Los archivos del Protocolo de Escritorio Remoto (RDP) se utilizan comúnmente en entornos empresariales para agilizar las conexiones a sistemas remotos. Los administradores pueden preconfigurar estos archivos para redirigir automáticamente recursos locales al host remoto. Sin embargo, los actores de amenazas han explotado cada vez más esta funcionalidad en campañas de phishing. El grupo de hackers APT29, patrocinado por el estado ruso, ha utilizado previamente archivos RDP maliciosos para exfiltrar datos y credenciales de forma remota de las víctimas. Al abrirse, estos archivos maliciosos se conectan a sistemas controlados por el atacante y redirigen unidades locales, otorgando acceso no autorizado a archivos y credenciales almacenados en el disco. Los atacantes también pueden interceptar datos del portapapeles, como contraseñas y texto sensible, o redirigir mecanismos de autenticación como tarjetas inteligentes o Windows Hello para suplantar a los usuarios. ## Nuevas Protecciones para RDP se Implementan Como parte de las actualizaciones acumulativas de abril de 2026 para Windows 10 (KB5082200) y Windows 11 (KB5083769 y KB5082052), Microsoft ha introducido nuevas protecciones diseñadas para prevenir la explotación de archivos de conexión RDP maliciosos. "Los actores maliciosos abusan de esta capacidad enviando archivos RDP a través de correos electrónicos de phishing", advierte Microsoft. "Cuando una víctima abre el archivo, su dispositivo se conecta silenciosamente a un servidor controlado por el atacante y comparte recursos locales, lo que le da al atacante acceso a archivos, credenciales y más." Después de instalar la actualización, los usuarios encontrarán un aviso educativo único al abrir un archivo RDP por primera vez. Este aviso explica la naturaleza de los archivos RDP y resalta los riesgos potenciales. Los usuarios deben confirmar que comprenden los riesgos para continuar, evitando que la alerta aparezca nuevamente.  Los intentos futuros de abrir archivos RDP activarán un diálogo de seguridad antes de que se establezca cualquier conexión. Este diálogo muestra información sobre si el archivo RDP está firmado por un editor verificado, la dirección del sistema remoto y enumera todas las redirecciones de recursos locales (unidades, portapapeles, dispositivos), con todas las opciones deshabilitadas por defecto. Si un archivo carece de firma digital, Windows muestra una advertencia "Precaución: Conexión remota desconocida", indicando que el editor no puede ser verificado.  Incluso si el archivo RDP está firmado digitalmente, Windows mostrará el editor pero aún así aconsejará a los usuarios verificar su legitimidad antes de conectarse. Estas nuevas protecciones se aplican exclusivamente a las conexiones iniciadas al abrir archivos RDP, y no a las conexiones realizadas directamente a través del cliente Windows Remote Desktop. Los administradores pueden deshabilitar temporalmente estas protecciones modificando el valor RedirectionWarningDialogVersion en la clave del Registro HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client, estableciéndolo en 1. Sin embargo, dado el abuso histórico de los archivos RDP en ataques, se recomienda encarecidamente mantener estas protecciones.