Escritorio Remoto es una de las mejores herramientas que incluye Windows. Esta permite a los usuarios conectarse de forma remota a otros ordenadores sin necesidad de configuraciones y sin usar software de terceros como VNC o TeamViewer. Esta función es exclusiva de los usuarios de Windows 10/11 Pro, aunque los usuarios de la edición Home pueden recibir soporte remoto sin problemas. Sin embargo, tener RDP activado si no vamos a usarlo puede ser peligroso, ya que puede ser utilizado como puerta de acceso para piratas informáticos que intenten conectarse sin permiso a nuestro PC.
El Escritorio Remoto se puede activar y desactivar fácilmente desde la configuración avanzada del sistema. De esta forma, cuando no vayamos a utilizarlo podemos dejarlo desactivado, estando protegidos de BlueKeep y GoldBrute, entre otras amenazas. Cuando lo necesitemos, lo activaremos de la misma forma. Por defecto, esta función de Windows se encuentra desactivada, por lo que, si nunca la hemos activado, no hace falta que la desactivemos.
Esta herramienta nos permite controlar, como si estuviéramos sentados en nuestra silla, nuestro ordenador a través de Internet. Podemos conectarnos a nuestro ordenador desde cualquier lugar, tanto desde otros ordenadores como desde nuestros smartphones. También nos permite acceder a todos los archivos almacenados en su interior y ejecutar cualquier aplicación.
El programa de Microsoft es muy rápido y sencillo, lo que le hace ideal para los usuarios que no necesitan herramientas adicionales ni quieren complicarse. Escritorio Remoto nos permite realizar las funciones que podemos hacer con aplicaciones como TeamViewer una de las más veteranas del mercado. Sin embargo, a estar limitada a la versión Pro de Windows, no es tan fácil de utilizar para los usuarios ya que la mayoría de los usuarios domésticos, utilizan la versión Home de Windows.
Consejos de seguridad para usar Escritorio Remoto
El Escritorio Remoto de Windows puede ser muy útil, pero si no lo usamos con precaución puede poner nuestro PC en peligro. Lo primero que debemos tener en cuenta es que, si lo activamos, cualquier usuario que tenga nuestra IP podrá conectarse a nuestro ordenador. O al menos intentarlo. Por lo tanto, para evitar que esto ocurra, uno de los aspectos más importantes que debemos cuidar son las cuentas de usuario. Aunque un usuario pueda conectarse a nuestro PC, no podrá hacer nada si no conoce el usuario y la contraseña de Windows. Por lo tanto, cuanto más seguro sea esto, más podremos despreocuparnos de que alguien pueda tomar el control de nuestro PC.
También si compartimos el PC con otras personas, podemos configurar RDP para indicarle qué usuarios podrán conectarse a través de este protocolo. Así, con proteger el usuario principal, si los demás usan contraseñas inseguras no pondrán en riesgo el PC.
Normalmente los usuarios suelen activar o desactivar esta función una vez y se olvidan de ella. Especialmente porque su opción está un poco escondida. Sin embargo, si solemos necesitarla a menudo, es posible activar y desactivar esta herramienta de forma mucho más rápida y sencilla. A continuación, os explicamos cómo hacerlo utilizando simplemente PowerShell, la consola de administración de Microsoft. Y también de otras formas que nos ofrece Windows.
Activar y desactivar desde PowerShell
Este método es válido tanto para Windows 10 como para Windows 11. Eso sí, debemos asegurarnos de que tenemos instalada (y activada) la edición Pro del sistema operativo.
Lo primero que tenemos que hacer para llevar a cabo esta configuración es abrir una ventana de PowerShell con permisos de Administrador en el ordenador. Para ello usaremos el buscador de Windows, escribiendo «PowerShell» en este recuadro y pulsaremos con el botón derecho sobre la entrada «Windows PowerShell» para abrirlo como administrador.
Una vez tengamos la ventana abierta, ejecutaremos el siguiente comando en ella:
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server'-name "fDenyTSConnections" -Value 0
Este comando se encarga de cambiar en el registro de Windows la entrada «fDenyTSConnections», encargada de denegar las conexiones no autorizadas, por «0», para que no deniegue ninguna.
Una vez hecho esto, el siguiente comando que ejecutaremos será el siguiente, que configurará el firewall del PC para permitir las conexiones remotas:
Enable-NetFirewallRule -DisplayGroup "Escritorio Remoto"
A partir de ahora, ya podremos usar sin problemas el Escritorio Remoto en Windows, conectándonos de forma remota a nuestro PC desde cualquier cliente RDP.
En caso de querer dar marcha atrás y desactivar RDP desde la misma consola de PowerShell, el proceso que debemos seguir es el inverso. Para ello, volveremos a abrir la ventana del terminal con permisos de Administrador, y ejecutaremos en primer lugar el siguiente comando:
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server'-name "fDenyTSConnections" -Value 1
Una vez hecho esto, configuraremos de nuevo el firewall de Windows para que bloquee automáticamente las conexiones de RDP mediante el siguiente comando:
Disable-NetFirewallRule -DisplayGroup "Escritorio Remoto"
Listo. A partir de ahora todas las conexiones de Escritorio Remoto estarán bloqueadas en nuestro ordenador. Utilizar la línea de comandos de PowerShell es una interesante opción para los usuarios más avanzados y que quieren realizar este proceso en diferentes equipos de forma remota de forma conjunta (en empresas). Sin embargo, si no tenemos conocimientos suficientes y no queremos meter la pata, lo mejor que podemos hacer es utilizar la interfaz gráfica de Windows para así realizar el proceso de una forma mucho más clara y sencilla evitando cometer algún problema con los comandos que pueda poner en jaque la integridad de nuestro equipo.
Activar o desactivar RDP en Windows 10
Además de este sencillo comando de PowerShell, el Escritorio Remoto de Windows 10 también se puede activar o desactivar de otras formas más gráficas.
Desde Configuración
Windows 10 ha introducido un apartado específico dentro del panel de Configuración desde el que podremos activar o desactivar fácilmente el Escritorio Remoto. Para ello, simplemente debemos abrir el menú de Configuración de Windows (tecla Win + I), e ir al apartado Sistema > Escritorio Remoto.
Aquí podremos ver un interruptor que nos permitirá activar o desactivar fácilmente esta característica. Y así, además de poder activarlo solo cuando lo necesitemos, no tendremos que movernos por otros apartados.
Desde Propiedades del sistema
Y, por supuesto, también tenemos el apartado clásico de siempre para activar y desactivar RDP en Windows 10. Para ello, lo que debemos hacer es abrir las propiedades del sistema (botón derecho sobre «Este equipo > Propiedades»), entrar en la configuración avanzada de Windows y, dentro del apartado «Acceso remoto» encontraremos la posibilidad de activar o desactivar esta función.
El resultado, lo hagamos como lo hagamos, es el mismo. Por lo tanto, podemos usar el menú de Configuración, las propiedades del sistema o PowerShell, lo que nos resulte más cómodo, para activar o desactivar esta característica de Windows.
Cómo hacerlo en Windows 11
Windows 11, por supuesto, también cuenta con su correspondiente Escritorio Remoto. Sin embargo, la forma de activarlo y desactivarlo es algo diferente, ya que muchas de las características de Windows 10 se han llevado dentro del panel de Configuración del sistema operativo. Entre ellas, la ventana de Propiedades de Este equipo.
Por ello, la única forma que tenemos de llevar a cabo esta configuración (además de hacerlo desde PowerShell) es a través del menú de Configuración. Para ello, lo abrimos usando el atajo de teclado Win + I, y nos situaremos en el apartado Sistema > Escritorio remoto.
Como podemos ver aquí nos aparecerá un interruptor desde el que podremos tanto activar como desactivar esta función de Windows. Una vez activada también podremos ver otras opciones para configurar el comportamiento de este escritorio remoto, como si queremos usar la autenticación a nivel de red, el puerto del escritorio remoto y el nombre del PC.
Por último, también vamos a poder configurar los usuarios que queremos que puedan hacer uso de este protocolo. De esta forma evitaremos que, si un usuario utiliza una contraseña débil, o simplemente no queremos que se pueda conectar al PC, pueda hacer uso de este Escritorio Remoto.
Cambiar el puerto en uso
Por defecto, Escritorio Remoto utiliza uno de los puertos clave reservados por Microsoft, el 3389. De esta forma nos aseguramos de que no hay otros programas que puedan interferir con él, y tampoco tenemos que abrir nada en el router al venir, casi siempre, ya abierto para poder usar esta característica. Pero esto puede ser un problema, ya que los piratas informáticos lo usarán para intentar conectarse a la fuerza a cualquier PC con este servicio habilitado.
Para comprobar qué puerto tenemos en uso dentro de Escritorio Remoto, lo que debemos hacer es abrir una ventana de PowerShell, tanto en Windows 10 como en Windows 11, y ejecutar el siguiente comando:
Como podemos ver, se usa por defecto el 3389. Pero podemos cambiarlo de dos formas. La primera de ellas es usar la misma ventana de PowerShell que tenemos abierta, y ejecutar el comando que mostramos a continuación, cambiando el número del puerto (en nuestro caso hemos puesto 52325) por el que queramos usar.
Y la otra forma de hacerlo, si no nos gustan los comandos, es mediante un cambio en el registro. Para ello debemos abrir la herramienta «regedit», que podemos encontrar por ese nombre en el buscador de Windows, e ir hasta la siguiente ruta:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Terminal Server>WinStations>RDP-Tcp
Allí debemos localizar una entrada llamada PortNumber. Hacemos doble clic sobre ella para abrirla, y podremos ver que, por defecto, viene el puerto predeterminado en hexadecimal. Hacemos clic en la opción «Decimal» para poder introducir el número normal, lo cambiamos, guardamos los cambios y listo.
Ya solo nos queda reiniciar el ordenador para poder empezar a usar ese nuevo puerto en Escritorio Remoto. Eso sí, antes de acabar debemos tener en cuenta varias cosas:
- No podemos usar ningún puerto entre el 0 y el 1023, ya que están todos reservados.
- Debemos asegurarnos de que el firewall no está bloqueando el puerto que hemos establecido.
- Para conexiones remotas, debemos abrir el puerto en el router, y apuntarlo a nuestro PC.
Para abrir el puerto en el firewall de Windows, hay un truco muy rápido y sencillo. Tan solo debemos abrir de nuevo una ventana de PowerShell, y ejecutar el siguiente comando (asegurándonos, claro, de cambiar el número del puerto):
New-NetFirewallRule -DisplayName 'RDPPORT_TCP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 52325
Y, acto seguido, el siguiente:
New-NetFirewallRule -DisplayName 'RDPPORT_UDP' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 52325
Tras reiniciar el PC, ya podremos usar sin problemas el Escritorio Remoto en Windows 10 y Windows 11 con el nuevo puerto que le hemos configurado.
Desactivar el escritorio remoto desde el Firewall
Otro método que también podemos utilizar para desactivar el Escritorio Remoto en Windows 10 y Windows 11, bueno, más bien para dejarlo inutilizado y que nadie pueda utilizar esta función pasa por bloquear esta aplicación en el Firewall de Windows. El Firewall de Windows es quien se encarga de permitir que las aplicaciones puedan conectarse a internet y que otras puedan hacerlo con nuestro equipo. Si una aplicación no se encuentra en el listado de excepciones del Firewall, nunca podrá conectarse a Internet. En este caso, si desactivamos la excepción que permite al Escritorio remoto conectarse a Internet, nadie ajeno a nuestra red podrá conectarse a nuestro equipo.
Aunque pueda parecer que se trata de un proceso largo y completo, podemos hacernos en menos de 1 minuto siguiendo los pasos que os mostramos a continuación. En primer lugar, debemos acceder al Firewall de Windows escribiendo en el cuadro de búsqueda la palabra Firewall y seleccionando el primer resultado que se muestra «Firewall de Windows Defender».
A continuación, en la ventana que se muestra, en la columna de la izquierda pulsamos en Permitir una aplicación o característica a través de Firewall de Windows Defender. En ese momento, se mostrarán todas las aplicaciones que tienen una excepción en el Firewall, es decir, que tienen acceso a Internet desde el equipo. Estas tienen las casillas Privada y Publica activada o de forma indistinta.
Para modificar el acceso del Escritorio remoto a Internet, en primer lugar, pulsamos en el botón Cambiar la configuración y a continuación debemos buscar la Escritorio remoto y Escritorio remoto (WebSocket) y desactivar la casilla Privada y Pública. Finalmente pulsamos en Aceptar para que los cambios se produzcan en el sistema. Si queremos utilizar la aplicación Escritorio remoto, a partir de este momento, esta no funcionará hasta que le demos permisos nuevamente a través del Firewall.
Solo podemos desactivar el acceso del Escritorio remoto a través del Firewall si estamos utilizando Microsoft Defender, el antivirus nativo de Windows. Si utilizamos un software antivirus de terceros, tendremos que realizar este proceso a través del Firewall que incluya nuestro antivirus.
Peligros al dejar Escritorio Remoto activado si no lo usamos
Tener siempre una conexión remota disponible en nuestro PC puede tener muchas ventajas, pero también puede ser peligroso. Para conectarnos a través de Escritorio Remoto a nuestro ordenador simplemente necesitamos conocer la IP pública de nuestro PC, algo que cualquiera puede obtener fácilmente. Es cierto que, cuando nos conectamos, lo primero que necesitamos es el usuario y la contraseña, y que sin ello no podremos hacer nada en el PC. Pero si usamos una clave débil o una contraseña insegura, en cuestión de minutos podrán tener acceso a nuestro PC.
Por ello, si vamos a dejar RDP activado es esencial:
- Usar una contraseña larga, segura y única para iniciar sesión (podemos activar Windows Hello para no tener que escribirla todo el rato).
- Controlar los usuarios que pueden, o no pueden, iniciar sesión.
- Contar con un sistema de autenticación a nivel de red (NLA), especialmente para empresas.
- Tener Windows actualizado siempre con los últimos parches para que no haya vulnerabilidades que puedan poner en jaque nuestra seguridad.
Y, si no vamos a usar RDP nunca, o por un tiempo, dejarlo desactivado para evitar problemas. La función de escritorio remoto de Windows sólo está disponible en las versiones Pro, para Educación y para Empresas, versiones que no son tan populares como la versión Home, versión que se encuentra instalada en el 90% de los ordenadores gestionados por Windows, por lo que, inicialmente, no vamos a tener ningún problema con esta función ya que nadie se podrá conectar de forma remota haciendo uso de esta función. Lo que si puede hacer los usuarios de Windows Home es conectarse de forma remota a otros ordenadores que si tengan esa opción.