Windows 11: Cambio de puerto de Escritorio Remoto y configuración de control de acceso IP

IT
Índice

Actualización de Septiembre 2025
(Este método también funciona para Windows 10)

El puerto por defecto 3389 es ampliamente conocido por los atacantes y puede convertirse fácilmente en un objetivo de ataque. Le recomiendo encarecidamente cambiarlo a un número de puerto diferente para mantener seguro su sistema.

Elija un número de puerto al azar del rango de puertos registrados (1024-49151) para que sea difícil de adivinar. En esta guía cambiaremos el puerto de Escritorio Remoto al 49151.

Cambio de puerto de Escritorio Remoto

1. Habilitar la función de Escritorio Remoto

(Basado en Windows 11 24H2)

  1. Abra la Configuración de Windows.
  2. Vaya a [Sistema][Escritorio Remoto].
  3. Active Escritorio Remoto cambiándolo a Activado.

2. Cambiar el puerto de Escritorio Remoto

  1. Presione Tecla Windows + R para abrir el diálogo Ejecutar y escriba regedit para iniciar el Editor del Registro.

    • También puede hacer clic en el botón Inicio y escribir regedit.

  2. Navegue a esta ruta en el Editor del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. Encuentre la entrada PortNumber y haga doble clic en ella.

  4. Seleccione Decimal y cambie el número de puerto de 3389 a 49151.

  5. Reinicie su PC para aplicar el nuevo número de puerto.

3. Configuración del Firewall

Después de cambiar el puerto de Escritorio Remoto del puerto por defecto 3389 a su puerto personalizado, necesita crear una nueva regla de entrada en el Firewall de Windows para permitir conexiones remotas a través del nuevo puerto.

  1. Presione Tecla Windows + R para abrir el diálogo Ejecutar y escriba wf.msc.
    • También puede hacer clic en el botón Inicio y escribir wf.msc.
  2. Haga clic en Reglas de entrada en el árbol izquierdo y luego haga clic en Nueva regla en el panel derecho.
  3. Configure el Asistente para nueva regla de entrada de la siguiente manera:
    • Tipo de regla: Puerto
    • Protocolo: TCP
    • Puertos locales específicos: 49151
    • Acción: Permitir la conexión
    • Perfil: Seleccionar los tres - Dominio, Privado y Público
    • Nombre: RDP (o cualquier nombre que prefiera)
  4. Haga clic en Finalizar para completar la configuración.

Configuración del control de acceso IP

Cambiar a un puerto personalizado por sí solo no puede garantizar seguridad completa. Los atacantes aún pueden detectar puertos abiertos a través de escaneo de puertos e intentar ataques de fuerza bruta. Para bloquear fundamentalmente estos riesgos, necesita configurar control de acceso basado en IP (ACL) para que solo direcciones IP pre-aprobadas puedan conectarse. Este es un elemento central de la estrategia de seguridad en capas.

Configurar el control de acceso IP (ACL)

  1. Presione Tecla Windows + R para abrir el diálogo Ejecutar y escriba wf.msc.
    • También puede hacer clic en el botón Inicio y escribir wf.msc.
  2. Haga clic en Reglas de entrada en el árbol izquierdo.
  3. Encuentre la regla que acaba de crear (RDP o su nombre personalizado) y haga doble clic en ella.
  4. Cuando se abra la ventana de Propiedades, haga clic en la pestaña Ámbito en la parte superior.
  5. En Dirección IP remota, cambie la opción a Estas direcciones IP y haga clic en Agregar para introducir la IP de origen.
  6. Haga clic en Aceptar y cierre la ventana para aplicar el control de acceso IP.

Usar VPN

Si desea una seguridad aún más fuerte que el control de acceso IP, considere permitir conexiones de Escritorio Remoto solo a través de VPN (Red Privada Virtual).

1. Conceptos básicos de seguridad VPN

VPN crea un túnel virtual cifrado sobre Internet permitiendo acceso seguro a redes internas desde el exterior. Cuando usa VPN, los usuarios externos no pueden acceder directamente a puertos RDP y deben conectarse primero al VPN antes de acceder a computadoras en la red interna vía Escritorio Remoto.

2. Beneficios de mejora de seguridad

  • Estructura de autenticación dual: Login VPN → Login RDP para seguridad en capas
  • Comunicación cifrada: Toda transmisión de datos está cifrada para seguridad
  • Ocultación de dirección IP: La dirección IP real del servidor RDP permanece oculta del exterior
  • Bloqueo de acceso completo: Sin conexión VPN el servidor RDP ni siquiera puede ser detectado

3. Principales métodos de implementación VPN

Usar funciones VPN del router doméstico

La mayoría de routers modernos tienen funciones de servidor VPN integradas permitiéndole configurar VPN sin costo adicional. Puede activar el servidor VPN en la página de administración del router y crear cuentas de usuario.

Servicios VPN comerciales

Use servicios VPN comerciales como ExpressVPN, NordVPN o Surfshark para obtener una IP fija y configurar acceso RDP solo desde esa IP.

Configuración VPN en la nube

Use soluciones VPN de servicios en la nube como AWS VPN Gateway o Azure VPN Gateway para construir entornos VPN de nivel profesional.

Configuración de servidor VPN de código abierto

Instale soluciones de código abierto como OpenVPN, WireGuard o SoftEther VPN en servidores separados para construir entornos VPN personalizados.

4. Enfoque recomendado

Para usuarios personales, primero verifique si su router tiene funciones VPN integradas. Para entornos empresariales, considere soluciones VPN en la nube. Después de configurar VPN, bloquee completamente el acceso directo externo a puertos RDP en el firewall y configure acceso solo a través de VPN para lograr el más alto nivel de seguridad de Escritorio Remoto.