Home Office: asegurá tu escritorio remoto

JADM 14 abril, 2020
RDP Seguro

Muchos ya lo hacían desde hace tiempo, a diario o cada tanto porque algunas empresas venían implementando al menos un día a la semana de home office. Incluso al revés: en muchas profesiones que implican interminables cargas de datos, es común que la tarea la haga el empleado desde su casa, presentándose en la oficina eventualmente. Call centers de todos los colores, desde servicios de venta hasta mesas de ayuda, ya no son un call center físico, sino una central que deriva las llamadas a los operadores disponibles, cómodamente alojados dónde sea que estén.

Con el tiempo y la experiencia, estas empresas han ido mejorando la fluidez y seguridad de sus conexiones remotas mediante una variada gama de estrategias, configuraciones y herramientas.



Pero para los simples mortales que, de un día para el otro, se vieron obligados a convertir sus oficinas en servidores para el trabajo remoto debido al COVID-19, hete aquí una serie de consejos para que, habiendo sobrellevado la pandemia, no se se enfrenten con amenazas menos mortales, pero molestas y costosas.

Lo más fácil

El uso de aplicaciones de control remoto cómo TeamViewer, LogMe In, Ammy Admin, Any Desk y otras, suele resolver la mayoria de las cuestiones de configuración, seguridad e instalación. En general, permiten trabajar sobre una computadora, en forma remota, como si estuvieses físicamente allí. Cada uno con sus ventajas y desventajas…

TeamViewer y LogMe In son de de los más robustos y rápidos. La conexión suele user hiper fluída en la mayoría de los casos y no se han reportado casos de instrusiones no deseadas, salvo que divulgues las contraseñas. Ambos ofrecen versiones gratuitas para uso no comercial, y si en general sólo tenes que conectarte siempre con la misma máquina, esto no deberia ser un problema. TeamViewer en particular, una vez que sospecha que le estas dando un uso comercial a la aplicación (por una infinita lista de razones), comenzará a acortarte el tiempo que puedas estar conectado hasta que finalmente se te haga imprescindible comprar una licencia de al menos u$s 19 mensuales (costaba u$s 9 antes de la explosión del COVID-19 …)



Ammy Admin y Any Desk serían dos buenas alternativas para momentos más normales pero, aparte del hecho de que las conexiones son exponencialmente más lentas que las de las otras dos aplicaciones mencionadas, al menos en sus versiones gratuitas requieren que del otro lado haya alguien que autorice la conexión remota al equipo cada vez que quieras conectarte. En épocas de oficinas desiertas por la cuarentena, talvez esto no sea de lo más práctico. Además, suelen perder el control remoto cuando se debe responder a una advertencia de seguridad de Windows (cómo las ventanas «Desea permitir que esta aplicación haga cambios en el equipo?» cuando abris ciertas aplicaciones), a la espera de que el permiso lo otorgue un operador local. Si te pasa en medio del trabajo, es lo mismo que si nunca te hubieses conectado, así que…

  • Todas comparten como característica principal la facilidad de instalación y puesta en marcha:
  • Tanto en la computadora con la que nos queremos conectar como en el dispositivo que usaremos desde nuestra casa, se descarga e instala la aplicación
  • Se abre la aplicación en la computadora «host» (la que recibiría la conexión en, por ejemplo, la oficina). Muestra un número de ID y una contraseña.
  • Abrimos la aplicación en la computadora de casa y ponemos el ID y la contraseña que nos informó la compu del trabajo. Nos conectamos. Listo.

Despues, cada una con sus variantes, permiten configurar una contraseña fija, que sea siempre la misma para que no tengamos problemas a la hora de conectarnos las siguientes veces. Porque esa contraseña que nos mostró va a ser diferente cada vez que se abra la aplicación por obvias cuestiones de seguridad. Pero en general no tienen más complicaciones en su configuración.

Escritorio Remoto de Windows

Desde el Terminal Server Client de Windows 3.1 hasta el Conexión a Escritorio Remoto actual de Windows 10, una de las herramientas más simples de usar, pero no tan simple de poner en marcha. Por eso surgieron y prosperaron las aplicaciones de terceros como las que enumeraba antes. Pero, bien implementada, es estable, confiable, segura y gratis de por vida. Claro que requiere algo de trabajo y gratis no es sinónimo de fácil.

Si uno abre Conexión a Escritorio remoto nota que debe poner algún dato en «equipo» y ahí se acabó la suerte. Este dato no es un ID que el escritorio remoto del otro lado del cable nos informará amablemente como con las aplicaciones de terceros, sino una dirección (ruta de red, ip o dominio web) que debe conocerse de antemano. Y si conocieces la IP de la oficina pero nunca configuraron una computadora para recibir conexiones remotas ni la propia red de la empresa para permitirlo, te va a resultar un dato inútil.



Vamos entonces con un somero paso a paso de lo que deberias primero hacer en tu lugar de trabajo para poder conectarte desde tu casa usando Escritorio Remoto de Windows

Configurar Escritorio Remoto de Windows

Lo primero que hay que hacer es configurar la computadora para que Windows acepte las conexiones remotas entrantes. Fácil:

  • Click derecho sobre Este equipo o Mi Pc, luego click izquierdo sobre Propiedades. Cuando se abre la ventana de propiedades se debe entrar en Configuración avanzada del sistema. Luego ir a la solapa Acceso remoto y tildar Permitir las conexiones remotas a este equipo.
  • Darle click al botón Seleccionar usuarios y luego click al botón Agregar. En la siguiente ventana darle click a Opciones Avanzadas y luego click a Buscar ahora. Se desplegará la lista completa de cuentas de usuario disponibles en el sistema (muchas de las cuales te resultarán desconocidas y son creadas por el sistema operativo para diferentes cuestiones) y deberás darle doble click a la cuenta de usuario a la que querés permitirle el acceso. Así, verás que se agrega a la lista de usuarios con acceso remoto permitido, aceptás todas las ventanas abiertas y paso concluído. Tené en cuenta que la cuenta de usuario elegida debe tener contraseña sí o sí. Si no la tiene, tenés que crearle una desde el Panel de Control, Cuentas de Usuario, etc…
  • Aplicar y aceptar la ventana de Configuración avanzada del sistema.

Ahora vamos a darle una vuelta de tuerca a la seguridad, porque si lo dejás como está, dejaste la puerta abierta a cualquier paparulo que quisiera hacer un daño, aún sin demasiados conocimientos.

Las conexiones a través de internet utilizan canales que se llaman puertos. Aplicaciones y protocolos estandar utilizan, por default, puertos tambien estandar. Por ejemplo, la navegación web no cifrada usa el puerto 80, las conexiones FTP el puerto 21, Telnet el 23, etc. Escritorio Remoto de Windows usa por default el puerto 3389. Esto es así, porque en épocas más inocentes de la Internet, se establecían protocolos normalizados para que sin mayores vueltas cualquiera pudiera conectarse usando un servicio determinado sin morir en el intento. Pero esas épocas terminaron casi al mismo tiempo de nacer, porque los hackers existieron incluso antes que el www. Y es que existen en la red infinidad de robots que escanean incansablemente los puertos estandar de los protocolos más usados y, cuando encuentran una computadora que los atiende en ese puerto, empiezan a bombardearla con intentos de acceso de todo tipo hasta que, por fallas de seguridad, habilidad, ingenio, inteligencia o pura tozudez, rompen la puerta y entran. Cambiar el número de puerto estandar por otro cualquiera será entonces una primera medida para reforzar la seguridad. Tambien hay robots que escanean todos los puertos posibles, pero sus chances bajan y el tiempo que consumen para lograr su cometido hacen que en general sean orientados a objetivos muy específicos. Dicho lo cual, vamos a cambiar el puerto del escritorio remoto de Windows:

  • Tocar simultáneamente las teclas WINDOWS y R. Se abre una ventana en la que escribimos regedit y le damos enter.
  • Se abre el editor del registro de Windows. En el interminable árbol de claves tenés que ir a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber. –No voy a dar mayores datos sobre como llegar hasta allí porque quien sabe usar regedit no tendrá problemas y quien no sabe usarlo no debería hacerlo porque el daño provocado por un error en la edición del registro de Windows podría ser catastrófico para el sistema-.
  • Darle entonces doble click a PortNumber, tildar la opción Decimal y remplazar el 3389 por cualquier otro número. Por ejemplo 49833. Podría ser cualquier otro puerto no utilizado por otros servicios de Windows. Una rápida búsqueda en Google puede ayudarte a elegir un puerto disponible. Aceptar, cerrar regedit y reiniciar el equipo.

Reiniciado el equipo, no te ilusiones porque falta bastante. Una importante barrera a las intrusiones no deseadas se llama Firewall. Este firewall se encarga de dejar pasar o no las conexiones a través de la red de acuerdo a como está configurado. Habrá que decirle entonces que deje pasar las conexiones remotas que vengan por el puerto (siguiendo el ejemplo) 49833

  • Entrá al Panel de Control y luego al Firewall de Windows
  • Sobre la izquierda, dale click a Configuración Avanzada y luego Reglas de Entrada
  • Ahora, sobre la columna de la derecha, dale click a Nueva regla.
  • En la ventana que se abre, tildá Puerto y dale click a Siguiente
  • Dejá tildado TCP y en puertos locales específicos, ingresá el numero de puerto que le asignaste a PortNumber en el registro de Windows (según nuestro ejemplo, seria 49833) y dale click a Siguiente
  • En la próxima ventana, fijate que esté tildado Permitir la conexión y dale click a Siguiente
  • Una ventana más en la que podés dejar Dominio, Privado y Público tildados. Como no se supone que la computadora de la oficina vaya a mudarse a otra red, dejálo así. Dale click a Siguiente
  • La última ventana permite que le des un nombre y una descripción a la regla que acabas de crear. Poné lo que se te antoje. Podría ser «Entrada RDP» y en descripción el número de puerto que asignaste, pero como es sólo informativo, es lo mismo…. Click a Finalizar y cerrá todas las ventanas abiertas que fueron quedando en el camino.

Hecho todo lo anterior, ahora tenemos que saber la dirección de esta computadora para poder conectarnos desde nuestra casa. Tambien es fácil, pero lleva una serie de pasos. Asumimos que la computadora del trabajo está conectada a una red de la oficina en la que todos los equipos se terminan conectando a un router que le da la conexión a Internet y con eso, al exterior. Entonces, cuando desde tu casa quieras conectarte, harás el camino inverso, primero te vas a conectar con el router de la oficina que, por el número de puerto de tu conexión deberá saber a cual de todas las computadoras querés entrar. Como si llamaras telefónicamente y debieras marcar el número de interno para que la centralita derive tu llamada al puesto correcto. Allá vamos…

  • Primero deberías saber cual es el «número de interno» que le corresponde a esta computadora y asegurarte de que no vaya a cambiar. En realidad, esta sería la IP que el router de la oficina le ha asignado a este equipo. Tecleá WINDOWS+R y en la ventana Ejecutar, tipeá cmd y dale enter. Cuando se abre la ventana (normalmente negra) tipo DOS, escribí ipconfig y dale enter. Te va a aparecer una lista de todos los adaptadores de red (Ethernet y Wifi) que tiene el equipo con una serie de números en cada uno. Fijate cuál es el adaptador que conecta la compu a la red: si está por cable será Ethernet y si esta por Wifi… bueno, será Wifi. En los números correspondientes a ese adaptador, tomá nota del indicado como Dirección IPv4. Será algo así como 192.168.x.x. Anotate tambien el numero que aparece como Puerta de enlace predeterminada.
  • Como este número podría cambiar ante un reinicio el equipo o del router, nos vamos a asegurar de que esto no suceda. Tecleá WINDOWS+R, escribí control en la ventanita y dale enter. Cuando se abra el Panel de Control, entrá a Centro de Redes y Recursos Compartidos. Sobre la izquierda, andá a Cambiar configuración del adaptador. Buscá el icono que corresponde a la conexión del equipo (Ethernet o Wifi) y dale click derecho e ingresá en Propiedades. En la ventana de propiedades, marca con un click Protocolo de Internet versión 4 (según que Windows tengas puede aparecer como TCP/IPv4 tambien…) y dale click al botón Propiedades. En la siguiente ventana vas a tildar Usar la siguiente dirección y vás a completar como dirección IP el número que anotaste en el paso anterior (192.168…..), como máscara de subred podés dejar la que aparezca automáticamente (por lo general es 255.255.255.0) y como puerta de enlace predeterminada, tambien la que anotaste antes. El recuadro de DNS podés dejarlo en automático, si tu Windows lo permite, o completarlo con las direcciones 8.8.8.8 como DNS principal y 8.8.4.4 como DNS secundario o alternativo (estos son los servidores de nombres de Google, normalmente más estables y completos que los que ofrezca tu proveedor de Internet).
  • Aceptá y cerrá todas las ventanas que fueron quedando abiertas, Panel de Control incluído.

Hasta acá, terminaste de configurar la computadora del trabajo para que reciba conexiones de escritorio remoto. Pero antes te comenté que, como con una llamada telefónica, la central debe saber a qué puesto derivar tu llamada. Asi como cuando instalan una central telefónica deben programarla para que haga lo que hace, tendrás que configurar el router para que mande tu conexión de escritorio remoto a la computadora correcta. Para esto tenés que conocer varios datos. Primero, cuál es la dirección del router para poder entrar a configurarlo. Salvo configuraciones excepcionales de seguridad, debería ser el número que anotaste como Puerta de enlace predeterminada. Luego necesitarás saber el usuario y la contraseña necesarios para acceder a la interfase de configuración. Y acá es dónde se presentan un montón de posibles variantes.

  • Si tu oficina tiene un módem del proveedor de internet conectado a un router propio (TP-LINK, Cisco, 3COM, Encore, Tesla, D-LINK, Linksys…..) quien lo instaló deberá proveerte el usuario y la clave. Si nunca nadie configuró esos datos (desaconsejable 100%, pero pasa muy a menudo…) , podés buscar en Google cuales trae de fábrica según tu marca y modelo de router.
  • Si tu oficina tiene un router provisto por el proveedor de internet se abren otras tantas variables… podés llamar al proveedor para pedirle los datos de acceso a la configuración de router, pero en la mayoría de los casos no te los van a dar. Probar no cuesta mas que tiempo perdido, pero mejor tener un plan B. Con la marca y modelo de router, y el nombre del proveedor del servicio, buscá en Google… por ejemplo buscá «Fibertel SAGEMCOM Fast 3890 y probá con los resultados que encuentres. En este ejemplo vas a encontrar usuario «admin» y clave «f4st3890». Pero podría ser otro modelo y proveedor. Tambien puede darse que tengas uno de los más modernos equipos que han instalado los proveedores de internet y, por ejemplo en el caso de Fibertel, ya no te permiten hacer demasiadas configuraciones. En este caso la única solución es ir a comprarte un router tuyo y pedir a Fibertel que te configuren el aparato de ellos en modo BRIDGE.
  • Ahora, habiendo tanta variedad de posibles proveedores de Internet y marcas y modelos de routers que se configuran de diferente forma, sólo voy a explicarte qué es lo que tenés que hacer en el router. Los pasos específicos para tu marca y modelo deberás googlearlos porque pretendo terminar de escribir esta nota antes de que mis nietos tengan nietos….
  • Básicamente tenés que derivar el puerto RDP que elegiste (en nuestro ejemplo, el 49833) a la dirección IP que le asignaste a la computadora con la que te querés conectar. En general esto se hace desde una opción llamada Port Forwarding o Virtual Servers dentro del router.

Si llegaste hasta acá y sobreviviste, no pierdas las esperanzas porque falta poco. Ya configuraste la computadora del trabajo para que acepte las conexiones de escritorio remoto, le cambiaste el puerto por default, autorizaste al usuario que va conectarse, permitiste el paso de las conexiones a través del firewall de Windows y configuraste el router de la oficina para que derive tu conexión al equipo correcto. Bravo!. Pero… como me conecto desde mi casa al router de la oficina? Fácil: volviendo a la metáfora de la llamada telefónica, sólo tenés que saber el número de teléfono del router. En nuestro caso, eso se llama IP pública o externa y conocerla es bien fácil.

  • Abrí cualquier navegador y andá a https://www.whatismyip.com/es/. Verás un cartel en el que dice Su IPv4 pública es XXX.XXX.XXX.XXX. Ese valor es el dato que necesitás para conectarte desde tu casa.

Si ahora, en la computadora de tu casa abrieras Conexion a Escritorio Remoto y, en Equipo, escribís XXX.XXX.XXX.XXX:49833 (siendo XXX.XXX.XXX.XXX la IP pública que acabás de anotar y 49833 el puerto que le asignaste al escritorio remoto de la compu de tu oficina), se conectará y te pedirá el usuario y la clave. A continuación, estarás trabajando en desde tu casa como si estuvieses sentado en tu compu del trabajo. Bravo 2!

Pero… a menos que en tu oficina tengan contratado un servicio de provisión de Internet que asegure una IP pública FIJA, ésta podría variar cada tanto y ya no podrías conectarte. No te suicides ahora (la cuarentena promete ser larga y seguramente encontrarás mejores motivos para hacerlo…) porque esto tambien tiene solución. Existen servicios como https://dyn.com/, https://www.noip.com/ y otros que asignan direcciones web a una ip publica y se actualizan cuando la ip de la oficina cambia. Sobre esto vas a encontrar muchísimos tutoriales en la web, así que me libero de mayores responsabilidades y lo dejo en tus manos.

Usando alguno de estos servicios, en Conexión a Escritorio Remoto ya nos vas a tener que poner la ip pública que cada tanto podría variar y dejarte desconectado, sino siempre la misma dirección web y tu puerto (algo asi como mioficina.dyndns.org:49833 o parecidas….).

Mucho antes de llegar a la mitad de todo esto, la mayoría tiró la toalla y compró la licencia de TeamViewer, pero si no es tu caso y lograste llevar adelante toda la configuración y trabajar mediante el escritorio remoto, antes de descorchar el champagne tené en cuenta que asi cómo está, la seguridad de la conexión -con el puerto cambiado y la contraseña y todo- sigue haciendo agua por todos lados. Es una conexión no cifrada que cualquier pillo al que le interese podría interceptar y, si el interés fuese el suficiente, tambien podrían forzar el acceso la computadora de tu oficina y hacer con ella lo que se les cante. Ya que demostraste tanto entusiasmo en llegar a esta cima intermedia, deberías configurar una VPN (una red privada virtual) en la oficina y luego usar tu conexión a escritorio remoto a través de ella. Hay muchísimas posibilidades de VPN: desde la integrada de Windows (y la de Windows 10 es muy estable, permite múltiples protocolos de seguridad y cifrado y bastante simple de implementar) hasta versiones de software comercial caro y complejo. Otra vez, en Google encontrarás mucha más info que la necesaria para configurar tu propia VPN. O quizás haga un tutorial yo mismo en breve…

Consejos adicionales

  • Si estás usando versiones de Windows anteriores a Windows 10, tené en cuenta que ya dejaron de recibir actualizaciones de seguridad, sus protocolos están obsoletos y las probabilidades de una intrusión no deseada son considerablemente altas. Exponer un equipo a Internet permitiendo, como en este caso, las conexiones remotas, es inseguro de por sí independientemente de las medidas de seguridad que se tomen. Por eso es sumamente importante que mantengas siempre el equipo actualizado con los últimos upgrades disponibles para tu versión, el firewall activo y bien configurado y el antivirus al día.
  • Cuando configures el Port Forwarding en el router de tu oficina, podés restringir bastante los accesos no deseados remplazando los valores de IP externa (normalmente 0.0.0.0, que significa que se puede entrar desde CUALQUIER IP) por la ip pública de tu casa. Esto limitaria la conexión sólo a equipos que estén físicamente en tu domicilio, pero si en tu casa tenes un servicio con IP dinámica (y es de lo más probable) cuando tu proveedor de Internet te cambie la IP, no te podrás volver a conectar hasta que actualices ese valor en el router. Hay quienes recomiendan configurar Ip dentro del mismo rango (por ejemplo, si la IP publica de tu casa es 24.87.65.190, poner en el router valores para ip externa de 24.87.65.1 a 24.87.65.255), esperanzados en que los proveedores suelen asignar IPs siempre dentro del mismo rango, pero en la práctica suele no ser así.
  • SIEMPRE que dejes de trabajar en la conexión remota, recordá CERRAR Conexión a escritorio remoto. No son raros los casos de quienes dejan la sesión abierta y algún niño en la casa se sienta a jugar en la compu y termina estropeando el equipo de la empresa pensando que estaba en la notebook de papá.
  • Limitá el uso de la sesión de escritorio remoto estrictamente a lo laboral. Ponerte a descargar cracks para juegos, la discografía de Arjona o una versión pirata del Illustrator en la computadora remota podría meterle un virus o dañar la configuración de una computadora a la luego no podrás acceder para repararla. Y cuando quieras hacer alguna trapisonda en tu computadora, asegurate de haber cerrado antes la conexión a escritorio remoto.
  • Recordá cerrar las aplicaciones que uses en la computadora remota antes de desconectarte. Dejar descuidadas aplicaciones de gestión con acceso a bases de datos puede provocar, ante cualquier eventualidad, el daño de registros por conexiones mal cerradas. Tené presente además que, como si Internet fuese un caño de agua, dejar canillas abiertas innecesariamente limita la disponibilidad para el resto de los usuarios.

Salute!

Gracias por compartir!

Más historias

No hagas caso! No quites la KB5074109 ni dejes de actualizar Windows!!

No hagas caso! No quites la KB5074109 ni dejes de actualizar Windows!!

JADM 28 enero, 2026
Volvieron los cortes de electricidad! Riesgos en entornos informáticos

⚠️ Volvieron los cortes de electricidad! Riesgos en entornos informáticos

JADM 16 enero, 2026
Ampliar la RAM pagando precios ridículos u optimizar el uso de la que tenemos?

Ampliar la RAM a precios ridículos u optimizar el uso de la que tenemos?

JADM 15 enero, 2026

Te pueden interesar

ablet Chuwi UBook XPro: no todo lo de China es Temu

📦 Tablet Chuwi UBook XPro: no todo lo de China es Temu

JADM 31 enero, 2026
No hagas caso! No quites la KB5074109 ni dejes de actualizar Windows!!

No hagas caso! No quites la KB5074109 ni dejes de actualizar Windows!!

JADM 28 enero, 2026
Amarillismo informático: exageración de problemas y sobrevaloración de virtudes

📰 Amarillismo informático: exageración de problemas y sobrevaloración de virtudes

JADM 24 enero, 2026
Ya no podés descargar correos de otras cuentas en Gmail

📩 Ya no podés descargar correos de otras cuentas en Gmail

JADM 22 enero, 2026
Windows 11 – Actualización KB5074109 y parche correctivo de enero 2026

🖥️ Windows 11 – Actualización KB5074109 y parche correctivo de enero 2026

JADM 21 enero, 2026