Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for Mejores prácticas de seguridad para el acceso remoto: Guía completa
Cybersecurity 101/Seguridad de la identidad/Mejores prácticas de seguridad para el acceso remoto

Mejores prácticas de seguridad para el acceso remoto: Guía completa

Guía práctica de seguridad para el acceso remoto que abarca el fortalecimiento de VPN, SSH y RDP; implementación de zero trust; y monitoreo de sesiones para detener ataques basados en credenciales.

CS-101_Identity.svg
Tabla de contenidos
¿Qué es la seguridad de acceso remoto?
Por qué importa la seguridad de acceso remoto
Riesgos comunes de seguridad de acceso remoto
Mejores prácticas de seguridad de acceso remoto
Refuerzo de VPN
Refuerzo de SSH
Refuerzo de RDP
Implementación de Zero Trust
Controles de acceso de terceros y proveedores
Aplicar MFA resistente a phishing
Verificar la postura del dispositivo antes de conceder acceso
Monitorear sesiones de forma continua
Aplicar gestión de acceso privilegiado para cuentas de administración remota
Cómo SentinelOne mejora la seguridad de acceso remoto
Puntos clave

Entradas relacionadas

  • ¿Qué es NTLM? Riesgos de seguridad de NTLM en Windows y guía de migración
  • Contraseña vs Passkey: Diferencias clave y comparación de seguridad
  • ¿Cómo solucionar el error de manipulación de tokens de autenticación?
  • ¿Qué es la autenticación sin contraseña? Fundamentos explicados
Autor: SentinelOne | Revisor: Arijeet Ghatak
Actualizado: March 16, 2026

¿Qué es la seguridad de acceso remoto?

En mayo de 2021, el ataque de ransomware a Colonial Pipeline se rastreó hasta una sola cuenta VPN comprometida que carecía de autenticación multifactor. Esa única brecha detuvo las operaciones del oleoducto durante varios días y llevó al pago de un rescate reportado de $4.4 millones. Posteriormente, el Departamento de Justicia de EE. UU. incautó aproximadamente 63.7 Bitcoin, valorados en unos $2.3 millones en ese momento, vinculados a ese rescate.

La seguridad de acceso remoto es el marco de protección en capas que se construye alrededor de cada conexión entre usuarios externos, dispositivos y los recursos internos de la empresa. Cubre las políticas, tecnologías y controles que rigen cómo empleados, contratistas y terceros se conectan a los sistemas corporativos desde fuera del perímetro de la red. Esto incluye cada túnel VPN, sesión SSH, conexión RDP e inicio de sesión en aplicaciones en la nube que utiliza diariamente su fuerza laboral distribuida.

Según el DBIR de Verizon 2025, las credenciales robadas estuvieron involucradas en el 22% de todas las brechas confirmadas. El SANS Institute encontró que, entre las organizaciones que experimentaron incidentes de seguridad, el 50% de esos incidentes se originaron en conectividad externa o rutas de acceso remoto. En conjunto, estas cifras confirman que las rutas de acceso remoto siguen siendo uno de los puntos de entrada más atacados para las brechas empresariales.

NIST SP 800-46 define la seguridad de acceso remoto como la que abarca los entornos de "teletrabajo empresarial, acceso remoto y traiga su propio dispositivo (BYOD)". NIST exige que todos los componentes de estas tecnologías, incluidos los dispositivos cliente BYOD, estén protegidos contra las amenazas esperadas identificadas mediante modelos de amenazas.

Para hacer operativa esa exigencia, es necesario comprender dónde encaja el acceso remoto dentro de su modelo de ciberseguridad más amplio.

Por qué importa la seguridad de acceso remoto

La seguridad de acceso remoto se sitúa en la intersección de la gestión de identidades, la seguridad de red y la protección de endpoints. El Marco de Ciberseguridad de NIST la posiciona dentro de la función "Proteger (PR)" bajo "Gestión de Identidad, Autenticación y Control de Acceso (PR.AA)" como un dominio de control fundamental. Cada endpoint VPN, servidor de salto y gateway de escritorio remoto representa un punto de entrada que los atacantes buscan activamente.

Para repasar los términos fundamentales mencionados a lo largo de esta guía, consulte la biblioteca Cybersecurity 101 de SentinelOne. Con esa base, comprender los patrones de ataque específicos dirigidos a las rutas de acceso remoto le ayuda a priorizar dónde reforzar primero.

Riesgos comunes de seguridad de acceso remoto

Los atacantes tratan la infraestructura de acceso remoto como un punto de entrada principal, no secundario. Comprender los patrones de amenaza específicos le ayuda a priorizar el refuerzo donde más importa.

  • Explotación de VPN y dispositivos perimetrales: Las puertas de enlace VPN y los firewalls se ubican en el borde de la red, lo que los convierte en objetivos de alto valor tanto para grupos estatales como para operadores de ransomware. El aviso de CISA sobre las Vulnerabilidades Más Explotadas de 2023 muestra que la mayoría de los CVE explotados con mayor frecuencia ese año fueron inicialmente explotados como zero-days, con productos de Citrix, Fortinet e Ivanti destacados. En 2024, el patrón continuó: CISA emitió un aviso conjunto después de que actores de amenazas encadenaran múltiples vulnerabilidades de Ivanti Connect Secure para eludir la autenticación, implantar web shells y recolectar credenciales. Los atacantes luego se movieron lateralmente usando herramientas nativas de los propios dispositivos, incluyendo RDP, SSH y nmap.
  • Robo de credenciales y ataques de fuerza bruta: Las credenciales robadas siguen siendo la forma más común en que los atacantes obtienen acceso remoto. Como se señaló en la introducción, casi una cuarta parte de todas las brechas confirmadas involucran credenciales robadas, y los ataques de fuerza bruta y relleno de credenciales contra RDP, portales VPN y endpoints SSH son constantes. Más del 85% de las organizaciones tienen RDP accesible desde internet al menos el 25% de cualquier mes, lo que brinda a los atacantes un objetivo persistente para campañas de password spraying.
  • Secuestro de sesión y abuso post-autenticación: La autenticación por sí sola no elimina el riesgo. Los atacantes que obtienen tokens de sesión o cookies válidas pueden eludir completamente el MFA. El CVE-2023-4966 ("CitrixBleed") de Citrix NetScaler permitió la filtración de tokens de sesión, dando a los atacantes acceso autenticado sin necesidad de credenciales. Una vez dentro, el movimiento lateral mediante RDP, SMB y herramientas administrativas es el procedimiento estándar. Los datos de respuesta a incidentes de Sophos muestran que los atacantes secuestraron RDP para movimiento lateral en el 69% de los incidentes investigados, siendo el protocolo más abusado en esa fase.
  • Abuso de acceso de terceros y proveedores: Los contratistas, proveedores de servicios gestionados y proveedores de la cadena de suministro con credenciales de acceso remoto representan una categoría de amenaza distinta. Las conexiones de terceros representaron el 35.5% de todas las brechas reportadas en 2024, un aumento del 6.5% respecto al año anterior. El riesgo se agrava porque las cuentas de proveedores suelen tener permisos amplios, carecen de monitoreo de sesión y permanecen activas mucho después de que finaliza un proyecto. La brecha de Caesars Entertainment en 2023 ilustró este patrón: los atacantes usaron ingeniería social contra un proveedor externo de soporte TI para obtener acceso inicial, lo que resultó en aproximadamente $15 millones en costos.
  • Ataques a la cadena de suministro de herramientas de acceso remoto: Los atacantes también apuntan a las propias herramientas. La explotación en 2024 de vulnerabilidades en ScreenConnect (CVE-2024-1708 y CVE-2024-1709) mostró cuán rápido las plataformas de gestión remota se convierten en vectores de ataque. Grupos de ransomware como Black Basta y Bl00dy comenzaron a explotar estas fallas en cuestión de días, utilizando las capacidades integradas de las herramientas para propagar malware en los endpoints conectados. Cuando su plataforma de acceso remoto se ve comprometida, cada dispositivo que gestiona se vuelve alcanzable.

Cada uno de estos patrones de amenaza se corresponde con un conjunto específico de pasos de refuerzo. Las mejores prácticas a continuación los abordan protocolo por protocolo.

Mejores prácticas de seguridad de acceso remoto

La mayoría de los programas de acceso remoto fallan en los aspectos operativos, no en la capa tecnológica. Los registros de VPN suelen capturar eventos de conexión y desconexión sin contexto a nivel de recurso, creando puntos ciegos. Tratar VPN más MFA como la meta es uno de los errores más comunes: sin segmentación, cumplimiento de dispositivos y monitoreo de sesiones, el movimiento lateral después del inicio de sesión permanece completamente abierto. Las siguientes prácticas son mejores prácticas de acceso remoto enfocadas en protocolos que puede aplicar sin reescribir toda su arquitectura en un solo sprint.

Refuerzo de VPN

Siga la guía de refuerzo de VPN de NSA/CISA :

  • Habilite IKEv2/IPsec con cifrado AES-GCM-256 según los requisitos de la CNSA Suite
  • Elimine suites de cifrado heredadas y grupos Diffie-Hellman obsoletos
  • Habilite MFA a través de una capa AAA centralizada para cada intento de acceso remoto
  • Monitoree eventos de conexión y cambios de cuenta con alertas claras

La velocidad de parcheo es más importante aquí que en cualquier otro lugar de su stack. Según un aviso de CISA, la explotación de vulnerabilidades de acceso remoto puede ocurrir entre 9 y 13 días después de su divulgación, lo que significa que los ciclos de parches mensuales dejan una ventana amplia para las puertas de enlace VPN expuestas a internet. Trate los dispositivos perimetrales como candidatos de parcheo de emergencia con objetivos de días de un solo dígito.

Para un contexto más amplio sobre por qué la seguridad de VPN sigue siendo una preocupación prioritaria, el explicador de seguridad de VPN de SentinelOne proporciona un mapeo de amenazas a controles. Con su gateway VPN reforzado, dirija su atención al protocolo más utilizado para el acceso a servidores e infraestructura.

Refuerzo de SSH

Aplique controles de seguridad SSH que reduzcan la proliferación de claves y el riesgo de repetición de credenciales:

  • Permita solo la versión 2 del protocolo SSH y cifrados modernos (AES-256-GCM, ChaCha20-Poly1305)
  • Requiera autenticación basada en clave y desactive completamente el inicio de sesión por contraseña
  • Centralice el ciclo de vida de las claves: emisión, rotación y revocación mediante una autoridad certificadora o gestor de secretos
  • Registre metadatos de sesión e investigue patrones de comandos anómalos
  • Establezca intentos máximos de autenticación y tiempos de espera de conexión para ralentizar los intentos de fuerza bruta

Centralizar la gestión de claves SSH es el paso de mayor impacto para la mayoría de los equipos, ya que las claves huérfanas en servidores de larga duración son un punto ciego común que los auditores señalan repetidamente.

Refuerzo de RDP

La guía de CISA sobre evicción de RDP es explícita sobre bloquear el puerto 3389 en el perímetro. A partir de ahí, agregue controles adicionales:

  • Requiera acceso VPN o intermediado antes de que RDP alcance los sistemas internos
  • Habilite NLA y una configuración TLS robusta para el gateway
  • Aplique MFA en el paso de acceso al intermediario o gateway
  • Establezca tiempos de espera para sesiones inactivas y restrinja la redirección de portapapeles o unidades donde la sensibilidad de los datos lo requiera

Permitir que dispositivos no gestionados se conecten sin verificaciones de postura implica aceptar el riesgo de robo de credenciales desde máquinas que no puede inspeccionar, parchear ni controlar. Si su entorno admite BYOD, dirija esas sesiones a través de una ruta intermediada que verifique el estado del dispositivo antes de conceder acceso. Incluso con controles sólidos por protocolo, el acceso a nivel de red tras el inicio de sesión sigue generando riesgo de movimiento lateral, que es donde la arquitectura de confianza cero cierra la brecha.

Implementación de Zero Trust

Para reducir el movimiento lateral tras el inicio de sesión, implemente cambios de confianza cero en fases utilizando el Modelo de Madurez Zero Trust de CISA:

  • Reemplace el acceso VPN a nivel de red por acceso a nivel de aplicación, comenzando por los activos de mayor valor
  • Utilice decisiones por sesión basadas en identidad, estado del dispositivo y comportamiento
  • Aplique microsegmentación para contener el radio de impacto de las sesiones remotas
  • Trate la confianza cero como una mejora incremental que se integra con su stack existente

La guía de seguridad zero trust de SentinelOne explica cómo traducir los principios de acceso remoto de confianza cero en políticas de acceso aplicables. Una vez segmentadas las rutas de acceso internas, la exposición restante suele estar en los terceros que se conectan a su entorno con menos supervisión que su propio personal.

Controles de acceso de terceros y proveedores

Los contratistas, MSP y proveedores de la cadena de suministro requieren controles diferentes a los empleados. Sus cuentas suelen tener permisos más amplios de lo necesario, carecen de monitoreo de sesión y permanecen activas mucho después de finalizar el trabajo. Refuerce esta categoría con pasos enfocados:

  • Habilite acceso just-in-time que expire automáticamente al finalizar la ventana de mantenimiento o el proyecto
  • Limite las sesiones de proveedores a la aplicación o sistema específico que necesitan, no a todo el segmento de red
  • Registre y audite las sesiones de proveedores, especialmente para operaciones privilegiadas
  • Revise y desactive cuentas de proveedores inactivas en una cadencia definida, no solo durante auditorías anuales

Los controles de acceso de proveedores suelen ser lo último que implementan los equipos y lo primero que explotan los atacantes, por lo que tratar esta categoría con el mismo rigor que sus protocolos internos da resultados rápidamente.

Aplicar MFA resistente a phishing

MFA es un requisito básico, pero los métodos basados en SMS y push no lo son. Los atacantes eluden ambos mediante proxies de phishing en tiempo real y campañas de fatiga de push, donde solicitudes repetidas de aprobación desgastan a los usuarios hasta que aceptan. La guía de NSA y CISA es clara: utilice métodos resistentes a phishing basados en PKI y estándares FIDO2 para el acceso remoto empresarial, no alternativas basadas en conveniencia.

  • Requiera llaves de seguridad hardware (FIDO2) o autenticación basada en certificados para cuentas privilegiadas y sesiones de administración remota
  • Desactive MFA por SMS y voz en rutas de acceso remoto donde existan opciones resistentes a phishing
  • Habilite MFA a través de una capa AAA centralizada en lugar de configuraciones individuales por aplicación para cerrar brechas de configuración
  • Monitoree patrones de aprobación de MFA y alerte sobre comportamientos anómalos, incluyendo aprobaciones rápidas desde nuevos registros de dispositivos

El MFA resistente a phishing elimina la mayoría de los ataques de acceso remoto basados en credenciales en la capa de autenticación. Una vez reforzado el MFA, la postura del dispositivo se convierte en la siguiente brecha que explotan los atacantes.

Verificar la postura del dispositivo antes de conceder acceso

Un usuario autenticado en un dispositivo no gestionado y sin parches no es una conexión segura. La verificación de postura de endpoint comprueba el estado de seguridad del dispositivo que se conecta antes de abrir la sesión, bloqueando el acceso desde máquinas que no cumplen con su línea base mínima de seguridad.

  • Confirme el estado de parches, versión del sistema operativo y protección de endpoint activa antes de conceder acceso
  • Bloquee o dirija dispositivos no gestionados a una ruta de remediación en lugar de conceder acceso total a la red
  • Exija cifrado de disco en todos los dispositivos autorizados para acceso remoto
  • Revalúe la postura del dispositivo al inicio de la sesión y marque desviaciones de configuración en conexiones de larga duración

Los dispositivos no gestionados son un punto ciego porque no puede inspeccionarlos, parchearlos ni controlarlos al mismo nivel que los activos corporativos. Con la postura del dispositivo verificada en la entrada, la visibilidad continua de lo que ocurre durante la sesión es la brecha restante a cerrar.

Monitorear sesiones de forma continua

La autenticación única al inicio de sesión no protege contra lo que ocurre después. Los atacantes que roban credenciales válidas o secuestran una sesión se comportan de manera diferente a los usuarios legítimos. El monitoreo continuo de sesiones identifica esas desviaciones antes de que el movimiento lateral alcance activos críticos.

  • Establezca patrones normales: ubicación de origen, horarios típicos de acceso, recursos accedidos y volumen de comandos para sesiones en servidores
  • Marque viajes imposibles, acceso administrativo fuera de horario y picos repentinos de acceso a recursos para investigación inmediata
  • Combine telemetría de VPN, endpoint e identidad para correlacionar la sesión remota con cada acción posterior
  • Configure respuestas automáticas para anomalías de alta confianza, como bloquear una sesión que pivota a herramientas de volcado de credenciales

Para más contexto sobre cómo construir cobertura de detección en torno a sesiones remotas, consulte la guía de threat hunting de SentinelOne.

Aplicar gestión de acceso privilegiado para cuentas de administración remota

Las sesiones remotas vinculadas a cuentas privilegiadas son los objetivos de mayor valor en su entorno. Una sesión de administrador comprometida con alcance de red sin restricciones puede pasar del acceso inicial a un controlador de dominio en minutos. La gestión de acceso privilegiado (PAM) limita esa ventana controlando cómo, cuándo y desde dónde se pueden usar las credenciales administrativas.

  • Rote automáticamente las credenciales privilegiadas después de cada uso para evitar su reutilización entre sesiones
  • Registre todas las sesiones remotas privilegiadas y conserve los registros para investigación forense
  • Exija una estación de trabajo de acceso privilegiado (PAW) dedicada para sesiones administrativas, aislada de endpoints de uso general
  • Limite el acceso administrativo a sistemas y ventanas de tiempo específicos mediante aprovisionamiento just-in-time

Las cuentas privilegiadas sin estos controles son el camino más rápido del acceso remoto inicial a la toma de control total del dominio. Aplicar PAM cierra la brecha que una sola credencial de administrador robada podría abrir hacia la toma completa del entorno.

Cómo SentinelOne mejora la seguridad de acceso remoto

Proteger el acceso remoto en una fuerza laboral distribuida requiere visibilidad, velocidad y correlación que las herramientas aisladas no pueden ofrecer. La Plataforma Singularity™ unifica la telemetría de endpoint, identidad y nube en una sola consola, para que pueda investigar un inicio de sesión VPN sospechoso y la actividad del endpoint que le sigue sin cambiar entre varios sistemas.

Para los equipos abrumados por el ruido, la eficiencia cuantificada importa. En las Evaluaciones MITRE ATT&CK, SentinelOne generó 88% menos ruido que la mediana de todos los proveedores, lo que reduce directamente la carga de triaje y permite a los analistas dedicar tiempo a intrusiones reales de acceso remoto. La telemetría Storyline reconstruye automáticamente cadenas de procesos y conexiones, brindando un análisis de causa raíz más rápido cuando un atacante utiliza una sesión remota para pivotar.

Cuando una credencial comprometida desencadena movimiento lateral a las 2 a.m., necesita respuesta autónoma, no correlación manual entre cinco paneles. 

La IA de comportamiento de SentinelOne detecta actividad sospechosa posterior al inicio de sesión, como ejecución inusual de procesos tras una sesión RDP o volcado de credenciales después de acceso VPN. Singularity™ Identity extiende esa protección a su infraestructura de identidad, detectando ataques en curso contra Active Directory y Entra ID con defensas en tiempo real. Singularity™ Identity también escanea continuamente en busca de credenciales débiles, expuestas y comprometidas, ofreciendo respuestas automatizadas para remediarlas. Además, lo hace tanto en entornos locales (Active Directory) como en la nube (como Entra ID, Okta, Ping, SecureAuth y Duo).

Para velocidad de investigación, Purple AI convierte el lenguaje natural en búsquedas acotadas en todo su entorno. Los primeros usuarios informan que Purple AI hace que la búsqueda de amenazas y las investigaciones sean hasta un 80% más rápidas. Esa velocidad importa cuando necesita responder preguntas como: "Muéstrame todas las sesiones RDP desde dispositivos no gestionados en las últimas 48 horas."

Solicite una demostración de SentinelOne para ver cómo la Plataforma Singularity refuerza la visibilidad y respuesta de acceso remoto en su entorno.

Reduzca el riesgo de identidad en toda su organización

Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.

Demostración

Puntos clave

El acceso remoto es donde convergen la identidad, la postura del endpoint y los controles de red, y los atacantes apuntan a cada brecha con zero-days en dispositivos VPN, ataques de relleno de credenciales contra RDP expuesto, secuestro de sesión tras la autenticación y ataques a la cadena de suministro contra herramientas de gestión remota. Se reduce ese riesgo siguiendo las mejores prácticas de acceso remoto: reforzando los controles de VPN, SSH y RDP; aplicando MFA resistente a phishing; verificando la postura del dispositivo; y aplicando privilegios mínimos con acceso segmentado. 

Si su programa aún depende de "VPN más MFA", asuma que un atacante puede pivotar tras el inicio de sesión, y para un mapa práctico de cómo el robo de credenciales se convierte en un impacto a nivel de dominio, la guía de ransomware de SentinelOne cubre las tácticas adyacentes que verá durante intrusiones impulsadas por acceso remoto.

Preguntas frecuentes

No. VPN autentica a los usuarios en el momento de la conexión y cifra el tráfico en tránsito, pero no aplica el principio de mínimo privilegio después del inicio de sesión. Una vez conectados, los usuarios suelen heredar un acceso amplio a la red, lo que facilita el movimiento lateral cuando se roban credenciales o se secuestra una sesión. 

Cerrar esta brecha requiere segmentación para limitar lo que una sesión puede alcanzar, verificaciones de postura del dispositivo para comprobar desde dónde se conecta y monitoreo continuo para detectar abusos posteriores al inicio de sesión antes de que lleguen a activos críticos.

Los riesgos de mayor frecuencia son el robo de credenciales y el abuso de sesiones. Las credenciales robadas permiten a los atacantes acceder a VPN o RDP autenticados sin activar los controles perimetrales. El secuestro de sesiones, como lo demostró CitrixBleed (CVE-2023-4966), permite a los atacantes eludir completamente el MFA utilizando tokens de sesión válidos. 

El abuso de acceso de terceros, los dispositivos de acceso remoto sin parches y los ataques a la cadena de suministro contra herramientas de gestión remota completan el panorama. Cada patrón de ataque tiene un control de endurecimiento directo, pero el riesgo se incrementa rápidamente cuando existen múltiples brechas simultáneamente.

MFA verifica que la persona que se conecta es quien dice ser, no solo alguien que conoce la contraseña. Para el acceso remoto, es el control principal que impide que los ataques de relleno de credenciales y de fuerza bruta tengan éxito. 

Sin embargo, la calidad de MFA es tan importante como su presencia. Los métodos basados en SMS y notificaciones push son vulnerables a proxies de phishing en tiempo real y ataques de fatiga de notificaciones. Los métodos resistentes al phishing basados en FIDO2 o certificados PKI eliminan esas debilidades y son el estándar que la NSA y la CISA recomiendan para el acceso remoto empresarial.

Los dispositivos personales no gestionados, los portátiles propiedad de contratistas y los endpoints BYOD representan el mayor riesgo porque no se puede verificar su estado de parches, el software instalado o la configuración base. Los atacantes apuntan a estos dispositivos sabiendo que las organizaciones a menudo les otorgan el mismo acceso a la red que a los activos corporativos gestionados. 

Dirija los dispositivos no gestionados a través de una ruta de acceso intermediada que verifique la postura antes de abrir cualquier sesión y restrinja los recursos a los que pueden acceder incluso después de superar las comprobaciones de postura.

Comience donde se superponen la exposición y la probabilidad de explotación. Si RDP es accesible desde Internet, bloquee el puerto 3389 de inmediato y fuerce el acceso a través de una ruta intermediada. Luego, audite los dispositivos VPN en busca de CVE sin corregir, autenticación débil y cifrado heredado. 

Después, aborde SSH a escala inventariando claves y centralizando la emisión y rotación. Priorice según la exposición a Internet, el nivel de privilegio y el historial de incidentes.

Trate los sistemas de acceso remoto perimetral como candidatos de parcheo de emergencia porque los atacantes los aprovechan rápidamente. CISA ha documentado explotación en un plazo de 9 a 13 días tras la divulgación, lo que significa que los ciclos mensuales dejan una ventana amplia. 

Para gateways VPN expuestos a Internet, brokers RDP y bastiones SSH, apunte a una ventana de parcheo de un solo dígito de días, incluyendo validación y planificación de reversión. Si no puede aplicar parches rápidamente, reduzca la exposición con controles compensatorios.

Concéntrese en el comportamiento y el contexto de la sesión, no solo en el éxito del inicio de sesión. Establezca patrones normales como la geolocalización de origen, tipo de dispositivo, hora del día y recursos típicos accedidos. 

Luego, marque anomalías como viajes imposibles, lanzamientos inusuales de herramientas administrativas tras el inicio de sesión remoto o acceso repentino a recursos compartidos de archivos de alto valor. Combine la telemetría de VPN, endpoint e identidad para poder correlacionar la sesión remota con la actividad posterior al inicio de sesión.

Descubre más sobre Seguridad de la identidad

¿Qué es el RBAC (control de acceso basado en roles)?Seguridad de la identidad

¿Qué es el RBAC (control de acceso basado en roles)?

El control de acceso basado en roles (RBAC) mejora la seguridad al limitar el acceso. Descubra cómo implementar el RBAC de forma eficaz en su organización.

Seguir leyendo
¿Qué es la gestión de la seguridad de la identidad (ISPM)?Seguridad de la identidad

¿Qué es la gestión de la seguridad de la identidad (ISPM)?

La gestión de la postura de seguridad de la identidad (ISPM) ayuda a hacer frente a las crecientes amenazas cibernéticas relacionadas con la identidad mediante la gestión eficaz de las identidades digitales. Descubra cómo la ISPM refuerza la postura de seguridad.

Seguir leyendo
LDAP vs. Active Directory: 18 diferencias críticasSeguridad de la identidad

LDAP vs. Active Directory: 18 diferencias críticas

LDAP y Active Directory se utilizan para acceder y gestionar directorios en todos los sistemas, pero difieren en sus funcionalidades. LDAP es un protocolo, mientras que Active Directory es un servicio de directorio.

Seguir leyendo
¿Qué es la arquitectura de confianza cero (ZTA)?Seguridad de la identidad

¿Qué es la arquitectura de confianza cero (ZTA)?

Explore en detalle la arquitectura Zero Trust en esta guía completa, que abarca sus principios, ventajas, retos y mejores prácticas. Comprenda cómo mejora la ciberseguridad en todos los sectores.

Seguir leyendo
¿Está listo para revolucionar sus operaciones de seguridad?

¿Está listo para revolucionar sus operaciones de seguridad?

Descubra cómo SentinelOne AI SIEM puede transformar su SOC en una central autónoma. Póngase en contacto con nosotros hoy mismo para obtener una demostración personalizada y ver el futuro de la seguridad en acción.

Solicitar una demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español