Cómo exponer RDP sin IP pública (y sin comprometer la seguridad)

Exponer el RDP (puerto 3389) directamente en internet vía port forwarding es una de las formas más rápidas de que tu máquina sea hackeada — las campañas automatizadas escanean IPs con 3389 abierto 24/7. SuperDMZ resuelve esto colocando el túnel entre tú y el atacante, y exigiendo autenticación extra antes de llegar a Windows.

Receta en 4 pasos

1. En el panel, crea un túnel TCP (no HTTP) apuntando a 127.0.0.1:3389. Elige un nodo cercano al usuario que vaya a acceder.

2. En "IPs autorizadas" pon solo la IP desde donde te conectarás. Acepta CIDR. Ejemplo:

187.45.92.0/24, 200.123.4.5/32

3. Marca "Requerir auth key" y copia la clave generada. Quien no la tenga nunca llega al RDP — recibe 401 de nuestro lado, antes incluso de que el puerto 3389 vea el paquete.

4. Instala el cliente SuperDMZ en la máquina Windows a acceder. Añade el token del túnel. El túnel sube en menos de 30 segundos.

Cómo conectarte desde el otro lado

El panel muestra la URL final: algo como spo1.nodes.superdmz.com:18420. En el cliente Remote Desktop:

1. Equipo: spo1.nodes.superdmz.com:18420
2. Usuario: el de Windows de la máquina destino
3. Después de conectar, nuestro side-channel pide la auth key (popup)

Capas de seguridad que ganas

• Puerto nunca abierto en el router — tu máquina nunca aparece en Shodan
• Lista blanca de IP — paquete de IP no autorizada se descarta en el nodo, no llega a Windows
• Auth key — segunda capa además de la contraseña de Windows
• Log de conexión — ves en el panel cada IP que intentó conectar, con país, hora y bytes

No recomendado

No expongas RDP sin lista blanca de IP y sin auth key. No vale la pena. Si tienes 100 IPs posibles, redúcelo a una. Si realmente necesitas "acceso desde cualquier lugar", crea 2 túneles: uno restringido por IP, otro con auth key — y desactiva el segundo cuando no lo uses.