Skip to main content
0

Cómo restringir el acceso RDP a solo IPs españolas en Windows (sin perder la sesión)

Cómo restringir el acceso RDP a solo IPs españolas en Windows (sin perder la sesión)

Este procedimiento limita el acceso a Escritorio remoto (RDP) para que solo acepten conexión los rangos IP asignados a España. Es útil cuando el equipo está publicado en Internet mediante redirección de puertos en el router.

Requisitos y notas importantes

  • Puerto interno RDP en Windows: normalmente 3389.
  • Puerto externo en el router: puede ser otro (por ejemplo 102) redirigido al puerto RDP interno (3389).

    Importante: en Windows Firewall siempre se filtra por el puerto local (3389), no por el puerto externo del router.
  • Permisos: necesitas abrir PowerShell como administrador.
  • Seguridad: sigue el orden “primero PERMITIR, luego BLOQUEAR” para no quedarte fuera.

Paso 1: Descargar la lista de rangos IP de España (es.zone)

  1. En el equipo Windows, abre el navegador.
  2. Busca: ipdeny es.zone.
  3. En la web de IPdeny, abre o descarga el fichero es.zone (España).
  4. Guárdalo en una ruta conocida, por ejemplo: 
    C:\Users\TU_USUARIO\Downloads\es.zone.txt
  5. Abre el archivo con Bloc de notas y verifica:
    • Debe contener IPv4 en formato CIDR (por ejemplo, 80.24.0.0/13), una entrada por línea.
    • Si aparecen líneas IPv6 (contienen :), elimínalas para evitar errores.

Paso 2: Crear la regla en Windows Firewall con PowerShell (recomendado)

  1. Abre PowerShell como administrador (botón Inicio → busca PowerShell → clic derecho → Ejecutar como administrador).
  2. Ejecuta el siguiente comando (ajusta la ruta del archivo si es distinta): 
    New-NetFirewallRule `
  -DisplayName "RDP SOLO ESPAÑA" `
  -Direction Inbound `
  -Protocol TCP `
  -LocalPort 3389 `
  -Action Allow `
  -Profile Any `
  -RemoteAddress (Get-Content "C:\Users\TU_USUARIO\Downloads\es.zone.txt")
  3. Este comando crea una regla entrante que permite RDP únicamente desde los rangos incluidos en el fichero.

Paso 3: Verificar que la regla tiene los rangos cargados

  1. Abre el Firewall avanzado: 
    Win + R → wf.msc
  2. Ve a Reglas de entrada y busca RDP SOLO ESPAÑA.
  3. Doble clic en la regla → pestaña Ámbito.
  4. Comprueba que en Dirección IP remota está marcada la opción Estas direcciones IP y que aparecen muchos rangos (CIDR).

Paso 4: Deshabilitar la regla genérica que deja entrar a cualquiera

Este paso es imprescindible: si la regla genérica sigue activa, la restricción “solo España” puede quedar anulada.

  1. En Reglas de entrada, localiza:
    • Escritorio remoto – Modo usuario (TCP de entrada) (puerto local 3389).
  2. Clic derecho → Deshabilitar regla.

Paso 5: Prueba obligatoria antes de cerrar la sesión actual

  1. No cierres la sesión RDP actual todavía.
  2. Desde otro equipo (o en otra ventana), intenta abrir una nueva conexión RDP.
  3. Si el router publica otro puerto externo (por ejemplo, 102), conecta indicando el puerto: 
    IP_PUBLICA:PUERTO_EXTERNO

    Ejemplo:

    203.0.113.10:102
  4. Si conecta correctamente, la configuración ya está aplicada.
  5. Si no conecta, vuelve a habilitar temporalmente la regla Escritorio remoto – Modo usuario (TCP de entrada) y revisa:
    • Que la regla RDP SOLO ESPAÑA esté habilitada.
    • Que el fichero tenga solo IPv4 en formato CIDR.
    • Que la ruta del fichero en el comando sea correcta.

Recomendaciones extra (muy aconsejables)

  • Mejor solución: usar VPN y no exponer RDP directamente a Internet.
  • Cambiar el puerto externo del router por uno alto reduce ruido (no es seguridad total).
  • Para revisar inicios de sesión RDP exitosos: 
    Microsoft → Windows → TerminalServices-LocalSessionManager → Operational

    Eventos útiles: 21 (logon) y 24 (logoff).

Nota: Filtrar por “solo España” reduce ataques desde el extranjero, pero no impide accesos desde VPNs o servidores ubicados en España. Para máxima seguridad: VPN + RDP.

¿Quieres que tu empresa esté realmente segura?

La seguridad no consiste en “abrir puertos y cruzar los dedos”.
Consiste en diseñar, mantener y supervisar sistemas pensados para trabajar seguros desde el primer día.

Ayudamos a empresas que:

  • Acceden a sus sistemas en remoto.
  • Trabajan con infraestructura crítica.
  • Quieren evitar incidentes, no reaccionar cuando ya es tarde.
  • Necesitan mantenimiento continuo, no parches puntuales.

Especialistas en soluciones en la nube

Diseñamos y mantenemos entornos cloud y híbridos seguros:

  • Accesos remotos protegidos (VPN, RDP seguro).
  • Infraestructura en la nube bien configurada desde el inicio.
  • Monitorización, copias de seguridad y endurecimiento de sistemas.
  • Mantenimiento preventivo y soporte continuo.

Trabajamos con criterios profesionales, claros y auditables.
Sin soluciones improvisadas. Sin “trucos”. Sin falsas sensaciones de seguridad.

Hablemos

Si quieres revisar la seguridad de tu infraestructura o necesitas un servicio de mantenimiento fiable para tu empresa, ponte en contacto con nosotros.

Estudiaremos tu caso y te propondremos una solución realista, escalable y segura, adaptada a tu forma de trabajar.

Tags:

Leave a Reply

Close Menu