌍 Eventos 4624 (login exitoso) en horario en el que no usas el equipo.
🚪 Reglas nuevas en el firewall que no recuerdas haber creado.
🔧 Servicios nuevos en ejecución relacionados con software RMM.

⏱️ Checklist de respuesta post-compromiso (orden estricto)

Si confirmas que tu equipo ha sido controlado remotamente, actúa en este orden:

0-2 min: Desconecta el cable Ethernet y desactiva WiFi del equipo afectado.
2-5 min: NO apagues el equipo si sospechas movimiento lateral activo: la RAM puede contener IOCs.
5-10 min: Desde OTRO dispositivo limpio, cambia contraseña del correo principal y activa 2FA.
10-20 min: Revoca sesiones activas en banco, Outlook, Gmail, M365, redes sociales, gestor.
20-40 min: Revisa reglas de reenvío de correo (vector clásico de persistencia post-RDP).
40-60 min: Avisa al banco de posible fraude; revisa los movimientos de los últimos 30 días.
1-2 h: Documenta los eventos 4624/4625 y exporta el log de Security a un USB nuevo.
2-4 h: Análisis con Malwarebytes + Defender Offline; identifica RAT instalados.
4-8 h: Denuncia INCIBE (017) y, si hay delito económico, GDT (062).
Después: Reinstalación limpia desde USB creada en otro equipo si el incidente fue grave.

🆚 Sin protección vs acceso remoto Windows seguro

Característica	Sin protección	Con RemoteAccess-Guard
Puerto RDP expuesto	🔴 Sí, visible en internet	🟢 No, bloqueado TCP y UDP en todos los perfiles
Contraseñas	🔴 Débiles o reutilizadas	🟢 Únicas, 16+ caracteres
Doble factor (2FA)	🔴 No activo	🟢 Obligatorio
Persistencia del bloqueo	🔴 Un malware puede revertir la configuración	🟢 Cuatro tareas programadas lo restauran
Cambio de red	🔴 Cambio de perfil puede reabrir 3389	🟢 Verificación automática al cambiar
Monitorización de RAT	🔴 Sin alertas	🟢 Detección de TeamViewer/AnyDesk/VNC
Riesgo de ransomware	🔴 Muy alto	🟢 Muy bajo

❓ Preguntas frecuentes

¿Cómo sé si alguien está controlando mi ordenador ahora mismo?

👉 Los indicios más claros son: movimiento del cursor sin que lo muevas, ventanas que se abren solas, equipo muy lento con alta actividad de red y cambios en configuraciones. Verifica conexiones activas con netstat -an | findstr ESTABLISHED. Si ves conexiones en el puerto 3389, 5900 o a IPs desconocidas, tu equipo puede estar siendo controlado. Cuando el script de acceso remoto Windows seguro está activo, registra automáticamente los procesos RAT y los intentos fallidos en el CSV histórico.

¿Es seguro usar TeamViewer o AnyDesk?

👉 Sí, siempre que se usen correctamente. Ambas cifran sus conexiones con AES-256 y TLS. El riesgo aparece con contraseñas débiles, acceso concedido a desconocidos por teléfono, o software desactualizado. Activa 2FA y revisa el historial de conexiones. El script RemoteAccess-Guard los detecta y registra en el CSV, pero no los detiene automáticamente.

¿Las cuatro tareas programadas ralentizan el equipo?

👉 No de forma perceptible. Cada ejecución dura menos de 5 segundos, se realiza en background como SYSTEM en modo oculto. El script es idempotente: comprueba cada configuración antes de modificarla y solo actúa si detecta desviación. La carga combinada suma menos de 2 minutos de CPU al día.

¿Por qué hay una tarea específica para "al conectar a red nueva"?

👉 Porque cuando Windows identifica una red nueva puede cambiar automáticamente de perfil de firewall, y ese cambio puede reactivar reglas que reabran RDP. La tarea RemoteAccess-Guard-Red se dispara con el evento 10000, verifica el bloqueo y lo reaplica si detecta desviación. Especialmente útil en portátiles que cambian de red con frecuencia.

¿Cómo desactivo las tareas si quiero volver a usar RDP?

👉 Ejecuta el script de reversión incluido en esta guía: elimina las cuatro tareas y reactiva RDP en un solo paso. Si solo quieres una excepción puntual, la vía recomendada es dejar el script activo y abrir RDP bajo una VPN con restricción de IP, NLA y 2FA.

¿En qué se diferencia esto del hardening del sistema operativo?

👉 El hardening del SO actúa sobre LSASS, SMB, UAC y servicios; este artículo se centra en el acceso remoto: RDP, Asistencia Remota, NLA y herramientas RAT. Son complementarios. Para aplicar el hardening completo del sistema, consulta la guía de hardening de cuentas Windows: protege administrador local, UAC y políticas de contraseñas.

¿Puedo aplicarlo en un equipo doméstico sin Active Directory?

👉 Sí. Toda esta guía está pensada para equipos sin GPO ni Intune: usa el registro local, el Firewall de Windows y el Programador de tareas, disponibles en Windows 10 y 11 Home. Es el enfoque ideal para autónomos, freelances y particulares.

¿Qué diferencia hay entre RDP, una VPN y un proxy?

👉 RDP proporciona control gráfico completo de un escritorio Windows remoto. VPN crea un túnel cifrado que oculta tráfico y direcciones IP, sin controlar escritorios. Proxy reenvía peticiones HTTP/HTTPS a través de un intermediario, sin cifrar todo el tráfico. La configuración óptima combina los tres: VPN para acceder a la red, RDP dentro de esa VPN para controlar el equipo, y proxy corporativo para auditar el tráfico de salida.

¿Con qué frecuencia debo revisar mi configuración?

👉 Como mínimo cada trimestre, y siempre tras una actualización mayor de Windows. La revisión consiste en abrir el CSV histórico, comprobar que las cuatro tareas están en Ready y verificar que CambiosAplic no sube de forma anómala.

🏁 Conclusión: Acceso remoto Windows seguro en 2026

El acceso remoto Windows seguro no es una opción reservada para grandes empresas: es una necesidad para cualquier usuario. El puerto 3389 expuesto, una contraseña débil o un TeamViewer sin 2FA son suficientes para que un atacante tome el control total de tu equipo en minutos.

Las medidas de esta guía no requieren conocimientos avanzados. Desactivar RDP si no lo usas, bloquear el puerto 3389, usar una VPN y activar el 2FA son acciones que cualquier usuario puede aplicar con un solo comando en PowerShell. Combinadas y protegidas con las cuatro tareas programadas, eliminan la inmensa mayoría de los vectores de ataque que los ciberdelincuentes explotan a diario.

🔒 Checklist final de acceso remoto Windows seguro

✅ RDP desactivado o restringido a IPs de confianza
✅ Puerto 3389 bloqueado en firewall TCP y UDP (todos los perfiles)
✅ VPN activa antes de cualquier conexión remota
✅ Contraseñas de 16+ caracteres únicas por equipo
✅ 2FA activado en todas las herramientas remotas
✅ Refuerzo de cuentas locales con guía de hardening de cuentas Windows: administrador local, UAC y políticas de contraseñas
✅ Windows y software de acceso remoto actualizados
✅ RemoteAccess-Guard instalado con sus 4 tareas programadas
✅ Revisión mensual del CSV histórico

Autor

Entusiasta de la seguridad informática con años de experiencia en protección de sistemas Windows y defensa contra amenazas digitales. Apasionado por la tecnología y la privacidad, comparto en este blog consejos prácticos, análisis detallados y guías paso a paso para que cualquier usuario pueda fortalecer la seguridad de su PC y su vida digital

Deja una respuesta Cancelar la respuesta

👤 ¿Quiénes somos?	⚖️ Aviso Legal	📋 Términos y Condiciones	🔒 Política de Privacidad	🍪 Política de Cookies
Conoce al equipo y la misión de seguridadenmipc.com seguridadenmipc.com/quienes-somos/	Datos del titular, propiedad intelectual y responsabilidad seguridadenmipc.com/aviso-legal/	Reglas de uso, scripts PowerShell y política de AdSense seguridadenmipc.com/terminos-y-condiciones/	Tratamiento de datos, derechos RGPD y Google AdSense seguridadenmipc.com/politica-de-privacidad/	Cookies propias y de terceros, Google Analytics y AdSense seguridadenmipc.com/politica-de-coockies/