Mejora la Ciberseguridad en tu Empresa: Elimina la Decisión del Usuario con AnyDesk

Filosofía de Seguridad: Eliminar la Decisión del Usuario

En el mundo digital actual, la ciberseguridad es un tema de vital importancia, especialmente para las empresas en México. La estrategia más efectiva para garantizar la seguridad de una organización es desplazar la responsabilidad de la seguridad del usuario. Los errores humanos son, tristemente, el principal vector de ataque en ciberseguridad, y las técnicas de ingeniería social aprovechan la buena voluntad, la necesidad de actuar rápido o el miedo de los empleados.

¿Por qué es crucial este enfoque?

1. Expertos en su campo, no en tecnología: Es irreal esperar que un empleado de áreas como finanzas o recursos humanos sepa diferenciar entre una conexión legítima y una inauténtica, especialmente en momentos de estrés.
2. Fatiga de decisión: Frente a un alarmante aviso o a una llamada de un supuesto “soporte técnico”, el empleado puede ceder ante la urgencia.
3. Configuración Técnica vs. Error Humano: Si dependemos de que un usuario diga “No”, el riesgo persiste. Configurando el software para que no pueda aceptar conexiones en ciertos casos, eliminamos este peligro.

Al aplicar las medidas descritas en esta guía, transformamos nuestra aproximación a la seguridad de ser reactiva (esperar que el usuario detecte problemas) a preventiva (el sistema bloquea potenciales fraudes automáticamente).

Protección contra Ingeniería Social y Accesos No Autorizados

En este artículo, te explicaremos cómo configurar AnyDesk en un entorno corporativo, utilizando la licencia Standard (junto con el addon de Namespace), con el objetivo de prevenir que atacantes engañen a los empleados para obtener acceso remoto no autorizado.

1. Profundización en ACL (Listas de Control de Acceso)

Las ACL son la primera línea de defensa en la seguridad cibernética. Funcionan bajo un principio básico: “Denegar todo por defecto”. Esto significa que si la lista de acceso está vacía, AnyDesk permitirá cualquier conexión, pero una vez que se agregue la primera entrada, bloqueará inmediatamente cualquier conexión que no coincida.

Sintaxis y Estrategia de Configuración

Para simplificar el mantenimiento, recomendamos el uso de Wildcards (Comodines) si cuentas con un Namespace, o IDs específicos si no es así.

A. Filtrado por ID Numérico (Básico)

Ideal para técnicos que utilizan AnyDesk en su versión genérica o si no cuentas con un Namespace.

• Formato: 123456789 (Un ID por línea).
• Ventaja: Proporciona un control detallado.
• Desventaja: Tendrás que actualizar a todos los empleados si hay cambios en el personal técnico.

B. Filtrado por Namespace y Wildcards (Avanzado)

Si tu empresa tiene el addon de Namespace (ej. @miempresa).

• Formato: *@miempresa
• Funcionamiento: El asterisco permite conectar a cualquier técnico cuyo usuario termine en @miempresa, mientras que bloquea automáticamente a:
  • Usuarios con @ad (versión gratuita/pública).
  • Usuarios de otras empresas.
  • Atacantes usando cuentas robadas.

Ubicación en la Configuración

Para realizar pruebas antes de implementar:

1. Ve a Configuración > Seguridad.
2. Desbloquea el candado de seguridad (requiere permisos de administrador).
3. Accede a la sección Lista de Control de Acceso.
4. Activa Restringir acceso a las siguientes ID y alias.
5. Ingresar los patrones (ej. *@miempresa o los IDs).

2. Configuración del Cliente Personalizado (Custom Client)

Es esencial que los empleados no instalen la versión pública de AnyDesk; en su lugar, crea un ejecutable MSI/EXE desde my.anydesk.com con las reglas de seguridad ya integradas.

Pasos Críticos en el Generador (my.AnyDesk):

Al crear un nuevo cliente en la pestaña Clients, configura lo siguiente:

A. Sección “Options” (Opciones)

• Disable Settings (Desactivar configuración): RADICAL. Esta opción puede ser innecesaria si tu empresa gestiona adecuadamente los privilegios de sus usuarios, pero es esencial si quieres resumir el riesgo ante un potencial mal uso. Eliminar el acceso a la configuración previene que un atacante engañe al usuario para desactivar la seguridad.
• Request Elevation at Startup: Se recomienda habilitar. Esta opción solicitará elevación de privilegios al iniciar, garantizando que Windows no bloquee al técnico al realizar tareas administrativas. Importante: Aplica solo para versiones portables que no requieren instalación, ya que la instalación original de AnyDesk demanda privilegios de administrador.

B. Sección “Security” (Seguridad)

• Access Control List (ACL): Aquí es donde añadimos la lista blanca en el instalador.
  • Introduce los IDs de los técnicos o el comodín *@miempresa.
  • Al instalar este cliente en la PC del empleado, la lista estará activa.
• Interactive Access: Mantén la opción “Always Show Incoming Session Requests” (Siempre mostrar solicitudes). Se debe evitar el acceso sin supervisión, a menos que hablemos de un servidor.

C. Sección “Program Name & Icon” (Identidad Visual)

• Personaliza el logotipo de tu empresa.
• Cambia el nombre de “AnyDesk” a “Soporte Remoto [TuEmpresa]”.
• Efecto Psicológico: Esto educa a los usuarios sobre la importancia de la autenticidad; “Si no veo el logo de nuestra empresa, es un virus/estafa”.

2.1. Gestión Avanzada: Clientes Dinámicos (Dynamic Configuration)

Los clientes personalizados tradicionales (estáticos) tienen una limitación: la configuración queda “grabada” en el archivo al momento de su creación. Si alguna vez necesitas ajustar la lista de acceso, será necesario generar un nuevo instalador, lo que resulta costoso y engorroso.

Para solventar esto, AnyDesk (versión 8.0.3 o superior) ofrece la Configuración de Cliente Dinámica.

¿Qué son y cómo funcionan?

A diferencia del cliente estático, el cliente dinámico consulta periódicamente los servidores de AnyDesk para descargar su configuración actualizada.

Ventajas Críticas (Cero Re-despliegue)

1. Actualización de ACL en Tiempo Real:

   • Escenario: Un técnico con acceso crítico se va o se detecta un problema de seguridad.
   • Solución: Entras a la consola web, quitas esa ID de la ACL y guardas.
   • Resultado: Todos los dispositivos se actualizan automáticamente; no necesitas intervenir ningún equipo.

2. Flexibilidad en Políticas:

   • Puedes fortalecer la seguridad de inmediato, como desactivar el portapapeles, sin reinstalar el software.

3. Facilidad de Gestión:

   • Mantienes una “fuente única de verdad” en la nube. Sabes que todos los clientes tienen la misma configuración de seguridad.

Cómo Implementar Clientes Dinámicos

1. Dirígete a my.anydesk.com y accede a la sección Files o Clients.
2. Activa la opción “Private key”; de lo contrario, no podrás modificar el tipo de cliente.
3. Configura un nuevo cliente.
4. Asegúrate de seleccionar la opción de Dynamic Configuration.
5. Al instalar este cliente, se vinculará a ese perfil en la nube. Los cambios futuros se replicarán a los dispositivos instalados.
6. Importante: Un cliente estático no se puede convertir en dinámico. Si ya has desplegado uno estático, se deberá reinstalar con el cliente dinámico generado.

3. El Addon “Namespace” (Espacio de Nombres)

En AnyDesk, todos los usuarios públicos tienen el alias nombre@ad. Con el Namespace, podrás tener tu propio sufijo, por ejemplo, nombre@miempresa.

¿Por qué es la herramienta definitiva contra la suplantación?

1. Verificación de Identidad (Anti-Spoofing)

Nadie más en el mundo puede crear un alias que termine en @tuempresa, excepto tú. AnyDesk valida la propiedad de tu dominio.

• Escenario de ataque: Un atacante llama simulando ser parte del “Soporte TI”. Su ID será hacker@ad o un número.
• Defensa: Si tu ACL está configurada como *@tuempresa, la petición del atacante se bloqueará automáticamente.

2. Gestión Escalable

Sin Namespace, cada vez que ingresa un nuevo técnico, will debes actualizar la ACL de los 500 empleados para añadir su ID.
Con Namespace:

1. Crea el alias del nuevo técnico en tu consola (nuevo.tecnico@tuempresa).
2. Con la ACL de los empleados establecida como *@tuempresa, el nuevo técnico tendrá acceso inmediato sin necesidad de ajustes adicionales.

3. Auditoría Forense

En los registros de conexión (my.anydesk.com > Sessions), podrás verificar fácilmente que juan@miempresa se conectó a recepcion@miempresa, lo que resulta mucho más sencillo que revisar informes de ID.

Costo e Implementación

El Namespace es un “Add-on” (costo adicional) sobre las licencias Standard o Advanced, y en algunos casos está incluido en licencias Enterprise. Se paga una sola vez por nombre.

Resumen de la Arquitectura Propuesta

Para establecer una seguridad robusta:

1. Adquirir Namespace: Comprar @miempresa.
2. Asignar Alias: Dar a cada técnico su alias corporativo (tecnico1@miempresa).
3. Crear Cliente Personalizado Dinámico:
   • Logo corporativo.
   • Configuración desactivada para el usuario.
   • Vínculo a perfil dinámico en la nube.
   • ACL Centralizada: *@miempresa.
4. Despliegue: Instalar este MSI a través de GPO (Políticas de Grupo) o MDM (Intune/ManageEngine) en todos los equipos.
5. Resultado: Solo los técnicos con alias @miempresa podrán iniciar una conexión. El resto de internet estará bloqueado y podrás revocar accesos desde la consola web al instante.

Notas adicionales sobre la implementación

1. Despliegue vía GPO (Políticas de Grupo):
   Una vez descargado el archivo .msi de tu cliente personalizado, puedes ejecutar una instalación silenciosa en tu Directorio Activo o herramienta de gestión:
   AnyDesk_Custom_Client.msi /qn

   Al ser un cliente personalizado con la configuración ya definida, no necesitas scripts adicionales para la contraseña o la ACL; ya está integrado en el MSI.

2. Si no compras el Namespace:
   Puedes seguir utilizando la estrategia, pero la ACL de tu cliente personalizado será una lista estática de IDs:
   111222333, 444555666, 777888999
   El riesgo operativo se amplía; si un técnico se lleva su laptop al terminar, tendrás que actualizar urgentemente los clientes de los empleados para revocar su acceso (salvo que uses Clientes Dinámicos).

3. Seguridad Física del Técnico:
   Recuerda que con esta configuración, la seguridad empieza por la protección de las laptops de tus técnicos. Asegúrate de que tengan:

   • Autenticación de Doble Factor (2FA) activada en su acceso a AnyDesk.
   • Contraseña robusta para su propia sesión de Windows.

Te invitamos a probar AnyDesk de forma gratuita para que puedas experimentar todos estos beneficios en tu empresa. No dudes en contactarnos para conocer más sobre cómo adquirir AnyDesk en México y mejorar la seguridad de tus operaciones.