Cómo proteger el acceso remoto sin supervisión

La clave para mantener seguro el acceso sin supervisión es asegurarse de que solo las personas autorizadas sean las que se conecten con los dispositivos. ¿Cómo? Con estas cinco buenas prácticas.

Puedes describir las conexiones de TeamViewer de dos maneras: con y sin supervisión. “Con supervisión” significa que alguien está físicamente cerca del dispositivo al que deseas conectarte y puede aceptar la solicitud de conexión. Los clientes en la asistencia de TI utilizan el acceso con supervisión con mucha frecuencia porque, cuando un dispositivo individual presenta un problema, el usuario afectado se encuentra ahí esperando por la resolución de su inconveniente.

Sin embargo, habrá muchas veces en las que querrás acceder a un dispositivo de forma remota sin tener que depender de alguien que esté allí para aceptar tu solicitud de conexión. Algunas veces, accederás a dispositivos que solo tú utilizas, como tu computadora de escritorio en casa o los servidores de tu trabajo. O quizás controles el servicio de quioscos o terminales alrededor del mundo. Acceder a los dispositivos desde cualquier lugar, con o sin supervisión, te ahorrará mucho tiempo (sin mencionar todos los traslados).

La clave para mantener seguro el acceso sin supervisión es asegurarse de que solo las personas autorizadas sean las que se conecten a los dispositivos. ¿Cómo? Con estas cinco buenas prácticas. Comencemos…

La función de contraseñas aleatorias es ideal para las máquinas con supervisión que podrían requerir asistencia remota de vez en cuando. Por ejemplo, si estás experimentando un problema, todo lo que necesita el agente de asistencia de TI para acceder de forma remota a tu computadora es una contraseña aleatoria. Pero en el caso de los dispositivos sin supervisión, la función de las contraseñas aleatorias es tan solo una forma más de que alguien pueda obtener acceso a los dispositivos.

Para desactivar las contraseñas aleatorias, ve a “Opciones” > “Seguridad” > “Contraseña aleatoria” (para el acceso espontáneo) y selecciona “Desactivar” (sin contraseña aleatoria).

Si el dispositivo anfitrión, el dispositivo al que deseas conectarte, está asignado a una cuenta o un grupo particular de TeamViewer, elimina la(s) contraseña(s). Después de todo, cualquiera que sepa la contraseña (o que pueda adivinarla) podrá acceder al dispositivo.

Desactivar esta función en favor de la característica de acceso fácil (se describe más abajo) cobra sentido si asignas el dispositivo a una cuenta o a un grupo ya que el acceso fácil requiere de una cuenta de TeamViewer. Puedes proteger las cuentas de TeamViewer con la verificación en dos pasos y otras medidas de seguridad. Eliminar la posibilidad de que las personas externas adivinen las contraseñas personales agrega una capa adicional de seguridad para el acceso sin supervisión.

Chequea esa configuración en “Opciones” > “Configuración avanzada” > “Contraseña personal”.

La forma segura más nueva de acceder a un dispositivo con TeamViewer es a través del acceso fácil. Cuando esta característica está activada en un dispositivo y ese dispositivo está asignado a tu cuenta de TeamViewer, no se necesita ninguna contraseña aleatoria o personal. La única manera de que otra persona acceda a ese dispositivo es con la ID y la contraseña del dispositivo; entonces, si has eliminado las contraseñas, has limitado el acceso a solo tu dispositivo (y tu grupo, si has asignado al dispositivo a un grupo).

Este enfoque es más seguro que aquellos donde se utilizan las contraseñas debido a una sola función poderosa: la verificación en dos pasos. Proteger tu cuenta de TeamViewer con la verificación en dos pasos reduce significativamente las chances de que otra persona acceda a tu(s) dispositivo(s). 

Configurar el acceso fácil es, pues,… Facilísimo.

Si alguien ya asignó el dispositivo a tu cuenta de TeamViewer, haz clic en “Extras” > “Opciones” > “Seguridad” y, debajo de “Acceso sin supervisión”, activa la casilla de verificación “Otorgar acceso fácil” y luego haz clic en “OK”.

Si el dispositivo todavía no está asignado a una cuenta de TeamViewer: haz clic en “Extras” > “Opciones” > “Seguridad”, luego haz clic en el botón “Configurar” y se abrirá la caja de diálogo “Asignar a una cuenta”. Haz clic en el botón “Asignar” y, debajo de “Contraseña personal” (para acceso sin supervisión), activa la casilla de verificación “Otorgar acceso fácil”; luego, haz clic en “OK”.

Para un enfoque más granular para gestionar quién y qué puede conectarse a los dispositivos con TeamViewer, utiliza tu lista de contactos bloqueados y permitidos.

Lista de bloqueados: las cuentas de TeamViewer o las ID de los dispositivos que aparecen en las listas de contactos bloqueados de tu dispositivo no pueden realizar una conexión de TeamViewer hacia ese dispositivo. Si tu empresa ya ha experimentado intentos maliciosos de conexión en el pasado, agrega esas ID o dispositivos específicos a tu lista de contactos bloqueados. Además, si tienes dispositivos de cara a un público que vive más allá de tu cortafuegos, como un servidor de web, bloquéales el acceso a tu dispositivo.

Lista de contactos permitidos: solo las cuentas y las ID de los dispositivos de TeamViewer que se agregan a la lista de contactos permitidos pueden realizar conexiones a tu dispositivo. Apégate a las cuentas de tu lista de contactos permitidos todas las veces que sea posible; después de todo, una persona que no aprobarías podría estar usando tu dispositivo aprobado. Esto resulta ideal si sabes que solo ciertas personas deben tener acceso remoto a tu dispositivo. También puedes agregar por supuesto grupos o incluso tu empresa completa a la lista de contactos permitidos si resultara apropiado.

Puedes configurar tus listas en “Extras” > “Opciones” > “Seguridad” > “Lista de contactos bloqueados/permitidos” y haz clic en “Configurar”.

Hace poco agregamos la verificación en dos pasos (TFA) al nivel de conexión además de la TFA para el nivel de cuenta. Esto resulta genial si necesitas visibilidad y la capacidad de aprobación para cada intento de conexión realizado para dispositivos particulares.

Cuando alguien intenta conectarse a un dispositivo protegido, puedes recibir una notificación push en tu teléfono que incluye la ID del dispositivo que está intentando iniciar una conexión, así como la opción de aprobar o rechazar la solicitud. Si has habilitado el acceso sin supervisión para un dispositivo hacia el que se pueden realizar algunas conexiones o al que solo tú puedes acceder, como tu computadora de escritorio en el trabajo, la verificación en dos pasos puede brindar una capa de seguridad adicional.

El acceso sin supervisión se utiliza para todo: desde acceder sin supervisión a las potentes computadoras del trabajo desde casa hasta actualizar quioscos o la publicidad LED desde cualquier lugar del mundo. Pero, con una herramienta así de robusta, también se presenta la necesidad de protegerla contra amenazas externas o incluso errores simples. Si implementas estas buenas prácticas, podrás garantizar que el acceso sin supervisión no signifique acceso abierto para cualquier persona.