Tu RDP recibió un "me gusta": la historia de cómo un puñado de servidores rastreó Internet y encontró todas las fallas
Actividad sospechosa en la red podría ser solo un ensayo antes de un ataque rea
Una pequeña agrupación de servidores en cuestión de horas logró redibujar el mapa habitual de la inteligencia en internet. Según GreyNoise, solo 21 direcciones IP proveyeron casi la mitad del tráfico mundial de escaneo RDP, y en el día pico llegaron a concentrar dos tercios de toda esa actividad. El brusco repunte dio paso a un silencio casi total, pero precisamente esa inestabilidad hace que el episodio sea especialmente notable.
GreyNoise registró que el 7 de abril de 2026 21 direcciones generaron 1,86 millones de sesiones de RDP Crawler, es decir, el 67,4% del volumen mundial de ese tipo de actividad. Si se considera la ventana del 5 al 7 de abril, la participación del mismo grupo fue del 49,7%. El resto de internet produjo un volumen comparable en ese mismo periodo solo a partir de 3644 fuentes.
Se trata del RDP, el protocolo de acceso remoto a sistemas Windows. Los atacantes buscan masivamente nodos accesibles desde el exterior y, tras encontrar un servicio abierto, con frecuencia pasan a probar contraseñas. Para las redes corporativas ese vector sigue siendo uno de los más peligrosos, por lo que la concentración del escaneo en manos de tan pocas direcciones resulta atípica.
Las 21 IP pertenecen al sistema autónomo AS213438, vinculado en RIPE WHOIS a ColocaTel Inc. El espacio de direcciones está mayoritariamente concentrado en los Países Bajos, en las zonas de Ámsterdam y Lelystad. Según GreyNoise, la actividad procedía principalmente de cuatro bloques de red /24. En 24 horas el volumen de tráfico dentro de AS213438 se elevó aproximadamente 11 veces, de 180.000 a más de 2 millones de sesiones, tras lo cual se desplomó casi de inmediato. El 8 de abril el flujo se redujo en un 99,9%, y el 9 de abril el escaneo RDP desde ese grupo desapareció por completo.
GreyNoise observó un esquema similar en marzo. Entonces AS213438 también aumentó drásticamente su volumen, se convirtió en una de las fuentes de escaneo más destacadas y luego quedó casi en silencio. En abril el escenario se repitió casi de forma espejo, aunque con una especialización más estrecha. Aproximadamente el 85% de toda la actividad en el nuevo repunte correspondió precisamente a RDP Crawler, y sumando otras etiquetas RDP la cuota subió hasta alrededor del 88%.
También se produjo un cambio importante a nivel geográfico. Si antes Rumanía era una de las principales fuentes de escaneo RDP, a comienzos de abril el liderazgo durante ese breve periodo pasó a los Países Bajos. Su participación aumentó del 7,17% al 53,86%, mientras que la rumana bajó del 29,89% al 15,78%. No obstante, el volumen proveniente de Rumanía no se desplomó; simplemente el segmento neerlandés creció mucho más rápido y cambió el panorama general.
GreyNoise subraya por separado que no vincula la actividad a un grupo concreto ni concluye sobre intrusiones en sistemas reales. Los sensores de la empresa solo registran el flujo entrante de escaneo, los intentos de fuerza bruta y acciones similares en internet público.
No obstante, el propio patrón «repunte brusco — desplome — pausa — repetición» ya se interpreta como una señal para los defensores, sobre todo para las empresas con acceso RDP abierto.