Una vez se sospecha de un acceso remoto, es fundamental recopilar evidencias. Windows almacena muchos registros útiles en el Visor de Eventos y en sus archivos de log.
En mi anterior artículo hablamos más en detalle sobre ¿Qué es RDP?, en este caso vamos a ver paso a paso cómo detectar accesos RDP sospechosos:
En Windows (desde el Visor de Eventos)
El primer paso para saber cómo detectar accesos RDP sospechosos es abrir el Visor de Eventos (eventvwr.msc
) y navega por la siguiente ruta:
Registros de aplicaciones y servicios > Microsoft > Windows > TerminalServices-RemoteConnectionManager > Operational
También puedes consultar:
Registros de Windows > Seguridad
Ahí, busca los siguientes ID de evento relevantes:
- 4624 – Inicio de sesión exitoso.
- 4625 – Intento de inicio de sesión fallido.
- 1149 – Conexión RDP aceptada.
- 4778 – Reconexión de sesión RDP.
- 4779 – Desconexión de sesión RDP.
Puedes aplicar un filtro por palabras clave como «RDP», «Remote Desktop», «3389» o incluso por usuarios específicos.
Ejemplo real
Si en el evento 4624 ves una dirección IP externa no reconocida en el campo Red de origen
, y coincide con un evento 1149, es muy probable que se haya realizado una conexión remota con éxito.
Desde Kali Linux (analizando un disco o exportando logs)
Para saber cómo detectar accesos RDP sospechosos en Kali Linux, y estás analizando una imagen de disco (por ejemplo, montada desde .vhd
o .img
), puedes buscar logs directamente en el sistema de archivos de Windows:
/mnt/windows/Windows/System32/winevt/Logs/
Ahí puedes copiar archivos como:
Security.evtx
TerminalServices-RemoteConnectionManager.evtx
Luego, puedes usar herramientas como evtx_dump
o Windows Event Viewer
en una máquina Windows para leerlos.
También puedes convertirlos a texto con herramientas como:
evtx_dump Security.evtx > seguridad.txt
Comando útil para listar conexiones RDP activas
Si tienes acceso en vivo a una máquina Windows con PowerShell:
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4624 -or $_.EventID -eq 1149} | Select-Object TimeGenerated, Message
También puedes buscar conexiones remotas abiertas:
netstat -an | findstr :3389
El protocolo RDP, aunque extremadamente útil, representa un vector de ataque crítico si no está correctamente protegido. Con una buena estrategia de análisis forense, es posible reconstruir los eventos, identificar IPs sospechosas y entender el movimiento lateral dentro de una red.
Espero haberte ayudado con algunos trucos sobre cómo detectar accesos RDP sospechosos.