La Dualidad de la Caché de RDP

Aunque desde una perspectiva de rendimiento esta característica es indudablemente beneficiosa, su persistencia en el disco duro del cliente incluso después de finalizar la sesión RDP convierte estos archivos de caché en artefactos forenses de alto valor y simultáneamente, en un vector de riesgo de seguridad a menudo subestimado y crítico. Este análisis profundiza en la naturaleza de estos riesgos, sus implicaciones para la seguridad de la información y la postura de defensa, y las estrategias para su gestión y mitigación, proporcionando una base sólida para la elaboración de playbooks de respuesta a incidentes robustos.

Mecánica de la Caché de Mapa de Bits de RDP y su Persistencia 
La caché de mapa de bits de RDP funciona dividiendo la pantalla del escritorio remoto en una cuadrícula de mosaicos de tamaño fijo por ejemplo, 64 por 64 píxeles, aunque el tamaño puede variar. Cuando un área de la pantalla no cambia entre actualizaciones, o cuando un elemento gráfico como un icono, un logo o un botón se repite, esto reduce significativamente la cantidad de datos que deben transmitirse a través de la red, mejorando la capacidad de respuesta de la sesión, especialmente en conexiones con menor ancho de banda o mayor latencia. Los archivos de caché se almacenan típicamente en el directorio del perfil de usuario del cliente, en una ruta como: C:\Users\<usuario>\AppData\Local\Microsoft\Terminal Server Client\Cache\. Dentro de este directorio, es común encontrar archivos con extensiones como bmc (Bitmap Cache) y Cache bin (archivos de caché de datos de mapa de bits). El problema fundamental desde una perspectiva de seguridad radica en que estos archivos no se eliminan automáticamente al cerrar la sesión RDP. Pueden persistir durante días, semanas o incluso meses, dependiendo del uso del sistema y de la configuración específica de la caché. Esta persistencia convierte lo que debería ser un mecanismo de optimización temporal en un archivo de registro visual no intencionado y persistente de las actividades realizadas durante las sesiones remotas. Incluso si un usuario cierra la sesión de forma limpia, los rastros visuales de su trabajo permanecen accesibles en el disco, esperando ser descubiertos por cualquier persona o proceso con los permisos adecuados para acceder a esos archivos.

El Riesgo Fundamental: Fuga de Información Visual a Través de Artefactos Persistentes 
El riesgo más directo y grave asociado con los archivos de caché de RDP es la fuga no autorizada de información sensible. Dado que estos archivos contienen representaciones de mapas de bits de lo que se mostraba en la pantalla remota, un atacante que obtenga acceso al sistema cliente (ya sea físicamente o a través de una comprometida) puede extraer y reconstruir estos mosaicos para revelar el contenido de las sesiones RDP anteriores. 9. Esta capacidad de reconstrucción visual es lo que hace que este vector sea particularmente peligroso. A diferencia de los archivos de registro de texto que pueden requerir interpretación, las imágenes reconstruidas pueden mostrar de manera explícita: 
 

• Credenciales: Nombres de usuario y contraseñas escritas en campos de texto, aunque aparezcan como asteriscos, ya que el mapa de bits captura la representación visual real. También se pueden visualizar gestores de contraseñas abiertos o notas con credenciales.
• Datos de Clientes y PII: Información personal, financiera o de salud visible en aplicaciones, hojas de cálculo o documentos abiertos durante la sesión.
• Propiedad Intelectual: Código fuente, diseños de ingeniería, estrategias de negocio o cualquier otro contenido confidencial mostrado en pantalla.
• Detalles de la Infraestructura Interna: Diagramas de red, configuraciones de servidores, nombres de hosts internos, estructuras de directorios y paneles de control de administración.
• Contenido de Correos Electrónicos y Mensajería Instantánea: Conversaciones y adjuntos visibles en clientes de correo o aplicaciones de chat.
• Actividades de Usuarios y Aplicaciones: Qué software se estaba utilizando, qué archivos estaban abiertos y qué acciones se estaban realizando.

El atacante no necesita ser particularmente sofisticado para explotar estos archivos una vez que tiene acceso al disco del cliente. La existencia de herramientas de código abierto y fáciles de usar, como BMC Tools desarrollada por la Agencia Nacional de Seguridad de los Sistemas de Información de Francia, ANSSI y RDP Cache Stitcher desarrollada por la Oficina Federal de Seguridad de la Información de Alemania, BSI, simplifica enormemente el proceso de extracción y reconstrucción. Estas herramientas pueden procesar los archivos bmc y bin para extraer los mosaicos individuales y luego ofrecer una interfaz para ensamblarlos, a menudo con asistencia automática o semi-automática, para formar imágenes coherentes de las ventanas o áreas de pantalla que estaban en caché. Esto significa que la barrera técnica para convertir los archivos de caché en información legible y explotable es relativamente baja. El riesgo se amplifica en escenarios donde los clientes RDP son sistemas compartidos, no gestionados por la organización, o pertenecen a terceros. En estos entornos, el control sobre quién accede al sistema y qué software se ejecuta es limitado, aumentando la exposición de los datos persistentes en la caché de RDP. 

Implicaciones para la Postura de Seguridad y la Defensa en Profundidad

La existencia de artefactos de caché de RDP persistentes tiene profundas implicaciones para la postura general de seguridad de una organización y socava los principios de defensa en profundidad:

1.       Evasión de Controles de Seguridad Perimetral: Los controles de seguridad tradicionales, como firewalls y sistemas de detección/intrusión de red IDS/IPS, están diseñados para monitorear el tráfico de red. Sin embargo, la exfiltración de datos a través de la copia de archivos de caché de RDP locales puede ocurrir sin generar tráfico de red sospechoso si el atacante ya tiene acceso al sistema cliente. Los datos se filtran a través de un mecanismo de almacenamiento local, no a través de la red en el momento de la visualización, aunque su posterior exfiltración sí lo hará.

2.       Persistencia de Datos no Intencionada: La política de seguridad de muchas organizaciones se centra en la protección de datos en tránsito y en reposo en servidores. Los archivos de caché de RDP representan una categoría de "datos en reposo" en los clientes que a menudo se pasa por alto. Esto crea un almacén de datos no autorizado y no gestionado que puede contener información altamente sensible, contradiciendo los esfuerzos de minimización de datos y control de acceso.

3.       Riesgo en Sistemas Compartidos o No Gestionados: Cuando los empleados o administradores utilizan RDP desde sus dispositivos personales, equipos compartidos en espacios de coworking, o kioskos, los archivos de caché se almacenan en estos sistemas no controlados. Esto extiende la superficie de ataque de la organización más allá de su perímetro gestionado, exponiendo datos sensibles a potenciales compromisos en entornos externos e inseguros.

4.       Amenaza para los Equipos de Respuesta a Incidentes (IR): Paradójicamente, los propios analistas y respondedores de incidentes pueden convertirse en vectores de riesgo. Si utilizan sus estaciones de trabajo o portátiles para conectarse a sistemas comprometidos o sensibles durante una investigación, sus propios clientes RDP almacenarán caché de esas sesiones. Si la máquina del analista se ve comprometida posteriormente, estos archivos de caché podrían contener información crucial sobre el incidente anterior, estrategias de contención o datos sensibles de la víctima, poniendo en riesgo toda la investigación y la organización.

5.       Dificultad en la Borrado Seguro y la Recuperación Forense: La simple eliminación de los archivos de caché no garantiza que los datos no puedan ser recuperados mediante técnicas forenses avanzadas. Para una eliminación segura, se necesitan herramientas que sobrescriban el espacio en disco. Además, la detección de la manipulación o acceso no autorizado a estos archivos puede ser compleja si no se implementan controles de monitorización específicos.

Estas implicaciones demuestran que la caché de RDP no es un mero detalle técnico, sino un factor que puede debilitar significativamente la seguridad si no se aborda explícitamente en las políticas, configuraciones y procedimientos de una organización.

Referencias:

[0] Blind Forensics with the RDP Bitmap Cache | by Ronald Craft. https://medium.com/@ronald.craft/blind-forensics-with-the-rdp-bitmap-cache-16e0c202f91c 
[1] RDP Bitmap Cache - Piece(s) of the Puzzle. https://www.thedfirspot.com/post/rdp-bitmap-cache-piece-s-of-the-puzzle . 
[2] Analyzing and Extracting Bitmap Cache Files from RDP. https://www.cyberengage.org/post/analyzing-and-extracting-bitmap-cache-files-from-rdp-sessions . 
[3] Detection: Windows RDP Bitmap Cache File Creation. https://research.splunk.com/endpoint/5f8671b6-07a7-425d-b3da-c39a53f2a6ae . 
[4] The remote desktop puzzle. DFIR techniques for dealing. https://www.pentestpartners.com/security-blog/the-remote-desktop-puzzle-dfir-techniques-for-dealing-with-rdp-bitmap-cache 

[5] RDP Bitmap Cache | Detection. https://insiderthreatmatrix.org/detections/DT035 . 
[6] RDP Bitmap Cache - Detect and Hunt. https://xsoar.pan.dev/docs/reference/playbooks/rdp-bitmap-cache---detect-and-hunt . 
[7] remote desktop cache \ Permanently caching bitmaps. https://learn.microsoft.com/en-us/answers/questions/430008/remote-desktop-cache-permanently-caching-bitmaps . 
[8] Using RDP without leaving traces: the MSTSC public mode. https://devolutions.net/blog/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode . 
[9] RDP Bitmap Forensics for DFIR Investigations. https://medium.com/@egycondor/rdp-bitmap-forensics-for-dfir-investigations-f4f627431275 . 
[10] Playbook of the week: Uncover Your RDP Secrets. https://live.paloaltonetworks.com/t5/community-blogs/playbook-of-the-week-uncover-your-rdp-secrets/ba-p/560586 . 
[11] Cache Me If You Can: Through the Hacker's Eyes. https://www.moxfive.com/blog/cache-me-if-you-can-through-the-hackers-eyes . 
[12] ANSSI-FR/bmc-tools: RDP Bitmap Cache parser. https://github.com/ANSSI-FR/bmc-tools . 
[13] Puzzling RDP Cache - Putting the Pieces Together. https://www.youtube.com/watch?v=9P845AMjJF0 . 
[14] New RDP Exploit Allows Attackers to Take Over Windows. https://gbhackers.com/new-rdp-exploit . 
[15] Detection: Windows RDP Cache File Deletion. https://research.splunk.com/endpoint/f3e86ff3-b1f9-4382-8924-6913385f1019 . 
[16] BSI-Bund/RdpCacheStitcher. https://github.com/BSI-Bund/RdpCacheStitcher .