Los ataques al escritorio remoto no son nuevos, pero se están volviendo comunes especialmente como mecanismo para cifrar la información y exigir el pago de rescate para recuperarla.
Para responder a la pregunta es importante saber que un ataque al RDP tiene éxito cuando el atacante logra iniciar sesión en el sistema con una cuenta de administrador o usuario válida. Eso quiere decir, que el atacante logró adivinar u obtener de alguna forma un usuario y contraseña válidos.
Para ponerlo en palabras simples, ante el sistema, el atacante logró hacerse pasar por usted, y eso tiene serias implicaciones si la cuenta que usó es de administrador. Tendrá acceso a todo, y podrá hacer lo que desee con el sistema, incluyendo, re-configurar o desinstalar el antivirus, lo cual de hecho es lo primero que hacen estos atacantes, para luego correr en la máquina algún Ransomware y cifrar la información.
Piense en la seguridad de su casa. Si alguien logra obtener sus llaves, la clave de su alarma y aparte se disfraza idéntico a usted, su alarma servirá? sus cámaras servirán? su perro detendrá al ladrón? Evidentemente no, y del mismo modo que su alarma será desactivada y su perro engañado, su software antivirus poco podrá hacer si lo desinstalan o desactivan. Por eso es su responsabilidad usar buenas contraseñas, no re-usarlas y cambiarlas con frecuencia.
Publicar el RDP en internet tiene además otras implicaciones, tantas que muchos expertos recomiendan simplemente no hacerlo y emplear soluciones alternativas, al respecto se puede consultar este artículo.
https://www.sogyo.net/blog/riesgos-de-usar-escritorio-remoto-rdp-publicado-en-internet/