Herramientas RMM como puerta de entrada: lista de verificación de seguridad para ConnectWise, Kaseya y similares

3 min de lectura

Las herramientas RMM (monitorización y gestión remotas) tienen por diseño acceso privilegiado a todos los puntos finales gestionados. Precisamente eso las convierte en la puerta de entrada preferida para los atacantes. CrowdStrike documenta en su Threat Hunting Report 2024: el abuso de herramientas RMM aumentó un 70 % interanual y representó el 27 % de todas las intrusiones manuales. Un servidor RMM comprometido no implica un cliente comprometido, sino todos los clientes a la vez.

En resumen

• 🔒 El abuso de herramientas RMM aumentó un 70 %. El 27 % de todas las intrusiones manuales se producen mediante herramientas RMM (CrowdStrike 2024).
• ⚠️ Kaseya VSA 2021: una vulnerabilidad de tipo zero-day, 60 MSP comprometidos, hasta 1.500 empresas afectadas, 70 millones de dólares en rescate exigidos.
• 🛡️ ConnectWise ScreenConnect CVE-2024-1709: CVSS 10.0, bypass de autenticación, explotación trivial.
• 📊 El 59,4 % de todos los incidentes de ransomware se derivan del acceso remoto externo / herramientas RMM (Arctic Wolf 2025).
• 🔧 CISA/NSA recomiendan: exigir MFA, segmentación de red, allowlisting, registrar todas las sesiones RMM.

Por qué los atacantes aman las herramientas RMM

El software RMM está diseñado para operaciones legítimas de TI: despliegue de actualizaciones, supervisión de sistemas, resolución remota de problemas. Por tanto, el agente RMM tiene por diseño derechos de administrador en cada punto final gestionado, acceso de red a todos los clientes y la capacidad de ejecutar código. Para un atacante, esto representa la puerta trasera perfecta, ya instalada previamente.

La segunda ventaja: el software legítimo es detectado significativamente más difícil por las herramientas de seguridad como malicioso. Si AnyDesk o ConnectWise ScreenConnect están en ejecución en un sistema, ningún EDR genera una alerta. Esto se conoce como Living-off-the-Land. CISA y NSA emitieron en enero de 2023 un comunicado conjunto que describe cómo los atacantes utilizan específicamente el software RMM para lograr persistencia y control de comando sin instalar malware.

Sophos confirma: AnyDesk y PsExec aparecieron en más incidentes que Cobalt Strike. Al menos 17 grupos de ransomware han sido observados utilizando intencionadamente AnyDesk, incluyendo REvil, Black Basta y LockBit.

Fuentes: CrowdStrike Threat Hunting Report 2024, Arctic Wolf 2025

Tres incidentes que hacen tangible el riesgo

Kaseya VSA (julio 2021). El grupo REvil aprovechó una vulnerabilidad de tipo zero-day en Kaseya VSA, una plataforma RMM ampliamente utilizada por proveedores de servicios gestionados (MSP). Dado que VSA se ejecuta directamente en los puntos finales de todos los clientes del MSP, el ataque tuvo un carácter inmediato de cadena de suministro: menos de 60 MSP afectados directamente, pero hasta 1.500 empresas downstream comprometidas. La cadena sueca de supermercados Coop tuvo que cerrar sus 800 tiendas durante casi una semana. REvil exigió 70 millones de dólares por un descifrador universal.

ConnectWise ScreenConnect (febrero 2024). CVE-2024-1709 recibió la puntuación CVSS máxima de 10.0. La vulnerabilidad era un bypass de autenticación: una simple solicitud HTTP a la página de configuración permitía sobrescribir todas las cuentas de administrador existentes y obtener ejecución remota de código. El proof-of-concept y el módulo Metasploit estuvieron disponibles inmediatamente. Todas las versiones anteriores a la 23.9.8 estaban afectadas.

SimpleHelp (2025). CISA advierte actualmente sobre la explotación activa de vulnerabilidades en SimpleHelp (CVE-2024-57727, recorrido de ruta) por actores de ransomware. Esto demuestra: el riesgo no es histórico, sino actual.

«Los atacantes utilizan software RMM específicamente para lograr persistencia y control de comando, sin instalar malware. Las herramientas de seguridad detectan el software legítimo significativamente más difícil que el software malicioso.»
Comunicado conjunto CISA/NSA/MS-ISAC AA23-025A, enero 2023

Lista de verificación de seguridad para herramientas RMM

Las siguientes medidas se basan en la guía de CISA para asegurar el software de acceso remoto y en el comunicado conjunto AA23-025A.

1. Exigir MFA en cada cuenta RMM. No solo para accesos de administrador, sino para cada cuenta que pueda controlar sesiones RMM. Incluso para servicios orientados al cliente. Passkeys/FIDO2 cuando sea posible.

2. Segmentación de red. Aislar las interfaces de gestión RMM detrás de una VPN o en una red administrativa dedicada. El servidor RMM no debe ser accesible desde Internet. Implementar una arquitectura de confianza cero (Zero-Trust).

3. Allowlisting en lugar de blocklisting. Limitar la comunicación RMM a pares IP conocidos. Permitir únicamente programas RMM autorizados en la red. Cualquier herramienta RMM no autorizada es un vector de ataque potencial.

4. Registrar y supervisar todas las sesiones RMM. Detectar inmediatamente conexiones inusuales en cuanto a horarios, direcciones IP de origen desconocidas y duración anómala de sesiones. Huntress encuentra regularmente instancias RMM «olvidadas» en redes de clientes.

5. Mantener un inventario RMM y reducirlo. Inventariar todas las herramientas RMM instaladas. Desinstalar inmediatamente aquellas que no se utilicen. Huntress documenta un aumento del 214 % en incidentes relacionados con RMM desde enero de 2024. Cada herramienta innecesaria es una superficie de ataque.

6. Evaluación de seguridad del proveedor. Evaluar regularmente a los proveedores de herramientas RMM: frecuencia de parches, procesos de respuesta a incidentes, certificaciones de seguridad. Tras ConnectWise (CVSS 10.0) y SimpleHelp, la evaluación de proveedores ya no es un complemento opcional.

Conclusión: el mayor riesgo es la herramienta que ya está en ejecución

Las herramientas RMM no representan un riesgo opcional. Ya se ejecutan en los puntos finales. Ya tienen derechos de administrador. Ya están en la red. La cuestión no es si se deben proteger las herramientas RMM, sino cuán rápido. CrowdStrike muestra: más de una cuarta parte de todos los ataques manuales ya utilizan herramientas RMM como punto de entrada. Arctic Wolf documenta: el 59,4 % de todos los incidentes de ransomware se deben al acceso remoto externo. La lista de verificación de CISA anterior es el punto de partida. Hoy mismo.

Preguntas frecuentes

¿Qué herramientas RMM han sido utilizadas maliciosamente en ataques?

Documentadas: ConnectWise ScreenConnect, Kaseya VSA, AnyDesk, TeamViewer, SimpleHelp, NinjaOne, Datto RMM. Al menos 17 grupos de ransomware utilizan AnyDesk de forma específica. ConnectWise tuvo en 2024 una vulnerabilidad con CVSS 10.0.

¿Cómo detecto el uso indebido de herramientas RMM en mi red?

Inventariar todas las herramientas RMM instaladas (incluso las no autorizadas). Supervisar sesiones RMM en busca de horarios inusuales, IPs de origen y duraciones anómalas. Configurar reglas EDR para detectar el inicio de procesos RMM fuera del horario laboral. CISA recomienda explícitamente el allowlisting para la comunicación RMM.

¿Deberíamos eliminar las herramientas RMM?

No. Las herramientas RMM son indispensables para la operación de TI. Pero deben reforzarse: MFA, segmentación de red, registro de eventos, evaluación del proveedor. Una herramienta RMM sin seguridad es más peligrosa que no tener ninguna herramienta RMM.

¿Qué diferencia al incidente de Kaseya de un ataque de ransomware normal?

El multiplicador de cadena de suministro. Kaseya VSA se ejecuta como agente en los puntos finales de todos los clientes del MSP. Un servidor comprometido no afectó a un solo cliente, sino a hasta 1.500 empresas downstream simultáneamente. Este es el riesgo estructural inherente a cualquier plataforma de gestión centralizada.

Fuente de imagen: Pexels / Brett Sayles

Sobre el autor: Benedikt Langer

Más artículos de Benedikt Langer