¿Te gustaría ver el sitio en un idioma diferente?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Cambiar idioma
Índice

El Protocolo de Escritorio Remoto (RDP) es una de las formas más comunes de acceder a servidores y escritorios de Windows de forma remota. Está integrado en Windows, es ampliamente compatible con clientes de terceros y se utiliza con frecuencia para administración, soporte y trabajo remoto.

Pero cuando publicas el acceso remoto a los usuarios (o clientes), una pregunta rápidamente se vuelve crítica para la conectividad y la seguridad: ¿qué puertos utiliza RDP? En este artículo, desglosaremos los puertos predeterminados, los puertos "extra" que pueden aparecer dependiendo de tu configuración y qué hacer si deseas acceso remoto sin exponer el puerto 3389.

Puerto RDP predeterminado

Por defecto, RDP usa el puerto TCP 3389.

Ese es el puerto de escucha estándar en Windows para conexiones de Escritorio Remoto, y es el puerto que la mayoría de los firewalls y reglas NAT reenvían cuando alguien "abre RDP a Internet". Microsoft también registra el 3389 para servicios relacionados con RDP (ms-wbt-server) tanto para TCP como para UDP.

¿Está RDP siempre en el puerto 3389?

La mayor parte del tiempo, sí, pero no siempre. 3389 es el puerto predeterminado, lo que significa que una instalación estándar de Windows con Remote Desktop habilitado escuchará allí a menos que un administrador lo cambie. En entornos del mundo real, a menudo verás que RDP se mueve a un puerto diferente para reducir el ruido básico contra escaneos automatizados.

También verás el tráfico RDP aparecer utilizar otros puertos cuando se está utilizando un proxy o un túnel (por ejemplo, a través de un RD Gateway, VPN o un portal de acceso remoto).

El punto clave: sus usuarios pueden estar "usando RDP" sin conectarse directamente al 3389, dependiendo de cómo se publique el acceso remoto.

¿Por qué RDP utiliza tanto TCP como UDP?

RDP históricamente se basaba en TCP para una entrega confiable, pero el RDP moderno también puede usar UDP (típicamente en el mismo número de puerto, 3389) para mejorar la capacidad de respuesta. UDP ayuda en escenarios donde minimizar el retraso es importante: los movimientos del mouse, la escritura, el video y el audio pueden sentirse más fluidos porque UDP evita parte de la sobrecarga que TCP introduce cuando se pierden paquetes o necesitan retransmisión.

En la práctica, muchas configuraciones utilizan TCP como base y UDP como un impulso de rendimiento cuando la red lo permite. Si UDP está bloqueado, RDP generalmente sigue funcionando, solo que con un rendimiento reducido o una sensación de "retardo" en condiciones de red deficientes.

Comportamiento de UDP y puertos adicionales

Además de TCP 3389 RDP también puede implicar:

  • UDP 3389 – Utilizado por RDP para mejorar la capacidad de respuesta y reducir la latencia (cuando el transporte UDP está habilitado y permitido).
  • TCP 443 – Utilizado cuando te conectas a través de Remote Desktop Gateway (RDP encapsulado en HTTPS).
  • UDP 3391 – Comúnmente utilizado para “RDP sobre UDP” a través de RD Gateway (ruta de rendimiento a través del gateway).
  • TCP 135 / 139 / 445 – Puede aparecer en ciertos entornos para servicios de Windows relacionados y escenarios de redirección (por ejemplo, características dependientes de RPC/SMB).

Si su entorno RDP está detrás de un firewall, NAT o puerta de seguridad, a menudo necesitarás validar qué ruta RDP se está utilizando realmente (directa 3389 vs. puerta 443/3391) y asegurarte de que las políticas coincidan.

Lista de verificación rápida del firewall para puertos RDP

Para evitar la solución de problemas por prueba y error, confirme que ha permitido TCP 3389 (y UDP 3389 si desea el mejor rendimiento). Si utiliza RD Gateway, asegúrese de que TCP 443 (y opcionalmente UDP 3391) esté abierto en el gateway, no necesariamente en el servidor de destino.

Preocupaciones de seguridad para empresas que utilizan RDP

Desde el punto de vista de la seguridad, publicar TCP 3389 en internet es un movimiento de alto riesgo. Se escanea intensamente, frecuentemente forzado por fuerza bruta y comúnmente objetivo durante campañas de ransomware.

Por qué esto es importante en implementaciones reales:

  • Un único punto final RDP expuesto puede convertirse en un objetivo constante de adivinación de contraseñas.
  • La seguridad de RDP depende en gran medida del endurecimiento (MFA, bloqueo de cuentas, parches, uso de VPN/puerta de enlace, restricciones de IP)
  • “Solo abre 3389” a menudo se convierte en mantenimiento continuo de firewall y endpoint.
  • A medida que los entornos crecen, hacer cumplir controles consistentes en los servidores se vuelve difícil.

Para muchas organizaciones, el objetivo se convierte en: ofrecer acceso remoto sin dejar expuesto el 3389.

Pasos prácticos de endurecimiento si debe usar RDP

Si no puedes evitar RDP, reduce la exposición exigiendo MFA, habilitando NLA, aplicando políticas de bloqueo estrictas, restringiendo el acceso mediante VPN o listas blancas de IP, y asegurando que los sistemas estén completamente actualizados. Cuando sea posible, coloca RDP detrás de un RD Gateway (443) en lugar de exponer 3389 directamente.

Una alternativa más segura: TSplus Remote Access

Si desea acceso remoto mientras mantiene el puerto 3389 cerrado a Internet público, TSplus Acceso Remoto proporciona un enfoque práctico: publica aplicaciones y escritorios a través de un portal web utilizando puertos web estándar.

Por qué TSplus puede ser una mejor opción:

  • No requiere exponer el puerto 3389 a Internet (puede confiar en 80/443 para el acceso web)
  • Acceso basado en navegador con el Portal Web HTML5, reduciendo la complejidad del lado del cliente
  • Puede hacer cumplir HTTPS y prácticas de seguridad estándar más fácilmente en una superficie web familiar.
  • Funciona bien para publicar aplicaciones (estilo RemoteApp) así como escritorios completos.
  • Se puede reforzar con complementos como la Autenticación de Dos Factores y protecciones adicionales.

Para equipos que necesitan atender a usuarios remotos de manera confiable, esto ayuda a reducir la superficie de ataque mientras simplifica la implementación y incorporación de usuarios .

Reflexiones finales

TCP 3389 es el puerto RDP predeterminado, y RDP también puede usar UDP 3389, además de 443/3391 cuando se involucra un gateway, junto con otros puertos de red de Windows en escenarios específicos. Si el acceso remoto es crítico para el negocio, considere si realmente desea mantener expuesto el 3389.

Muchas organizaciones adoptan un enfoque en el que los usuarios se conectan a través de HTTPS (443) a un portal seguro y la capa RDP interna permanece privada.

Si estás explorando una forma más segura de ofrecer acceso remoto, TSplus Acceso Remoto puede ayudarle a publicar aplicaciones y escritorios a través de la web mientras mantiene su infraestructura más simple y segura.

TSplus Prueba gratuita de acceso remoto

Alternativa definitiva a Citrix/RDS para acceso a escritorio/aplicaciones. Seguro, rentable, en las instalaciones/nube

Iniciar una prueba gratuita

Compartir:

Facebook Twitter LinkedIn

Su equipo de TSplus

Lectura adicional

back to top of the page icon