Guía del puerto RDP: Escritorio remoto de Windows en el puerto 3389

RDP permite a un usuario interactuar con un escritorio remoto de Windows a través de la red. El cliente se conecta al servicio RDP, negocia la configuración de seguridad, autentica al usuario y luego intercambia datos de teclado, mouse, pantalla, portapapeles, audio y redirección de dispositivos según la política.

El RDP moderno puede utilizar autenticación a nivel de red, TLS, puertas de enlace y controles de identidad empresarial, pero el puerto en sí sigue siendo solo el punto de entrada del transporte. Un puerto 3389 accesible no significa que la implementación sea segura; solo significa que los clientes remotos pueden intentar iniciar una sesión RDP.

Abra RDP solo cuando los administradores, equipos de soporte o trabajadores remotos controlados necesiten acceso interactivo a los sistemas Windows. Incluso entonces, la exposición directa a Internet debería ser el último recurso. Prefiera puerta de enlace de escritorio remoto, VPN, acceso de confianza cero, hosts bastión o conectividad de red privada.

Si una máquina virtual en la nube necesita acceso de emergencia ocasional, considere reglas de firewall puntuales, listas de IP de origen temporales permitidas o funciones de consola en serie del proveedor en lugar de dejar 3389 abierto las 24 horas.

TCP 3389 es la ruta RDP principal y es el primer puerto que validan la mayoría de las comprobaciones de conectividad. Si TCP 3389 está bloqueado, normalmente no se puede iniciar una sesión directa de Escritorio remoto. Por lo tanto, un verificador de puerto TCP es útil para confirmar la ruta básica al servicio RDP.

UDP 3389 puede ser utilizado por clientes RDP modernos para mejorar la capacidad de respuesta, los gráficos, el audio y el comportamiento de la red con pérdidas una vez establecida la sesión. Es posible que bloquear UDP no impida cada inicio de sesión de RDP, pero puede hacer que las sesiones parezcan más lentas o menos estables. Las puertas de enlace y las políticas empresariales pueden manejar esto de manera diferente, así que pruebe la ruta real del cliente.

Antes de abrir el puerto 3389, habilite el Escritorio remoto intencionalmente, solicite la autenticación de nivel de red, confirme qué usuarios pueden iniciar sesión y decida si se debe permitir la redirección del portapapeles, la unidad, la impresora y el dispositivo. Estas opciones de políticas son tan importantes como la regla del cortafuegos.

Un verificador de puertos puede mostrar si se puede acceder a TCP 3389 desde Internet, pero no puede confirmar que el flujo de inicio de sesión RDP, la política de puerta de enlace, los derechos de usuario, MFA o las restricciones de sesión estén configurados correctamente. Pruebe tanto la accesibilidad de la red como el comportamiento real del Escritorio remoto.

En Windows Server o Windows Pro, habilite el Escritorio remoto, requiera autenticación de nivel de red y permita TCP 3389 entrante en el Firewall de Windows Defender. Confirme que el usuario pertenece a un grupo de Escritorio remoto permitido y que la política de seguridad local no bloquea el inicio de sesión remoto.

Para servidores en la nube, abra 3389 solo en rangos de IP de origen confiable en el grupo de seguridad en la nube o la política de firewall. Si es posible, utilice una VPN, una subred privada, un bastión o una puerta de enlace de escritorio remoto para que no se pueda acceder directamente a la máquina virtual desde la Internet pública.

RDP es principalmente un protocolo de Windows, pero existen clientes para macOS, Linux, iOS, Android y navegadores a través de puertas de enlace. La exposición del lado del servidor y el modelo de seguridad aún deben controlarse en el host o puerta de enlace de Windows.

Comience con una verificación del puerto externo con el nombre de host público o la dirección IP y el puerto 3389. Si el puerto está abierto, se puede acceder a la ruta TCP al servicio RDP. Luego pruebe con Microsoft Remote Desktop, mstsc.exe o su cliente de puerta de enlace para confirmar el inicio de sesión y la política de sesión.

En el host de Windows, verifique que los Servicios de Escritorio remoto se estén ejecutando y que el Firewall de Windows Defender tenga la regla de entrada esperada. En entornos de nube, compare el firewall del host con el grupo de seguridad de la nube porque cualquiera de ellos puede bloquear el acceso.

Si el puerto 3389 está cerrado, el Escritorio remoto puede estar deshabilitado, el servicio puede estar detenido, el puerto puede haber cambiado o el Firewall de Windows puede estar bloqueando las conexiones entrantes. Si la verificación se agota, las reglas del firewall de la nube, la NAT del enrutador, la política de VPN, el filtrado del ISP o las listas permitidas de IP de origen pueden estar descartando paquetes.

Si el puerto está abierto pero el inicio de sesión falla, inspeccione los derechos de usuario, los requisitos de NLA, las contraseñas vencidas, el bloqueo de cuentas, la conectividad del dominio, la política de MFA, las reglas de la puerta de enlace y los registros de eventos. Un puerto en funcionamiento no garantiza que el usuario esté autorizado para crear una sesión.

Evite exponer RDP directamente a Internet. Utilice puerta de enlace de escritorio remoto, VPN, redes privadas, hosts bastión o acceso de confianza cero. Exija MFA siempre que sea posible, aplique el bloqueo de cuentas, deshabilite las cuentas no utilizadas y supervise los inicios de sesión fallidos y las ubicaciones de fuentes inusuales.

Parchee Windows periódicamente, restrinja la membresía de administrador local, deshabilite funciones de redireccionamiento innecesarias, establezca tiempos de espera de sesión inactiva y recopile registros de eventos de seguridad. Para sistemas de alto riesgo, prefiera estaciones de trabajo con acceso privilegiado o rutas de administración administradas en lugar de RDP directo desde dispositivos personales.