Allá por marzo ya se mandó un aviso en formato de una noticia de que alguien estaba infectando máquinas gestionadas con Teamviewer con un Ramsomware. Acaba de empezar Junio y ya hay otra noticia, mucho más inquietante, que también afecta a TeamViewer. El equipo de Teamviewer, siguiendo la tradición Europea de negarlo todo, echa la culpa a los usuarios, justificándose en que si usan password débiles es normal que les entren hasta la cocina. Lo malo es que hay ya demasiados usuarios en Reddit negando ese argumento, diciendo que tienen contraseñas de 22 caracteres de un solo uso, doble autenticación y tienen a un desconocido moviendo el ratón delante de sus atónitos rostros. Hoy estamos aquí para detallar lo que sucede, por qué y algunas alternativas más seguras a esta solución de control remoto.
¿Qué está pasando?
Sea o no cierto, en seguridad lo más peligroso es perder la confianza en un producto. Imagino que si bajo tu responsabilidad gestionas varios equipos de forma remota con TeamViewer, esperas que el fabricante del software de control remoto más caro del mercado, sea algo más profesional. Probablemente hayas llegado a este punto pensando “Necesito buscar alternativas a Teamviewer”.
¿Cómo funcionan los software de control remoto modernos?
La gente que no sabe mucho del tema puede alegar que para que pagar, cuando tienes el escritorio remoto de Windows, el VNC en linux o el escritorio remoto de MacOSX. Estos sistemas están bien, pero no funcionan si tienes que acceder al servidor de un cliente que está en su red y tu en la tuya, y la forma de llegar a él es a través de internet. Necesitarás estar conectado por una VPN, hacer un NAT o algo similar, en cualquier caso, complejo y no siempre posible. Por eso se inventaron los sistemas centralizados en internet, como Teamviewer y muchas otras alternativas.
El concepto es sencillo: instalamos un pequeño programa en el equipo que queremos gestionar, y este se conecta al servidor en internet. Este sistema actúa como punto intermedio entre el equipo que queremos gestionar y nuestra ubicación actual. Así podemos gestionar nuestras máquinas remotamente sin que estas tengan que tener conexiones entrantes desde internet. Este modelo se replica en todos los sistemas que funcionan como Teamviewer.
El problema de la famosa “Nube” es que al final, tu seguridad está en manos de quien gestiona esos servidores intermedios, y que el software que instalas en tu máquina es la puerta al exterior. Hay que hacer un “acto de fe” y confiar en que no te la estén jugando. Si no queremos hacer un acto de fe en un tercero, la única alternativa que tenemos es fiarnos de terceras partes y de información que no se comparta en la nube: un sistema de autenticación de doble factor y una contraseña local. De forma que en el primer caso, es Google –por ejemplo- quien provee la autenticación, y en el segundo caso, es una password que en teoría, el servidor central no conoce, y que por tanto, nadie puede “robar”.
Se supone que Teamviewer utiliza estos dos elementos de seguridad. El problema es que cientos de usuarios están denunciando que utilizan esos dos métodos de seguridad y aun así, están entrando en sus máquinas. Todo esto hace suponer que Teamviewer tiene alguna forma de “saltarse” las protecciones de usuario. No solo es grave, es extremadamente grave y llegados a este punto, deberías estar buscando una alternativa.
Alternativas a Teamviewer
Es cierto que Teamviewer es uno de los mejores software de control remoto: cómodo, rápido, eficaz y multi plataforma. También es el más caro. Pero hablemos de software similar a Teamviewer.
GotoMyPC, es una excelente alternativa, aunque no tiene autenticación de doble factor, y no es caro, estamos hablando de 130€/año por equipo administrado.
LogmeIn, es otro de los clásicos. Desde 75€/año por equipo, tiene una impresionante cantidad de funcionalidades, incluyendo autenticación de doble factor. Pero claro, el sistema de doble factor también lo gestionan ellos, no es de google. Lo siento chicos, pero a nivel de seguridad me fío mas de google.
Ehorus, es mucho menos conocido, y tiene algunas funcionalidades interesantes para administradores de sistemas, como una shell remota o un gestor de procesos integrado. Incluyen autenticación de doble factor y usan la de Google. A día de hoy es gratis.
Splashtop, es poco conocido, pero es muy similar respecto a las alternativas mencionadas antes. La version “Anywhere access” que permite conectarnos desde cualquier sitio a través de sus servidores centrales cuesta 17$/año por dispositivo, lo que le pone en un rango de precio muy sugerente. Lo malo es que no tienen autenticación de doble factor todavía, pero prometen tenerlo.
¿Por qué no tenerlo todo?
La idea no es nueva, de hecho ya existen diferentes software en el mercado que lo hacen, pero o son buenos en una cosa (monitorización) o son buenos en otra (control remoto) y siempre, siempre son modelos SaaS (en la nube). Hablamos del género de aplicaciones conocido como RMM (Remote Monitoring & Management). Herramientas como LabTech, N-Able, Kaseya, Naverisk o Atera.
Estas herramientas aunque tienen control remoto suele ser un poco “vetusto” y muchas de ellas necesitan instalar, además del agente de control, un pequeño cliente para poder acceder remotamente a los equipos gestionados. Su modelo de licencia suele ser muy flexible y económico –mucho, mucho, mucho más que Teamviewer- generalmente rondando los 25-30€/año por dispositivo, aunque están pensados para entornos corporativos y tienen un volumen mínimo de entrada de 5 o 10 dispositivos.
Claro está que si ya da miedo que puedan entrar en nuestros sistemas desde fuera al tenerlo todo en la nube, tener la monitorización y la gestión de los equipos también en la nube, nos debería dar aún más terror. Así pues la solución que hemos pensado desde Pandora FMS es tener una solución mixta: On-premise para la monitorización y SaaS en la gestión, por ello nos hemos integrado con eHorus para que puedas gestionar tus equipos desde Pandora.
Hemos elegido esta integración porque eHorus es el único proveedor actual SaaS que tiene API’s públicas y de uso gratuito. Y por qué no decirlo, por que el resto no tienen interés en integrarse con una herramienta OpenSource, así pues esta integración es 100% openSource y gratuita. Desde la siguiente release, en Pandora FMS 6.0 SP3, podrás disfrutar de la integración de eHorus con Pandora FMS para tener la monitorización y la gestión remota de tus equipos (Mac, Linux o Windows) desde la misma consola WEB, la consola de Pandora FMS.
Aquí tienes un video de demo de 30 segundos que muestra como gestionar un servidor bajo Windows que también está monitorizado con Pandora.
El equipo de redacción de Pandora FMS está formado por un conjunto de escritores y profesionales de las TI con una cosa en común: su pasión por la monitorización de sistemas informáticos. Pandora FMS’s editorial team is made up of a group of writers and IT professionals with one thing in common: their passion for computer system monitoring.