Aumento de escaneo RDP en AS213438: análisis de picos de tráfico y cambios geográficos
GreyNoise ha detectado una concentración inusual de tráfico global de escaneo del protocolo RDP en 21 direcciones IP dentro del sistema autónomo AS213438, vinculado a ColocaTel Inc. en los Países Bajos. Entre el 5 y el 7 de abril de 2026, estas direcciones representaron hasta el 67,4 % del volumen mundial, lo que indica operaciones centralizadas de reconocimiento en internet.
Escala y dinámica de la actividad de escaneo
Entre el 5 y el 7 de abril de 2026, un grupo de 21 direcciones IP bajo AS213438 generó 1,86 millones de sesiones de RDP Crawler. Esto representó el 49,7 % del tráfico global total durante ese periodo y alcanzó un pico del 67,4 % el 7 de abril. Como referencia, las restantes 3.644 fuentes combinadas produjeron un volumen similar.
La actividad se concentró en cuatro bloques /24, principalmente en Ámsterdam y Lelystad. Dentro de AS213438, el tráfico diario aumentó 11 veces —de 180.000 a 2 millones de sesiones— antes de caer un 99,9 % el 8 de abril y detenerse por completo el 9 de abril. Un patrón similar ocurrió en marzo de 2026.
El protocolo RDP, utilizado para acceder remotamente a sistemas Windows, sigue siendo un vector de ataque vulnerable. El escaneo identifica puertos abiertos, seguido a menudo por intentos de fuerza bruta para descifrar contraseñas. Tal concentración incrementa los riesgos para redes corporativas con acceso público.
Cambios geográficos en los orígenes de amenazas
A principios de abril de 2026, los Países Bajos superaron temporalmente a otros países como principal origen de escaneos RDP. Su participación pasó del 7,17 % al 53,86 %, mientras que Rumanía bajó del 29,89 % al 15,78 %. El volumen de tráfico rumano permaneció estable, pero la infraestructura neerlandesa dominó debido a un aumento repentino.
- Bloques clave de actividad: Cuatro redes /24 dentro de AS213438
- Contribución máxima: Hasta el 85 % del tráfico de RDP Crawler, llegando al 88 % al incluir otras etiquetas relacionadas con RDP
- Comparación con marzo: Ciclo repetido de aumento y silencio
- Contexto global: 21 IPs frente a 3.644 fuentes adicionales
Este cambio subraya la movilidad de la infraestructura de escaneo y el papel de los centros de datos europeos como nodos para operaciones cibernéticas automatizadas.
Causas e implicaciones para la seguridad de red
Estos picos reflejan el uso de recursos en la nube para sondeo masivo de redes. ColocaTel Inc., registrada en los Países Bajos, ofrece servicios de alojamiento escalable. El repentino aumento de tráfico sugiere una campaña orquestada, posiblemente destinada a mapear servidores RDP vulnerables antes de su explotación.
Las consecuencias incluyen una mayor carga para los sistemas de seguridad: firewalls e IDS/IPS detectan anomalías, pero la centralización facilita el bloqueo. Para las empresas, esta situación es una señal clara para auditar puertos RDP expuestos y migrar hacia redes privadas virtuales (VPN) o arquitecturas de confianza cero. A largo plazo, estos patrones impulsan la evolución de amenazas —del reconocimiento a ataques de ransomware dirigidos.
Contexto general: RDP sigue entre los 10 principales vectores de ataque según MITRE ATT&CK. El volumen global de escaneo supera miles de millones de sesiones anuales, centrado especialmente en versiones antiguas de Windows sin autenticación multifactor (MFA).
Conclusiones clave
- Una concentración del 67,4 % del tráfico en solo 21 IPs en AS213438 redefine el panorama de amenazas distribuidas
- El patrón recurrente de "auge y colapso" indica preparativos para futuros ataques
- El cambio de liderazgo a los Países Bajos resalta la necesidad de estrategias de bloqueo geográfico
- El 85–88 % de la actividad es específica de RDP, aumentando los riesgos para redes basadas en Windows
- Recomendación: Deshabilitar el acceso RDP público e implementar autenticación multifactor
— Editorial Team
Aún no hay comentarios.