¿Cómo detectar accesos RDP sospechosos en un análisis forense?

Una vez se sospecha de un acceso remoto, es fundamental recopilar evidencias. Windows almacena muchos registros útiles en el Visor de Eventos y en sus archivos de log.

En mi anterior artículo hablamos más en detalle sobre ¿Qué es RDP?, en este caso vamos a ver paso a paso cómo detectar accesos RDP sospechosos:

En Windows (desde el Visor de Eventos)

El primer paso para saber cómo detectar accesos RDP sospechosos es abrir el Visor de Eventos (eventvwr.msc) y navega por la siguiente ruta:

Registros de aplicaciones y servicios > Microsoft > Windows > TerminalServices-RemoteConnectionManager > Operational

También puedes consultar:

Registros de Windows > Seguridad

Ahí, busca los siguientes ID de evento relevantes:

  • 4624 – Inicio de sesión exitoso.
  • 4625 – Intento de inicio de sesión fallido.
  • 1149 – Conexión RDP aceptada.
  • 4778 – Reconexión de sesión RDP.
  • 4779 – Desconexión de sesión RDP.

Puedes aplicar un filtro por palabras clave como «RDP», «Remote Desktop», «3389» o incluso por usuarios específicos.

Ejemplo real

Si en el evento 4624 ves una dirección IP externa no reconocida en el campo Red de origen, y coincide con un evento 1149, es muy probable que se haya realizado una conexión remota con éxito.

Desde Kali Linux (analizando un disco o exportando logs)

Para saber cómo detectar accesos RDP sospechosos en Kali Linux, y estás analizando una imagen de disco (por ejemplo, montada desde .vhd o .img), puedes buscar logs directamente en el sistema de archivos de Windows:

/mnt/windows/Windows/System32/winevt/Logs/

Ahí puedes copiar archivos como:

  • Security.evtx
  • TerminalServices-RemoteConnectionManager.evtx

Luego, puedes usar herramientas como evtx_dump o Windows Event Viewer en una máquina Windows para leerlos.

También puedes convertirlos a texto con herramientas como:

evtx_dump Security.evtx > seguridad.txt

Comando útil para listar conexiones RDP activas

Si tienes acceso en vivo a una máquina Windows con PowerShell:

Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4624 -or $_.EventID -eq 1149} | Select-Object TimeGenerated, Message

También puedes buscar conexiones remotas abiertas:

netstat -an | findstr :3389

El protocolo RDP, aunque extremadamente útil, representa un vector de ataque crítico si no está correctamente protegido. Con una buena estrategia de análisis forense, es posible reconstruir los eventos, identificar IPs sospechosas y entender el movimiento lateral dentro de una red.

Espero haberte ayudado con algunos trucos sobre cómo detectar accesos RDP sospechosos.

Creado con ☕ y ❤️ por mi mismo en una tarde de domingo – © 2025

Jonathan LLuch
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.