Microsoft ha implementado nuevas medidas en las actualizaciones acumulativas de abril de 2026 para Windows 10 y Windows 11, dirigidas a una importante vulnerabilidad relacionada con las conexiones de escritorio remoto. La actualización tiene como objetivo dificultar el uso malintencionado de los archivos RDP (Remote Desktop Protocol), ampliamente utilizados especialmente en entornos corporativos. Esta nueva estructura, que en un primer momento informa al usuario y luego ofrece un control detallado antes de cada conexión, se centra en impedir que los atacantes accedan de forma encubierta a los sistemas.
Los archivos RDP, de uso frecuente en las infraestructuras de TI corporativas, permiten a los administradores conectarse a sistemas remotos de forma rápida y preconfigurada. Sin embargo, esta misma estructura también puede ser explotada por personas malintencionadas. Un archivo RDP abierto por el usuario sin que este se dé cuenta puede provocar que el dispositivo se conecte a un servidor controlado por el atacante. En un escenario de este tipo, se puede transferir a la parte contraria contenido sensible, como discos locales, datos del portapapeles e información de autenticación.
Este riesgo no es solo una posibilidad teórica. El grupo de ciberataques APT29, al que se le atribuye una conexión con Rusia, se ha hecho con datos de usuarios utilizando archivos RDP maliciosos en campañas de phishing organizadas en el pasado. La razón principal por la que este método resulta eficaz es que el ataque parece una operación normal de apertura de archivos y no despierta sospechas en el usuario.
Windows muestra una advertencia de «Conexión remota desconocida» cuando se abre un archivo RDP sin firmar, indicando que no se ha podido verificar el emisor. Por otra parte, incluso el archivo esté firmado digitalmente, el sistema sigue solicitando al usuario que compruebe el emisor antes de establecer la conexión. Microsoft adopta un enfoque más cauteloso al no aceptar la firma digital como único indicador de confianza.
Enfoque de seguridad multicapa para los archivos RDP de Windows
Con la nueva actualización, los mecanismos de seguridad funcionan en varias etapas. Tras la actualización, cuando se abre un archivo RDP por primera vez, Windows muestra al usuario una pantalla informativa que explica cómo funcionan estos archivos y qué riesgos entrañan. Esta pantalla solo se muestra una vez y, tras la confirmación del usuario, se pasa al proceso de uso normal.
A continuación, cada vez que se intente abrir un archivo RDP, se activa una ventana de seguridad detallada. En esta ventana se enumeran claramente si el archivo está firmado por un emisor de confianza, la dirección del sistema remoto al que se va a conectar y los recursos locales a los que se solicita acceso. Elementos como los discos locales, el acceso al portapapeles y los dispositivos conectados permanecen desactivados de forma predeterminada. Para que el usuario pueda compartir estos recursos, debe dar su permiso de forma explícita.
No obstante, estas protecciones solo se aplican cuando se abre directamente un archivo RDP. En las conexiones establecidas a través del propio cliente de Escritorio Remoto de Windows, se mantiene la experiencia actual y no se activan avisos adicionales. Los administradores del sistema pueden desactivar temporalmente estos avisos a través del Registro si lo desean. Sin embargo, teniendo en cuenta los ejemplos de ataques ocurridos en el pasado, mantener estas protecciones activas garantiza un uso más seguro.