Los sitios de asistencia de LogMeIn ya no son compatibles con el navegador Internet Explorer (IE) de Microsoft. Utilice un navegador compatible (Chrome/FireFox/Edge) para asegurarse de que el funcionamiento de todas las características es el esperado.

El sitio de asistencia de GoTo ya no es compatible con Safari 15. Actualice el navegador a Safari 16 (o una versión más reciente) o cambie a un navegador compatible, como Google Chrome, Mozilla Firefox o Microsoft Edge.

Confíe en nuestro potente software de RMM para gestionar su infraestructura de TI. Descubra LogMeIn Central.

We are currently experiencing an unplanned outage for this product. Ver el estado de servicio
  • Support
  • Ver los productos

    Explorar asistencia por producto

    GoTo Connect

    Software de reuniones, mensajería y teléfono todo en uno

    GoTo Meeting

    Software de reuniones de audio y vídeo

    GoTo Webinar

    Software de eventos virtuales y seminarios web todo en uno

    GoTo Room

    Hardware de sala de conferencias

    GoTo Training

    Software de formación en línea

    OpenVoice

    Software de conferencias de audio

    Grasshopper

    Sistema de telefonía virtual ligera

    join.me

    Software de videoconferencias

    Resolve

    Asistencia y gestión de TI

    Resolve MDM

    Gestión de dispositivos móviles

    Pro

    Acceso remoto a dispositivos

    Central

    Supervisión y gestión remotas

    Rescue

    Asistencia de TI remota

    GoToMyPC

    Acceso a escritorio remoto

    GoToAssist

    Software de asistencia remota

    Hamachi

    Servicio de VPN alojado

    RemotelyAnywhere

    Solución de acceso remoto en sus instalaciones
  • Comunidad
  • Formación
  • Estado del servicio

  • Pruebe el portal Mis casos mejorado

    Gestione fácilmente sus tickets, controle su estado, contacte con nosotros desde un caso existente y mucho más.

    Inicie sesión para probarlo
  • Language selector icon Language selector icon
    • English
    • Français
    • Italiano
    • Deutsch
    • Español
    • Português
    • Nederlands
  • Contactar con el equipo de asistencia
  • Estado del servicio
  • User Avatar User Avatar
    • Support
    • Contactar con el equipo de asistencia
    • Browse Products
    • Estado del servicio
    • Comunidad
    • Formación
    • Iniciar sesión
    • User Avatar
    • Mi cuenta
    • Información personal
    • Inicio de sesión y seguridad
    • Mis casos
    • Centro de administración
    • https://link.goto.com/myaccount-billing
    • Mi GoTo Connect
    • Mis reuniones
    • Mis seminarios web
    • Mis cursos
    • Mis conferencias
    • Mis resoluciones
    • My Mobile Devices
    • Mis sesiones
    • Mis sesiones
    • Mis incidencias
    • Sign out

product logo
Back button image Regresa
Back button image
LogMeIn Security Whitepaper

LogMeIn Security Whitepaper

  • Axiomas de acceso remoto
  • Arquitectura de software
  • Mecanismos de seguridad
  • Detección de intrusos
  • Desvío de datos
  • UDP NAT Traversal
  • Actualizaciones de software y seguridad del gateway
  • Conclusión

Esta guía ofrece una visión en profundidad de las características de seguridad de GoTo (f.k.a. LogMeIn) remote access and management products, LogMeIn Pro and LogMeIn Central. En GoTo creemos en la seguridad a través de la transparencia. No esperamos que nuestros clientes acepten ciegamente nuestras afirmaciones. Al publicar los detalles sobre cómo funcionan e interoperan los mecanismos de seguridad en nuestros productos, también estamos invitando al público a examinar nuestros esfuerzos.

Audiencia

Este documento es de carácter técnico y está dirigido a ingenieros de redes o diseñadores de redes. La lectura de este documento puede ayudar al lector a realizar el análisis de amenazas necesario antes de implementar nuestro producto.

Terminología

Regarding LogMeIn Pro and LogMeIn Central's architecture, there are three entities that take part in every remote access session. El "cliente" o el "usuario" es la persona o el software (navegador, aplicación nativa, aplicación móvil) que accede a un recurso remoto. El "anfitrión" o el "servidor" es el ordenador al que se accede, o el software anfitrión del producto en este ordenador. La "pasarela" es el servicio que media el tráfico entre el cliente y el host.

Fundamentos del diseño

LogMeIn Pro and LogMeIn Central are designed to allow secure remote access to critical resources over an untrusted network. Durante el desarrollo, las consideraciones de seguridad siempre prevalecen sobre las de usabilidad.

Axiomas de acceso remoto

Todo es un objetivo

Cada día más ordenadores están conectados de manera ininterrumpida. La mayoría de estos ordenadores los utilizan usuarios que se conectan desde casa y tienen lagunas de seguridad, como vulnerabilidades sin parches y ausencia de contraseñas adecuadas.

Sin embargo, la mayor debilidad son los usuarios en sí. La penetración extremadamente rápida de los denominados virus de correo electrónico ilustra la total falta de conciencia en los referente a la seguridad y la ingenuidad de la mayoría de los usuarios de Internet. Los virus de correo electrónico son archivos adjuntos al mensaje, más conocidos como caballos de Troya. Se propagan tan rápido porque los usuarios, sorprendentemente, están dispuestos a violar una de las reglas principales del manejo de contenido que no es de confianza. Si los propios usuarios son responsables de la infección de sus ordenadores con troyanos, ¿cómo podemos fiarnos de ellos para proteger adecuadamente sus sistemas contra ataques directos?

Incluso los administradores de red competentes pueden despistarse y olvidar instalar uno o dos parches, lo cual supondría, en el peor de los casos, permitir que los piratas informáticos ejecuten código arbitrario en los sistemas afectados.

Los ciberataques no son nuevos, pero en los últimos tiempos ha cambiado significativamente el perfil de la persona que es capaz de realizarlos. Lo que una vez fue una profesión ilícita restringida a unos pocos muy bien preparados, con conocimientos muy complejos y que estaban bien conectados, se ha transformado ahora para ser una tarea que casi cualquiera puede llevar a cabo, debido en gran parte a los kits de exploits automatizados que pueden realizar un uso inadecuado de miles de vulnerabilidades conocidas sin necesidad de configuración adicional.

Acceso remoto y seguridad

Es fácil observar que la mayoría de los ordenadores conectados a Internet son extremadamente vulnerables, incluso sin la instalación de un producto de acceso remoto. Los productos de acceso remoto se perciben como factores de alto riesgo, pero principalmente por motivos psicológicos. Cuando un usuario observa una solución de acceso remoto en acción, su primera reacción negativa está relacionada normalmente con las implicaciones de seguridad. Esto es completamente normal y, de hecho, es 
lo ideal. El verdadero problema es que los usuarios no observan inmediatamente la amenaza inherente en otras aplicaciones de red como un cliente de correo electrónico, un servidor web o el sistema operativo en sí.

Todos los sistemas operativos modernos incluyen de forma predeterminada algún tipo 
de solución de acceso remoto. Windows, por ejemplo, incluyen Escritorio remoto de Microsoft como una sencilla interfaz de administración remota. Incluso OpenBSD, la variante de Unix, que normalmente está considerado como el sistema operativo más seguro que existe, incluye SSH, que, una vez más, es una aplicación sencilla y segura que permite un acceso de línea de comandos al ordenador remoto.

En su caso, una solución de acceso remoto bien configurada y bien configurada reduce el número de incidentes de seguridad a un nivel mínimo. If a network manager can keep a network secure using a reliable remote access software package, such as LogMeIn Pro and LogMeIn Central, productivity can be increased and costs may be reduced without any adverse effects on network security.

Arquitectura de software

Before explaining the exact security mechanisms employed by LogMeIn Pro and LogMeIn Central, it is necessary to give a quick introduction to the solution architecture.

Existen tres componentes clave en cualquier sesión de acceso remoto. Los roles del cliente y el host deben ser de forma sencilla. El tercer componente es la puerta de enlace.


Arquitectura del sistema

The host maintains a constant TLS-secured connection with one of the LogMeIn Pro and LogMeIn Central gateway servers in one of our physically secure datacenters. El vínculo se inicia a través del host y el firewall lo considera una conexión saliente, como tráfico de exploración web protegido. The client establishes a connection to LogMeIn Pro or LogMeIn Central and authenticates itself. En función de la identidad del cliente. se le autoriza el intercambio de datos con uno o más host (los host correspondientes a la cuenta del usuario). A continuación, la puerta de enlace reenvía el siguiente tráfico cifrado entre el cliente y el host. Hay que destacar que el cliente tendrá que autenticarse también en el host; la puerta de enlace es el intermediario del tráfico entre las dos entidades, pero no necesita que el host confíe en el cliente de forma implícita. Una vez que el host ha verificado la identidad del cliente y autorizado el acceso al ordenador, se inicia la verdadera sesión de acceso remoto.

La ventaja de utilizar la puerta de enlace es que tanto el cliente como el host (o ambos) pueden tener configurado un firewall. La puerta de enlace garantiza que los usuarios no necesiten configurar firewalls.

Mecanismos de seguridad

Cuando los usuarios piensan en la seguridad de los datos de Internet, normalmente se preocupan sobre el cifrado de datos, hasta el punto en el que la seguridad se calcula sobre la longitud de la clave de cifrado utilizada. Sin embargo, el cifrado y descifrado, aunque son muy importantes, son tareas un tanto triviales en comparación con los otros retos a los que se enfrentan los diseñadores de sistemas seguros. As you will see, data encryption is just one of the main goals set forth by the designers of LogMeIn Pro and LogMeIn Central.

Autenticación de la puerta de enlace al cliente

First and foremost, when a user connects to a LogMeIn Pro or LogMeIn Central installation via a gateway – the “server” – they need to be 100% positive that the computer they are about to exchange data with is really the one to which they intended to connect.

Supongamos que un pirata informático imita el servidor ante el usuario e imita al usuario ante el servidor. El pirata informático, en este caso, puede situarse entre las dos partes mientras consulta o, posiblemente, modifica los datos que se están transmitiendo. Esto se conoce como “intrusión” o ataque MITM, del cual es muy difícil protegerse.

Nuestros productos utilizan la autenticación basada en certificados TLS 1.2 y 1.3 para verificar las identidades del servidor y, por lo tanto, protegerán contra los ataques de MITM. Cuando se realiza una conexión, se verifica el certificado del servidor. Si el certificado está emitido por una autoridad de certificación que no es de confianza, se emite una advertencia. Si el certificado ha sido emitido por una autoridad de certificación de confianza, pero el nombre del host en la dirección URL no coincide con el nombre del host incluido en el certificado, aparecerá una advertencia diferente.

Si el servidor pasa estas verificaciones, el cliente del usuario genera una “clave secreta previa” o PMS, la cifra con la clave pública del servidor incluida en su certificado y la envía al servidor. Asegurada por la criptografía de claves públicas, sólo el servidor que incluya esa clave privada correspondiente podrá descifrar la clave PMS. El usuario y el servidor utilizarán la clave PMS para derivar la clave secreta, que a su vez, se utilizará para derivar los vectores de inicialización y las claves de sesión para la duración de la sesión segura.

En poco tiempo, todo lo anterior asegurará que el usuario está estableciendo una conexión con el servidor y no con una tercera entidad. Si se intenta un ataque MITM, se disparará una de las advertencias de seguridad o la clave PMS será desconocida para el ataque MITM, haciendo el ataque imposible.

One2Muchas – Autenticación y cifrado

La función One2Muchas permite habilitar scripts e implementaciones avanzadas, que permite a nuestros usuarios realizar funciones de masa en toda la organización. With this tool, users can execute, manage, and monitor administrative tasks on multiple Windows and Mac computers directly from LogMeIn Central.

Para garantizar una seguridad y una seguridad generales, es obligatorio usar 2FA para One2Muchas. One2Muchas almacena las credenciales de dos formas: al ejecutar una tarea en tiempo real, almacena las credenciales en el navegador. Cuando la tarea se ejecuta más adelante, las credenciales se almacenan en la base de datos del producto.

Los credenciales que se usan en One2Muchas están cifradas con la clave pública del anfitrión, por primera vez que se cifrará más por el sitio web. El primero es necesario, por lo que solo el anfitrión con su clave privada puede descifrar, y la segunda garantiza la opción de eliminar datos. With this method, credentials can be wiped from the website (LogMeIn Central) even if the host is offline. El aspecto principal de esto es que solo el anfitrión puede descifrar las credenciales.

Autenticación de usuarios en la puerta de enlace

Los usuarios deben autenticarse tanto por la puerta de enlace como en el anfitrión. An email address and password verification is performed whenever a user logs on to the LogMeIn website. Users are also advised to enable one or more of LogMeIn’s extra security features to strengthen this authentication step.

Note: LogMeIn Central subscribers can enforce a strong password policy. Visit support.goto.com for details.

Autenticación entre los usuarios y la puerta de enlace

9.2.1 Códigos de seguridad impresos

Una de las funciones de seguridad adicionales en una hoja de códigos de seguridad impresos. Cuando el usuario activa esta función, se le solicitará que imprima una lista de las contraseñas de nueve caracteres aleatorios generadas por la puerta de enlace. Cada vez que un usuario inicia sesión en su cuenta al www.LogMeIn.com se les pedirá que introduzca uno de los códigos de seguridad de la lista para acceder a su cuenta. Cada código podrá utilizarse una sola vez. Antes de que el usuario agote todos los códigos de seguridad impresos, se le solicitará que imprima otra página. Esto invalida los códigos de seguridad anteriores que no habían sido utilizados.

Esto es cómo habilitar los códigos de seguridad imprimidos:
  1. Login to your LogMeIn account.
  2. Haga clic Configuración > Seguridad.
  3. Seleccione la opción Código de seguridad impreso.
  4. Genere e imprima una lista de códigos de seguridad.
  5. Haga clic en Guardar.

9.2.2 Códigos de seguridad enviados por correo electrónico

Another way to secure your LogMeIn account is to use the Emailed Security Code feature. Cada vez que inicie sesión en su cuenta en LogMeIn.com se le enviará un correo electrónico con un código de seguridad que debe introducir en el cuadro de diálogo adecuado para acceder a su cuenta. Cada código podrá utilizarse una sola vez.

When this feature is turned on and the user authenticates successfully with their email address and password to the LogMeIn gateway, a pass code is generated and sent to the email address. El usuario recibirá este código de acceso en un correo electrónico y lo introducirá en la página proporcionada por la puerta de enlace. El código de acceso caduca en cuanto se usa o a los pocos minutos de ser generada, lo que suceda antes.

Así es cómo activar los códigos de seguridad emitientes:
  1. Login to your LogMeIn account.
  2. Haga clic Configuración > Seguridad.
  3. En la ficha Seguridad adicional, seleccione la opción Código de seguridad enviado por e-mail.
  4. Introduzca su dirección de correo electrónico en el campo correspondiente.
  5. Haga clic en Guardar.

9.2.3 Auditoría de cuentas

Keep track of activity in your LogMeIn account. Seleccione los sucesos por los que quiere recibir una notificación automática por correo electrónico como errores al intentar iniciar sesión o cambios de contraseña. Las notificaciones se enviarán a las direcciones de correo electrónico especificadas (para múltiples destinatarios, separe las direcciones de correo electrónico con punto y coma). Tenga en cuenta que algunos de los sucesos de cuenta están activados de forma predeterminada y no se pueden deshabilitar.

Esto es cómo habilitar la función de auditoría de cuentas (notificaciones por e-mail):

  1. Login to your LogMeIn account.
  2. Haga clic Configuración > Configuración de la cuenta.
  3. En Notificaciones por correo electrónico, haga clic cambiar y seleccione eventos para los que desea recibir una notificación por e-mail automática.
    Tip: También puede editar la lista de destinatarios.
  4. Haga clic en Guardar.
LogMeIn Central subscribers (account holders) can audit additional items at Settings > Security > Audit Settings:
  • Cambios de ajustes relacionados con la seguridad
  • Sucesos relacionados con usuarios (usuarios invitados, invitaciones aceptadas o eliminadas, sucesos de inicio de sesión)
  • Sucesos relacionados con ordenadores (añadidos, eliminados, acceso directo generado o anulado, paquete de instalación generado)

9.2.4 Verificación en dos pasos (autenticación de doble Factor, 2FA)

La verificación en dos pasos añade un nivel de seguridad adicional a su cuenta. Es como un cajero que protege su dinero mediante la solicitud tanto de la tarjeta de crédito como de un PIN. Sin la verificación en dos pasos, cualquiera que sepa su contraseña puede acceder a sus datos. Una vez configurada la verificación en dos pasos, el procedimiento de inicio de sesión cambiará: Después de introducir el ID y la contraseña de LogMeIn, deberá verificar su identidad.

LogMeIn Central subscribers can enforce a login policy that forces all users in their account to use two-step verification. For step-by-step instructions, visit support.goto.com.

Autenticación de la puerta de enlace a la Host

La puerta de enlace debe probar su identidad en el host antes de que se le confíen los códigos de acceso. The host, when making a connection to the gateway, checks the certificate transported during the TLS handshake to make sure it is connecting to one of the LogMeIn gateway servers. Este proceso es muy similar a la “Autenticación de la puerta de enlace al cliente”.

Autenticación del host en la pasarela

La puerta de enlace verifica la identidad del host cuando acepta una conexión entrante que utiliza una cadena larga de identificador único. Esta cadena es una clave compartida entre las dos entidades y es emitida por la puerta de enlace cuando se instala el host. Este identificador único solo se comunica a través de un canal protegido por TLS después de que el host haya verificado la identidad de la puerta de enlace. La figura 3 ilustra la forma en la que el host y la puerta de enlace se autentican entre sí antes de que un host pueda acceder al cliente. Para garantizar una mayor seguridad, el host puede cambiar su secreto compartido con una solicitud de la puerta de enlace mediante la conexión segura.



Autenticación del host y la puerta de enlace

Cifrado de datos

El estándar TLS define una amplia opción de conjuntos de empresas, sobre todo según el cifrado basado en AES para motivos de compatibilidad. AES puede utilizar claves de 128 ó 256 bits. El cliente y el servidor aceptan el cifrado más activo. El cliente envía el servidor una lista de los cifradores que está dispuesto a usar, y el servidor elige cuál es el valor predeterminado.

La estándar TLS no define cómo el servidor debe elegir el cifrado final. En nuestro caso, el servidor solo selecciona la opción de cifrado compartido más segura que el cliente ha ofrecido.

Este método permite tanto al cliente como al servidor rechazar el uso de algoritmos específicos de protección de datos sin necesidad de actualizar ambos componentes, en caso de que un algoritmo se considere roto o inseguro.

Detección de intrusos

LogMeIn Pro and LogMeIn Central provide two layers to detect intrusion attempts: TLS and LogMeIn Intrusion Filters.

TLS

For the first layer of intrusion detection, LogMeIn utilizes TLS 1.2 and 1.3 certificate based authentication to ensure that the data has not changed in transit. Esto se consigue a través de las técnicas siguientes:

Numeración de secuencia de registro
Por numeración de secuencia de registro entendemos que el remitente numera los registros de TLS y el destinatario comprueba el orden. De esta forma se asegura que un pirata informático no pueda eliminar ni insertar registros arbitrarios en el flujo de datos.
Códigos de autenticación de mensajes
Se añaden códigos de autenticación de mensajes (MAC) a cada registro de TLS. Esto proviene de la clave de sesión (que sólo conocen las dos partes que se están comunicando) y de los datos contenidos en el registro. Si falla una verificación de MAC, se supone que los datos se modificaron durante la transmisión.

LogMeIn Intrusion Filters

The second layer is provided by LogMeIn itself, and is comprised of three intrusion filters.

Filtro de dirección IP

When LogMeIn receives a connection request from a client, it first checks its list of trusted and untrusted IP addresses and possibly denies the connection. An administrator can set up a list of IP addresses within LogMeIn that are either allowed or denied to establish a connection to the selected host (for example, designate the internal network and another administrator’s home IP address as allowed). IP Address filters can be set under Security > IP Filtering. You can also set filter profiles for the network adapters available on the Server under Preferences > Network.

Filtro de denegación de servicio

Un filtro de denegación de servicio rechaza las conexiones si la dirección IP de la que proviene la solicitud ha creado un número excesivo de solicitudes sin autenticación en la ventana de tiempo de observación. Esto se realiza para evitar que algún usuario sobrecargue el ordenador host mediante, por ejemplo, la solicitud automática y muy rápida de la página de conexión una y otra vez. Puede personalizar el comportamiento del filtro DoS en Seguridad > Bloqueo de dirección IP.

Filtro de autenticación

Si el usuario ha realizado un número excesivo de intentos de conexión fallidos, el filtro de autenticación rechaza la conexión. El filtro de autenticación se coloca para evitar que un intruso potencial adivine un nombre de cuenta y su contraseña.

Here's how to set filters on a LogMeIn host:
  1. Acceda a las preferencias del host desde el host o el cliente:
    • Si está en el host, abra el Panel de Control de LogMeIn y siga esta ruta: Opciones > Preferencias > Seguridad
    • Si está en el cliente, conéctese al host Menú principal y siga esta ruta: Preferencias > Seguridad
  2. En la aplicación de escritorio, en Control de intrusiones, haga clic en Editar perfiles para empezar a crear un perfil de filtro.
  3. On the LogMeIn Central website, select Host Preferences, then click IP Address lockout category. For details, see the LogMeIn Pro or the LogMeIn Central support site.

Autenticación y autorización de usuarios en el Host

Cuando se haya otorgado el acceso mediante los niveles anteriores, el usuario tendrá que probar su identidad en el host. Esto se consigue mediante un paso de autenticación obligatorio a nivel de sistema operativo.

El usuario debe autenticarse en el host utilizando su nombre de usuario y contraseña estándar de Windows o Mac. El host normalmente transfiere esta solicitud al controlador de dominio relevante. Este paso no sólo valida la identidad del usuario, sino que también asegura que los administradores de red puedan controlar quién puede conectarse a un host específico.

Contraseña Personal

Personal Password is another optional security measure that can be set up on the LogMeIn host. El usuario puede asignar una contraseña personal al host que, al igual que la contraseña del sistema operativo, no se almacena ni verifica en la puerta de enlace. Una diferencia entre la contraseña del sistema operativo y la contraseña personal es que el host nunca solicita la contraseña personal completa, por lo que el usuario nunca la introduce en su totalidad en cada sesión de autenticación. Normalmente, el host solicita al usuario que introduzca tres dígitos aleatorios de su contraseña personal después de que la autenticación del sistema operativo se haya realizado correctamente. Si el usuario introduce los caracteres correctos (por ejemplo, el primero, el cuarto y el séptimo), se le otorgará el acceso.

Aquí tiene cómo configurar una contraseña Personal:

  1. Acceda a las preferencias del host desde el host o el cliente:
      • Si está en el host, abra el Panel de Control de LogMeIn y siga esta ruta: Opciones > Preferencias > Seguridad
      • Si está en el cliente, conéctese al host Menú principal y siga esta ruta: Preferencias > Seguridad
    • En Contraseña personal, escriba su contraseña personal y vuelva a escribirla para confirmarla.
    • Haga clic en Apply (Aplicar).

GoTo and RSA SecurID

To add an extra layer of security over the simple username/password authentication, you can configure LogMeIn to require RSA SecurID authentication. RemotelyAnywhere, the product that pioneered the technology in use by LogMeIn, was officially certified by RSA Security as SecureID Ready in 2003. Desde ese momento, GoTo has seguir mantener el nivel elevado de seguridad coherente con la tecnología RSA.

Para obtener más información sobre el producto RSA SecurID, visite el sitio web de RSA. For information on setting up this feature on a LogMeIn host, visit https://support.logmeininc.com/pro.


Autenticación entre los usuarios y el host

Autenticación y autorización de usuarios en el Host

Once LogMeIn has verified the user’s identity using the above methods, it checks its own internal user database to see which internal modules the user is allowed to access.

System administrators can configure LogMeIn so that users with certain roles have access only to a subset of tools offered by LogMeIn; for example, the Helpdesk department can be configured to only view a computer’s screen and performance data, but not actually take over the mouse and the keyboard or make any changes to the system configuration. Mientras tanto, el departamento de ventas puede otorgar acceso remoto completo a sus respectivos ordenadores, pero características como el control del rendimiento o la administración remota no estarán disponibles a los usuarios.

Using the operating system access token obtained when the user was authenticated, LogMeIn impersonates the user towards the operating system while performing actions on their behalf. This ensures that LogMeIn adheres to the operating system's security model, and users have access to the same files and network resources as if they were sitting in front of their computer. Resources unavailable to users in Windows or OS X also remain unavailable via LogMeIn.

See “Controlling Who Can Access Your Host Computers” in the LogMeIn Pro or LogMeIn Central support site.

Auditoría y registro

LogMeIn provides extensive logging capabilities. A very detailed log of the events that occur within the software is kept in the LogMeIn data log directory. Los sucesos más importantes también se colocan en el registro de sucesos de la aplicación de Windows. Estos sucesos incluyen, por ejemplo, la acciones de conexión y desconexión. El registro detallado también se puede enviar a un servidor SYSLOG personalizado de la opción del cliente.

See “How to View Host Event Log Files” in the LogMeIn Pro support site for details. For SYSLOG, see “Deployable Host Preferences for Logs and Session Recording” in the LogMeIn Central support site.

Desvío de datos

La puerta de enlace proporciona cifrado de extremo a extremo mediante el reenvío de datos cifrados entre el host y el cliente. Si está familiarizado con el funcionamiento de TLS, quizá le parezca imposible; después de todo, se supone que solo la puerta de enlace puede descifrar los datos enviados por el cliente porque el cliente confía en que se está comunicando con la puerta de enlace. This is a valid point, but LogMeIn made a few important changes to how TLS sessions are handled between the host and the gateway.

La primera parte de la negociación de TLS la realizan la puerta de enlace y el cliente. A continuación, la puerta de enlace transfiere el intercambio al host, que vuelve a negociar la sesión de TLS y acuerda una nueva clave de sesión con el cliente, proporcionando así un verdadero cifrado de extremo a extremo.

Cuando el tráfico se retransmite a través de la puerta de enlace, el cliente establece una sesión de TLS con la puerta de enlace utilizando el certificado de dicha puerta de enlace. La puerta de enlace transfiere al host el estado de esta sesión de TLS (incluida la clave secreta previa). Tras acordar una nueva clave de sesión, el host utiliza el estado de esta sesión para gestionar el resto de la sesión de TLS directamente con el cliente. El certificado de la puerta de enlace protege la sesión, permitiendo que el cliente hable directamente con el host sin necesidad de que la puerta de enlace descifre y vuelva a cifrar el tráfico.

No se pueden realizar ataques MITM porque tanto el host como el cliente verifican el certificado de la puerta de enlace, y el cliente utiliza su clave RSA pública para autenticar la información cifrada que se utiliza para obtener la clave secreta previa de TLS.

UDP NAT Traversal

Es importante explicar cómo se usa NAT transversal de UDP, especialmente porque el protocolo UDP es considerado muy poco seguro. No es enteramente una de las siguientes funciones: si UDP se usa como un medio de comunicación y, a continuación, seguridad puede ser un problema grave, ya que los datos de UDP son fáciles de forzar y se puede desacoplar la dirección IP del emisor.

Para contrarrestar esto, LogMeIn.com no utiliza UDP como medio de comunicación en sí con las conexiones NAT transversal de UDP. UDP se relega al nivel de red como se define en el modelo de red ISO/OSI, con un nivel de trasporte de tipo TCP creado en su parte superior y completado con control de flujo, escalado de banda ancha dinámica y numeración de secuencias de paquete.

LogMeIn.com uses UDP instead of TCP packets (thereby effectively re-implementing a TCP-like transport layer) because most firewalls and NAT devices allow seamless two-way communication over a UDP transport as long as it is initiated from within the security perimeter, but they require significant reconfiguration for TCP and IP packets. Tras construir una transmisión fiable de tipo TCP a partir de paquetes UDP poco fiables, se refuerza la protección de la transmisión con un nivel TLS, proporcionando capacidades de cifrado total, protección de la integridad y verificación del punto de acceso.

Para configurar una conexión de NAT transversal de UDP, tanto el cliente como el host envían varios paquetes UDP cifrados a la puerta de enlace. Estos paquetes se cifran utilizando una clave secreta compartida por la puerta de enlace y el usuario correspondiente, y se comunican a través de la conexión TLS preexistente. Es imposible imitarlos.

La puerta de enlace utiliza estos paquetes para determinar las direcciones IP externas (Internet) de las dos entidades. También intenta predecir el puerto del firewall que se utilizará para la comunicación cuando se envía un nuevo paquete UDP. Transfiere sus descubrimientos a los usuarios, los cuales intentarán configurar una conexión directa a continuación. La conexión se produce si la puerta de enlace puede determinar el puerto en uso. Los usuarios se verifican mutuamente utilizando otra clave compartida obtenida de la puerta de enlace. Se establece una sesión de TLS. A continuación, los usuarios se comunican directamente.

Si no se puede configurar una conexión directa, los usuarios se volverán a conectar a la puerta de enlace mediante TCP y solicitarán que se utilice una sesión reenviada que esté cifrada de extremo a extremo. Este proceso sólo tarda unos cuantos segundos y es totalmente visible para el usuario. La única diferencia notoria es el rendimiento mejorado y la baja latencia cuando se utiliza una conexión directa. Para ver más información, consulte Número de patente de EE. UU. 7.558.862.

Actualizaciones de software y seguridad del gateway

The LogMeIn host, based on user preferences, can semi-automatically or automatically update itself on the user’s computer. El software del host comprueba periódicamente el sitio web de LogMeIn.com para obtener versiones más recientes del software. Si se encuentra una nueva versión, se descarga automáticamente y se muestra un mensaje al usuario para que pueda permitir la actualización. El proceso de descarga sólo utiliza como máximo un 50% del ancho de banda disponible, por lo que prácticamente no interfiere con ninguna otra aplicación de red.

Estas actualizaciones de software están firmadas digitalmente por LogMeIn.com con una clave privada que no se encuentra en ninguno de nuestros sistemas conectados a través de Internet. Therefore, even if the LogMeIn datacenters were compromised by attackers who then gain complete control over our servers, they would not be able to upload a rogue update and run arbitrary code on our users’ computers. The most such a highly unlikely attack could accomplish is access to the LogMeIn logon screen on the customer’s computer, which, even though it effectively bypasses the gateway security mechanisms, would still require that they enter valid operating system credentials to gain access to the computer. El forzado de contraseñas es inviable, ya que el filtro de autenticación bloquea de forma predeterminada la dirección IP del usuario tras la introducción de varias contraseñas incorrectas.

For cases when a user has the same password for both LogMeIn and their computer, note that we do not store actual LogMeIn passwords in our database. Lo que hacemos es utilizar una función unidireccional de derivación de clave criptográfica y un valor de sal por cuenta para garantizar que no se pueda recuperar la contraseña con un ataque de fuerza bruta aunque se disponga del valor derivado.

Conclusión

Una solución de acceso remoto bien diseñada puede aumentar la productividad en gran medida y proporcionar una rápida rentabilidad. When deployed with care and LogMeIn's optional security features are utilized, the benefits greatly outweigh the risks.

¿Necesita ayuda?

Contact icon Contactar con el equipo de asistencia
Manage Cases icon Gestionar casos
Community icon Preguntar a la comunidad
Training icon Asistir a sesiones de formación
Video icon Ver vídeos
  • Language selector icon Language selector icon
    • English
    • Français
    • Italiano
    • Deutsch
    • Español
    • Português
    • Nederlands
  • Acerca nosotros
  • Términos de servicio
  • Política de privacidad
  • Marcas comerciales
  • No vender ni compartir mi información personal
  • Ver los productos
  • Copyright © 2025 GoTo Group, Inc. All rights reserved

Comunicación y colaboración

GoTo Connect

GoTo Meeting

GoTo Webinar

GoTo Training

join.me

Grasshopper

OpenVoice

Interacción y asistencia

GoTo Resolve

Rescue

GoToAssist

Identidad y acceso

Pro

Central

GoToMyPC