🔥
Skype cierra Juegos gratis Samsung Móviles con radio FM Apagón España Samsung Galaxy S25 Edge iOS 18.5 Xiaomi Santa Monica PS5

Windows Remote Desktop contiene un grave fallo de seguridad que Microsoft se niega a solucionar

Microsoft ignora una "puerta trasera" en su popular protocolo de conexión remota que permite acceder a sistemas incluso con contraseñas cambiadas

Windows Remote Desktop contiene un grave fallo de seguridad que Microsoft se niega a solucionar
El Protocolo de Escritorio Remoto es la herramienta más utilizada para el acceso a distancia en entornos profesionales, pero su diseño prioriza compatibilidad sobre seguridad
Publicado en Windows
Por por Sergio Agudo

Ha saltado la alarma entre los expertos en seguridad. El Protocolo de Escritorio Remoto (RDP) de Windows tiene una vulnerabilidad crítica que permite el acceso con contraseñas antiguas, incluso después de cambiarlas. Y lo más sorprendente: Microsoft no piensa arreglarlo nunca. La empresa lo considera una "decisión de diseño" y argumenta que solucionarlo rompería la compatibilidad con aplicaciones antiguas, tal como revela TechSpot.

Windows

Aunque los investigadores han redescubierto esta falla en mayo de 2025, el problema viene de lejos. La vulnerabilidad existe desde la primera versión de RDP en Windows NT 4.0, allá por 1998, y afecta a todas las versiones modernas de Windows, desde XP hasta Windows 11 y Server 2022.

Un agujero de seguridad preocupante

El problema está en que RDP guarda las contraseñas validadas en zonas cifradas del disco, lo que permite que contraseñas ya caducadas sigan funcionando perfectamente. Imagina que cambias tu clave para bloquear a un atacante, pero este sigue entrando como si nada hubiera pasado. Ni siquiera el sistema lo detecta como sospechoso.

Daniel Wade, el analista que destapó el caso, lo explica de forma contundente: "Los usuarios creen que al cambiar su contraseña están cerrando la puerta a los intrusos, pero con RDP esa puerta nunca cierra". Y lo peor es que las herramientas de seguridad como Windows Defender no detectan estos accesos como anómalos.

Microsoft justifica este comportamiento asegurando que así "al menos una cuenta mantiene la capacidad de acceso sin importar cuánto tiempo lleve el sistema desconectado". Según ha trascendido, intentaron arreglarlo en 2023, pero tiraron la toalla al ver que el cambio afectaría a aplicaciones empresariales clave.

El riesgo es especialmente alto para usuarios domésticos y pequeñas empresas que usan RDP para trabajar a distancia sin protecciones adicionales. Los expertos calculan que millones de ordenadores están expuestos, justo cuando el teletrabajo se ha disparado en los últimos años.

No es la primera vez que vemos cómo las empresas sacrifican la seguridad en el altar de la compatibilidad. Otros gigantes como Google, con su flamante centro en Málaga, o la alianza entre Telefónica e IBM, se enfrentan a desafíos parecidos.

La recomendación de los especialistas es clara: desactiva RDP si tu información es sensible y busca alternativas con verificación en dos pasos. Como advirtió Andrés Soriano hablando sobre posibles ataques a organismos públicos, a veces la comodidad nos cuesta muy cara en términos de seguridad.

Para ti
Queremos saber tu opinión. ¡Comenta!