El impacto de la pandemia y la necesidad de implementar el teletrabajo para intentar mantener la productividad ha llevado a parte de las empresas españolas a buscar soluciones tecnológicas. El último informe de Adecco Group Institute del mes de marzo de este año afirma que 2,86 millones de españoles ya teletrabajan desde su domicilio, 1,2 millones más que en 2020. Supone un incremento de un 74,2%.
Las alternativas básicas que tienen ante sí las empresas pasan por adoptar soluciones de escritorio remoto (RDP, Remote Desktop Protocol) o VDI (Virtual Desktop Infraestructure), según sus necesidades.
En este post analizaremos las ventajas y las medidas de seguridad que deben tenerse en cuenta al apostar por el VDI.

Lo primero que vamos a hacer es definir qué es un VDI. Como su propio nombre indica, nos encontramos ante una infraestructura que permite a los usuarios el acceso a un escritorio virtual normalmente desde un navegador web.
Estamos hablando de máquinas virtuales basadas en hosts alojadas en un servidor que emulan un ordenador tradicional, con su propio sistema operativo, programas y archivos, creando un entorno de trabajo personalizado para cada empleado. Por lo tanto, todos los procesos se ejecutan en ese ordenador.
En consecuencia, una de las primeras consecuencias del VDI es que los datos no quedan guardados físicamente en el dispositivo del usuario.

Para acabar de entender que es un VDI podemos clarificarlo por oposición al funcionamiento de los RDP. Básicamente, son programas que permiten gestionar un PC a distancia cuyo acceso remoto sigue la lógica cliente-servidor en el que el ordenador al que se desea acceder hace de servidor y el resto hacen de “cliente”.
La conexión entre ambos dispositivos se realiza mediante internet y la apertura de un puerto en el PC servidor.

Algunos de los softwares más conocidos son TeamViewer y Anydesk y la gran ventaja de su uso es que evitan tener que desplazarse hasta donde está físicamente el ordenador para poder entrar en él y poder trabajar o realizar tareas de mantenimiento. Por lo tanto, implica que el ordenador servidor debe estar permanentemente encendido.

Cómo funciona un VDI

Para ser lo más exactos posible debemos ampliar que es la infraestructura virtual la que dispone de un sistema operativo de escritorio completo y mediante instancias lo sirve a un cliente remoto a través de la conexión de internet.
Así mismo, un VDI puede instalarse en un servidor propio de la empresa o en la nube de una empresa contratada, conocido entonces como DaaS (Desktop as a Service). En este segundo supuesto, no es necesario comprar e instalar hardware porque es un servicio que presta dicha empresa, igual que la plataforma y su mantenimiento.

Igualmente, debemos destacar la diferencia básica entre un VDI persistente de uno no persistente. En el primer caso, cada vez que el usuario inicia una sesión lo hace exactamente  en el mismo escritorio desde el que accedió la última vez. De esta manera, cualquier cambio efectuado se mantiene. En cambio, en uno no persistente el usuario accede a un escritorio aleatorio en el que, por norma general, puede acceder a programas y datos generales igual que otros trabajadores. En dicho caso los cambios no quedan guardados cuando se cierra una sesión y se abre la siguiente.

Ventajas productivas

Veamos ahora en un listado las ventajas principales que aportan las VDI a una empresa, la mayoría de ellas relacionadas con la productividad, la movilidad, la seguridad y la flexibilidad:

  1. Los datos están almacenados en un único lugar (no en los ordenadores físicos de los empleados) y quedan protegidos tanto puertas a fuera al VDI como puertas adentro. En todo caso es necesario implementar las políticas de seguridad adecuadas para ello (lo veremos más adelante).
  2. Todos los datos y dispositivos están conectados en una única red privada, que puede ser cloud o no.
  3. Accesibilidad segura garantizada 24×7 a los datos y aplicaciones.
  4. El acceso al escritorio virtual puede hacerse desde cualquier dispositivo (incluidos móviles y tabletas, aunque posiblemente tengan menos opciones de interactuar con él) y en cualquier lugar (la casa o la oficina) siempre que se tenga conexión a internet vía wifi o datos móviles.
  5. El dispositivo de conexión no necesita cumplir requerimientos técnicos avanzados porque no ha de ejecutar procesos especiales dado que de ello se encarga la máquina virtual. Únicamente necesita un sistema operativo y conectividad a internet. Por este motivo, las VDI han impulsado definitivamente el concepto BYOD (Bring Your Own Device), es decir, habilita la posibilidad de que el empleado trabaje con su propio dispositivo personal. Por consiguiente, implica un ahorro económico en la actualización y mantenimiento de estos dispositivos.
  6. Es posible aumentar un grado más la seguridad mediante el cifrado de datos SSL
  7. Desde el punto de vista de la instalación de las actualizaciones necesarias y del mantenimiento es más cómodo y sencillo actuar únicamente sobre la VDI que en cada estación de trabajo una a una. Por ejemplo, instalando los parches de seguridad sobre la imagen quedan actualizados automáticamente todos los sistemas de escritorio.
  8. Dominio completo y trazabilidad de los dispositivos, datos y políticas de uso de los usuarios
  9. Posibilidad de ahorro en los costes energéticos dado que los trabajadores pueden conectarse desde su casa o cualquier parte del mundo donde estén.
  10. Flexibilidad y escalabilidad: Sistema totalmente escalable a los requerimientos técnicos específicos de cada empleado y adaptable a las necesidades futuras de la empresa.
  11. Realización de copias de seguridad periódicas.
  12. Simplificación: tanto en la gestión de los entornos de trabajo de cada empleado como de las licencias de uso.
  13. Permite cierta personalización en la experiencia y uso del escritorio por parte del usuario, por ejemplo, en la carga de ciertas aplicaciones.

Consejos generales de seguridad

Desgraciadamente, el factor humano continúa siendo el principal factor de infección de ordenadores y sistemas informáticos causados por ciberataques, según las estadísticas.
Por este motivo, es imprescindible que las políticas de seguridad relativas al control de acceso de los usuarios sean lo más estrictas y definidas posible. En este sentido, debe evitarse a toda costa evitar cualquier acceso no autorizado a la VDI.

Para lograrlo podemos implementar una serie de medidas de seguridad extra:

  1. Proteger la comunicación entre la estación de trabajo personal y la VDI con una red privada virtual (VPN, Virtual Private Network).
  2. Implementar medidas de doble factor de autenticación. Tanto puede ser requerir un código generado por una aplicación o recibido con un mensaje SMS como utilizar una aplicación que crea una contraseña aleatoria para poder acceder al VDI.
  3. Evitar el uso de dispositivos no administrados por la VDI. Si éste contiene algún malware controlado por un hacker y se conecta a la infraestructura corporativa sólo deberá esperar a que el usuario se loguee para acceder a ella para controlar los recursos compartidos.
  4. Asegurarse que los dispositivos con los que se conectan los administradores TI a la VDI no presentan ningún problema ni levantan ninguna sospecha. En caso de que estén infectados, los hackers podrán gestionar y administrar toda la VDI. Una buena práctica es acceder a la consola de administración mediante hosts de salto.
  5. Aislar totalmente los recursos confidenciales y de vital importancia de la VDI mediante la solicitud de una instancia separada.
  6. Implementar políticas de copias de seguridad lo más robustas posible.
  7. Aplicar el sentido común relativo a instalar un buen antivirus, no consultar páginas web de dudosa reputación, no compartir archivos físicos con el VDI, etc.

Como vemos, las VDI no están exentas en ningún caso de sufrir ciberataques. Es conocido el caso de la vulnerabilidad Zerologon (CVE-2020-1472) basada en la criptografía del proceso de Netlogon de Microsoft. Dicho fallo de seguridad permitía que un usuario infectara sin querer una máquina virtual y los hackers podían controlar la VDI incluso en el caso del cierre de la sesión.

En todo caso, la recomendación es evaluar las necesidades reales de cada empresa para decidir si la mejor solución para mejorar su productividad recae en la adopción de una VDI.
Accensit puede ayudarle en este proceso mediante su servicio de consultoría.
Existen diversas soluciones en el mercado que pueden adaptarse a cada tipología de empresa.

Un caso concreto: De RPD a VDI

Finalmente, queremos destacar que las VDI no son únicamente objeto de uso en el entorno empresarial. El pasado mes de febrero la Universidad Miguel Hernández (UMH) de Elche hizo público que ponía en marcha una nueva plataforma de escritorios virtuales para la docencia.
El profesor conectado tiene acceso a diferentes tipos de escritorios en función de la facultad o escuela de la UMH donde imparte cada titulación.

Una de las ventajas principales logradas reside en que la UMH pudo apagar todos los ordenadores de las aulas informáticas que necesitaban estar en marcha para acceder de forma remota mediante RPD. Fue la solución de urgencia adoptada para poder continuar realizando las clases mediante Google Meet en plena pandemia.
La entidad educativa ya ha decidido implementar otra VDI para el entorno de teletrabajo.

Imagen: verctorjuice