Categoría Ciberseguridad Seguridad TIC
Categoría Ciberseguridad / Seguridad / TIC

Desactiva escritorio remoto

Cómo desactivar el Escritorio remoto de Windows: guía completa de seguridad

El protocolo RDP (Remote Desktop Protocol) ha sido una herramienta fundamental en Windows desde Windows XP Professional, permitiendo el control remoto completo de un PC como si estuvieras sentado frente a él. Durante más de dos décadas, esta funcionalidad facilitó el trabajo remoto, el soporte técnico y la administración de servidores. Sin embargo, también se convirtió en uno de los vectores de ataque más explotados por ciberdelincuentes.

Hoy, en 2026, la amenaza persiste y se ha intensificado. Grupos de ransomware como LockBit, Conti, Hive, PYSA, Crysis, SamSam y Dharma han utilizado RDP mal configurado o expuesto a Internet como puerta de entrada inicial para comprometer redes enteras. Microsoft ha respondido con medidas de seguridad adicionales, pero la responsabilidad fundamental sigue recayendo en el usuario: si no usas Escritorio remoto, desactívalo por completo.

¿Por qué desactivar el Escritorio remoto?

RDP es una herramienta extremadamente potente: otorga control total sobre una computadora, incluyendo acceso a archivos, aplicaciones, configuraciones del sistema y la capacidad de instalar malware. Cuando está expuesto a Internet (puerto 3389 abierto), se convierte en un blanco visible y constante para ataques automatizados de fuerza bruta.

Contexto histórico: En los años 2010, los ataques contra RDP eran relativamente sofisticados. Hoy, son masivos y automatizados. Botnets escanean constantemente Internet en busca del puerto 3389 abierto. Una vez detectado, intentan credenciales por defecto, contraseñas débiles o explotan vulnerabilidades conocidas en sistemas sin parchear como BlueKeep (Windows 7/Server 2008) o DejaBlue (Windows 8/10 antiguos).

En 2026: Microsoft introdujo en abril de 2026 nuevas advertencias de seguridad al abrir archivos .rdp, ya que los ciberdelincuentes han comenzado a distribuir archivos RDP maliciosos mediante phishing para conectar víctimas a servidores controlados por atacantes.

Regla de oro: Si no necesitas acceso remoto a tu PC, desactiva Escritorio remoto por completo y bloquea el puerto 3389 en todos los niveles.

Requisitos de edición: una aclaración importante

Windows 11 Home no puede habilitar Escritorio remoto como host. Solo puede conectarse a otros PCs como cliente. Las ediciones que permiten recibir conexiones remotas son Pro, Enterprise y Education. Si tienes Windows 11 Home, el riesgo de que tu PC esté expuesto como host RDP es nulo, pero aún así conviene verificar que no haya software de terceros (AnyDesk, TeamViewer) activo.

Métodos para desactivar el Escritorio remoto

Desactivar Escritorio remoto no es solo mover un deslizador. Para una protección real, debes actuar en múltiples capas: sistema operativo, registro, firewall y router.

Método 1: Desde Configuración (capa básica)

  1. Presiona Win + I para abrir Configuración.
  2. Ve a Sistema > Escritorio remoto.
  3. Desactiva el deslizador Habilitar Escritorio remoto.
  4. Confirma la advertencia de seguridad.

Limitación: Esto desactiva el servicio RDP, pero no cierra el puerto 3389 en el firewall ni en el router.

Método 2: Desde el Panel de control (método clásico)

  1. Abre el Panel de control y selecciona Sistema y seguridad > Sistema.
  2. Haz clic en Configuración avanzada del sistema.
  3. En la pestaña Acceso remoto, selecciona No permitir conexiones remotas a este equipo.
  4. Desmarca también Permitir Asistencia remota a este equipo.
  5. Haz clic en Aplicar y Aceptar.

Método 3: Desde el Registro de Windows (método permanente)

  1. Presiona Win + R, escribe regedit y pulsa Intro.
  2. Navega a:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  3. Busca el valor fDenyTSConnections.
  4. Cambia el valor de datos de 0 a 1.
  5. Reinicia el equipo.

Advertencia: Modificar el registro es arriesgado. Haz una copia de seguridad antes (Archivo > Exportar).

Método 4: Desde PowerShell (administrador)

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 1
Enable-NetFirewallRule -DisplayGroup "Remote Desktop" # Deshabilita las reglas del firewall

Método 5: Desde Directiva de grupo (Windows 11 Pro/Enterprise)

  1. Presiona Win + R, escribe gpedit.msc y pulsa Intro.
  2. Navega a:
    Configuración del equipo > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio Remoto > Host de sesión de Escritorio Remoto > Conexiones
  3. Haz doble clic en Permitir que los usuarios se conecten de forma remota mediante los Servicios de Escritorio Remoto.
  4. Selecciona Deshabilitado.
  5. Haz clic en Aplicar y Aceptar.

Método 6: Desactivar el servicio de Escritorio remoto

  1. Presiona Win + R, escribe services.msc y pulsa Intro.
  2. Busca Servicios de Escritorio Remoto.
  3. Haz clic derecho > Propiedades.
  4. En Tipo de inicio, selecciona Deshabilitado.
  5. Haz clic en Aplicar y Aceptar.
  6. Reinicia el equipo.

Método 7: Bloquear el puerto 3389 en el Firewall de Windows

Incluso con RDP desactivado, el puerto 3389 puede seguir abierto en el firewall.

  1. Ve a Panel de control > Sistema y seguridad > Firewall de Windows Defender > Configuración avanzada.
  2. En Reglas de entrada, busca:
  • Escritorio Remoto (TCP-In)
  • Escritorio Remoto – Modo Usuario (TCP-In)
  • Escritorio Remoto – Modo Usuario (UDP-In)
  1. Haz clic derecho en cada una y selecciona Deshabilitar regla.

Método 8: Bloquear el puerto 3389 en el router

Muchos routers permiten el reenvío de puertos (Port Forwarding) que puede exponer RDP a Internet incluso con el servicio desactivado en Windows.

  1. Accede al panel de administración de tu router (normalmente 192.168.1.1 o 192.168.0.1).
  2. Busca Port Forwarding, NAT o Firewall.
  3. Localiza cualquier regla que redirija el puerto 3389 hacia tu PC.
  4. Elimina o deshabilita esas reglas.
  5. Guarda los cambios y reinicia el router.

Nota: Si no tienes acceso al router o no sabes si hay reglas de reenvío, usa una herramienta online como ShieldsUP! o un escaneo de puertos para verificar si el 3389 está visible desde Internet.

Desactivar la Asistencia remota

La Asistencia remota es una tecnología distinta de RDP, pero también puede representar un riesgo si está habilitada.

  1. Abre el Panel de control > Sistema y seguridad > Sistema.
  2. Haz clic en Configuración remota.
  3. Desmarca Permitir Asistencia remota a este equipo.
  4. Asegúrate de que RDP también esté desactivado en la misma ventana.
  5. Ve al Firewall de Windows > Permitir una aplicación a través del Firewall.
  6. Desmarca las casillas Privada y Pública junto a Asistencia remota.

Listado comparativo: Seguridad de RDP en la evolución de Windows

Desactivación de Escritorio remoto

  • En Windows XP/7: Panel de control > Sistema > Remoto. Sin protecciones automáticas contra fuerza bruta.
  • En Windows 10: Configuración > Sistema > Escritorio remoto. Introducción de NLA (Autenticación a nivel de red).
  • En Windows 11: Mismo mecanismo; añadido bloqueo de cuentas tras intentos fallidos (si se configura política de bloqueo). Nuevas advertencias de seguridad para archivos .rdp en abril de 2026.
  • En Linux: No hay RDP nativo; equivalentes como xrdp requieren configuración manual y desactivación de servicios systemd.
  • En macOS: Compartir pantalla en Preferencias del Sistema > Compartir. Se desactiva desmarcando la opción.

Protección contra ataques de fuerza bruta

  • En Windows 7/8: Sin protección nativa. Vulnerabilidades BlueKeep y DejaBlue en sistemas sin parchear.
  • En Windows 10/11: NLA obligatoria en configuraciones recomendadas. Políticas de bloqueo de cuenta configurables vía Directiva de grupo.
  • En 2026: Microsoft recomienda MFA, VPN y nunca exponer RDP directamente a Internet.

Aplicaciones de acceso remoto de Microsoft

  • En 2012-2025: App «Escritorio remoto» en Microsoft Store.
  • En 2025: Microsoft anuncia retirada de la app Escritorio remoto.
  • En 2026: Soporte terminado el 27 de marzo de 2026. Reemplazada por Windows App para RDP, Windows 365 y Azure Virtual Desktop.

Medidas de seguridad adicionales si necesitas usar RDP

Si, a pesar de los riesgos, necesitas mantener RDP activo, implementa como mínimo estas medidas:

  1. Autenticación multifactor (MFA): Añade una segunda capa de verificación más allá de la contraseña. Reduce el riesgo de compromiso en más del 99%.
  2. VPN obligatoria: Nunca expongas RDP directamente a Internet. Conéctate primero a una VPN y luego usa RDP dentro de la red privada.
  3. Autenticación a nivel de red (NLA): Obliga a autenticarse antes de establecer la sesión completa. Actívala en Configuración avanzada del sistema > Acceso remoto.
  4. Política de bloqueo de cuentas: Configura bloqueo tras 3-5 intentos fallidos para detener ataques de fuerza bruta.
  5. Contraseñas fuertes y únicas: Mínimo 14 caracteres, sin reutilización entre cuentas.
  6. Cambiar el puerto por defecto (3389): Aunque no es seguridad por oscuridad, reduce los escaneos automatizados.
  7. Auditoría de logs: Revisa regularmente los registros de eventos de Windows en busca de conexiones sospechosas.
  8. Mantén el sistema actualizado: Vulnerabilidades como BlueKeep afectan sistemas sin parchear. Windows 7 y 8.1 ya no reciben actualizaciones de seguridad.

Conclusión

Desactivar el Escritorio remoto no es solo mover un deslizador en Configuración. Para una protección real, debes desactivar el servicio, cerrar el puerto 3389 en el firewall de Windows, eliminar las reglas de reenvío de puertos en el router y, si es necesario, desactivar también la Asistencia remota.

El riesgo de dejar RDP expuesto ha crecido exponencialmente desde la era de Windows XP. Los ataques automatizados son constantes, y un solo sistema mal configurado puede comprometer toda una red. Si no necesitas acceso remoto, desactívalo por completo. Si lo necesitas, protégelo con MFA, VPN, NLA y monitoreo constante. La conveniencia nunca debe superar a la seguridad.

Ciberseguridad Windows