Si utilitzeu Chrome Remote Desktop per connectar-vos al vostre ordinador de casa, al PC de l'oficina o per donar suport a altres persones, és normal que us pregunteu com va de seguretat. La combinació d'accés remot, compte de Google i connexió a Internet fa que molts usuaris es preocupin per si algú es pot colar als seus equips o espiar el que fan.
Al llarg d'aquest article revisarem amb lupa com protegeix Google les connexions, quins riscos reals existeixen, com pots reforçar la seguretat pas a pas (mode cortina, firewall, VPN, 2FA, etc.) i en quins casos potser és millor optar per alternatives més completes com Splashtop, AnyViewer o solucions basades en RDP amb capes extra com TSplus o RDS-Tools. Tot explicat en espanyol d´Espanya i amb exemples pràctics perquè puguis decidir amb criteri.
Què és exactament Chrome Remote Desktop i per a què es fa servir?
Chrome Remote Desktop (CRD) és la solució d'accés remot gratuït de Google. Va néixer com una extensió del navegador Chrome i avui funciona com a aplicació web i app mòbil (Android i iOS). Permet controlar un altre ordinador a través d'internet: podeu veure l'escriptori remot, manejar el ratolí i el teclat, obrir aplicacions, consultar arxius o ajudar una altra persona amb un problema tècnic.
Amb CRD pots connectar un PC amb Windows a un altre Windows, a un Mac oa un Linux, i fins i tot utilitzar un mòbil Android o un iPhone per manejar el teu ordinador. Només necessites tenir Chrome o el client compatible, iniciar sessió amb el teu compte de Google i instal·lar el component amfitrió a l'ordinador al qual vols accedir.
Hi ha dos escenaris molt habituals: l'accés remot permanent (per exemple, deixar el PC de l'oficina a punt per connectar-te des de casa) i el suport puntual, on la persona que necessita ajuda genera un codi temporal i tu et connectes per resoldre-li el problema.
Una limitació important és que, per disseny, Chrome Remote Desktop depèn completament de l'ecosistema de Google: necessites un compte de Google i, en molts casos, el navegador Chrome per configurar-lo o utilitzar-lo amb comoditat. Això us passa factura en entorns corporatius on s'utilitzen altres navegadors o polítiques més estrictes.
Infraestructura i tecnologies de seguretat de Chrome Remote Desktop
La base de seguretat de Chrome Remote Desktop és el xifratge i l'autenticació. Google aprofita la mateixa infraestructura segura que utilitza per a altres serveis (Gmail, Drive, etc.), però aplicada a l'accés remot.
Durant la connexió, CRD empra TLS (Seguretat de la capa de transport) per protegir el canal de comunicació entre el dispositiu client i lequip amfitrió. TLS xifra les dades en trànsit i evita que un atacant pugui llegir allò que s'envia encara que intercepti el trànsit de xarxa.
A més del canal TLS, Chrome Remote Desktop utilitza xifrat simètric avançat, com AES de 256 bits, una tecnologia estàndard en banca en línia i comunicacions d'alt nivell. Això vol dir que cada moviment de ratolí, pulsació de teclat i contingut de pantalla viatja xifrat extrem a extrem.
L'autenticació es recolza en el teu compte de Google com a identitat principal. Per a l'accés permanent es configura un PIN d'almenys sis xifres a l'ordinador amfitrió, que serveix com a segona barrera per iniciar una sessió. A les sessions de suport desateses, s'utilitza un codi d'un sol ús que genera el servei i que només té validesa temporal.
Finalment, Google ofereix l'opció d'activar verificació en dos passos (2FA) al compte de Google, afegint una capa extra de seguretat amb codis SMS, aplicacions d'autenticació o claus físiques. Encara que no és obligatori, és una de les millors defenses davant del robatori de credencials.
És fiable Chrome Remote Desktop a llarga distància i durant dies?
Molts usuaris es plantegen si poden deixar el seu PC encès i accessible durant una setmana mentre estan de viatge i continuar treballant sense problemes. En termes d'estabilitat, Chrome Remote Desktop sol comportar-se força bé per a sessions llargues, sempre que el PC amfitrió estigui ben configurat i no entri en suspensió, ni es reiniciï, ni tingui talls de xarxa.
Tècnicament pots deixar el servei de Chrome Remote Desktop executant-se de manera contínua al teu ordinador amb Windows, Mac o Linux. No cal que tanquis l'app cada cop que acabes de fer-la servir; el que és important és protegir l'accés amb un PIN robust, un compte ben assegurat i un sistema operatiu al dia.
Ara bé, des del punt de vista de la seguretat, convé que tinguis clar que un equip disponible 24/7 augmenta la superfície d'atac. Encara que el canal estigui xifrat, si algú aconsegueix la contrasenya del vostre compte de Google o té accés físic al host, podria intentar entrar. Per això és tan important combinar les proteccions de Google amb bones pràctiques locals (antivirus, tallafocs, actualitzacions, bloqueig de pantalla, etc.).
Per minimitzar riscos, molts administradors prefereixen limitar l'ús de Chrome Remote Desktop a xarxes de confiança o VPN corporatives, o fins i tot desactivar funcions quan no són necessàries. Més endavant veurem com fer-ho centralitzadament en entorns d'empresa.
Tecnologies de xifratge, autenticació i seguretat del compte
A cada sessió remota es posen en marxa diversos mecanismes en paral·lel. D'una banda, TLS/SSL s'encarrega de protegir el canal i evitar atacs dintercepció o manipulació del trànsit. De l'altra, el contingut de la sessió es xifra mitjançant algorismes robustos com AES de 256 bits.
A nivell d'autenticació, Chrome Remote Desktop combina la identitat del compte de Google i un factor addicional (PIN, codi temporal, etc.). Si actives la verificació en dos passos, l'atacant ja no en tindria prou amb la contrasenya: necessitaria també el mòbil o la clau de seguretat.
La seguretat de CRD és tan forta com la del vostre compte de Google, de manera que utilitzar contrasenyes llargues, úniques i amb gestor de contrasenyes no és una recomanació més, és pràcticament obligatori. Revisar sovint l'activitat recent del vostre compte i desconnectar dispositius sospitosos també ajuda a detectar incidents a temps.
En entorns corporatius es poden aplicar polítiques addicionals des de la consola d'administració de Google Workspace, com ara obligar a utilitzar 2FA a tots els comptes, limitar inicis de sessió des de certs països o supervisar els accessos anòmals.
Riscos i vulnerabilitats associats a Chrome Remote Desktop
Tot i que Chrome Remote Desktop incorpora salvaguardes avançades, no està exempt de riscos. Comparteix vulnerabilitats comunes amb qualsevol eina d'escriptori remot i afegeix altres derivades de la seva integració amb el compte de Google i el navegador.
El primer risc és el accés no autoritzat per robatori de credencials. Si algú aconsegueix la contrasenya del teu compte de Google, podria tenir accés a tots els equips registrats a CRD, sempre que també aconsegueixi superar el PIN o qualsevol altre factor de seguretat. Per això, davant de la menor sospita de filtració, cal canviar clau, revocar sessions i revisar dispositius connectats.
Un altre perill cada cop més freqüent són les estafes de suport tècnic. Molts delinqüents truquen per telèfon o contacten per correu fingint ser de Microsoft, Google o un altre proveïdor, i convencen la víctima per instal·lar programari descriptori remot (inclòs Chrome Remote Desktop) i lliurar-los un codi daccés. Des d'aquell moment tenen el control total de l'equip.
A nivell de programari, Chrome Remote Desktop hereta les vulnerabilitats que puguin afectar el mateix navegador Chrome. Informes d'organismes de ciberseguretat han assenyalat errors crítics en versions d'escriptori de Chrome que, en teoria, un atacant podria intentar aprofitar per escalar privilegis o executar codi, encara que això no vol dir que CRD sigui insegur per defecte, sinó que depèn que mantinguis el navegador sempre actualitzat.
També hi ha limitacions específiques, com problemes de compatibilitat amb certs tallafocs de tercers i la manca de controls d'accés granulars, registres detallats o gestió centralitzada de la seguretat, cosa que pot ser un problema seriós en organitzacions mitjanes i grans.
Bones pràctiques bàsiques per augmentar la seguretat a Chrome Remote Desktop
Per a la majoria dusuaris domèstics, aplicar unes quantes mesures senzilles marca una gran diferència. El primer pas és activar la verificació en dos passos al vostre compte de Google. Pots fer-ho des del panell de seguretat del teu compte, triant un segon factor com a codis al mòbil, una app d'autenticació o una clau física.
En segon lloc, has de triar un PIN complex i prou llarg quan configureu l'accés remot. Evita combinacions òbvies com 123456 o números relacionats amb tu (data de naixement, DNI, etc.). Si tens dubtes sobre la seva fortalesa, canvia'l des de la configuració del host en qualsevol moment.
És igualment recomanable que mantinguis el sistema operatiu i el navegador Chrome sempre actualitzats. Moltes vulnerabilitats es corregeixen amb pegats i endarrerir les actualitzacions només et deixa més temps exposat. El mateix aplica al teu antivirus ia qualsevol altra eina de seguretat.
Si sols treballar des de xarxes WiFi públiques o incòmodes (hotels, aeroports, cafeteries), planteja't seriosament connectar-te sempre a través d'una VPN fiable. D'aquesta manera, encara que la xarxa local sigui insegura, el trànsit viatjarà xifrat d'extrem a extrem dins del túnel VPN.
Per acabar, adopta una actitud de zero confiança amb les sol·licituds d'ajuda remota: mai no acceptis instal·lar programari ni compartir un codi a petició d'algú que et contacti sense que tu ho hagis sol·licitat. Davant del dubte, talla la trucada o ignora el correu i consulta amb el servei oficial corresponent.
Mode cortina: com impedir que vegin la teva sessió a l'equip amfitrió
En molts entorns, sobretot a oficines o espais compartits, és crític que la persona que està físicament davant de l'ordinador host no pugui veure què fa l'usuari remot. Per a això existeix l'anomenat "mode cortina" de Chrome Remote Desktop, que bàsicament mostra una pantalla de bloqueig al monitor local mentre la sessió remota està activa.
Al Windows, aquesta funcionalitat només està disponible en edicions Professional, Enterprise, Ultimate o Server. Per activar-la manualment, heu d'obrir l'Editor del Registre (Regedit) amb permisos d'administrador i configurar una sèrie de claus concretes. És un procés delicat, així que cal seguir els passos al peu de la lletra.
Primer es defineix la clau HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostRequireCurtain amb valor 1, cosa que indica a CRD que ha d'activar el mode cortina. Després, s'ajusten paràmetres del servei d'escriptori remot de Windows: la clau fDenyTSConnections a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server ha d'anar a 0, i la clau Autenticació d'usuari a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp també a 0.
En sistemes Windows 10 cal un pas extra: establir SecurityLayer a 1 a la clau HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Si ometeu algun d'aquests canvis, és força probable que la sessió es tanqui immediatament, obligant-vos a repetir tot el procediment.
Per simplificar, Google documenta una única ordre que pots executar en una consola amb privilegis elevats, el qual crea i ajusta totes les claus necessàries de cop i reinicia el servei de Chrome Remote Desktop:
reg add HKLM\Software\Policies\Google\Chrome /v RemoteAccessHostRequireCurtain /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /d 0 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /d 1 /t REG_DWORD /f && reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /d 0 /t REG_DWORD /f && net stop chromoting && net start chromoting
Control de xarxa, firewall i ús en entorns corporatius
En organitzacions que gestionen desenes o centenars d'equips, és crucial controlar qui pot utilitzar Chrome Remote Desktop i des d'on. Els administradors de Google Workspace poden habilitar o desactivar la funció per a determinats usuaris o unitats organitzatives des de la consola d'administració.
A més, existeix una política anomenada RemoteAccessHostFirewallTraversal que permet restringir l'ús de CRD a xarxes d'àrea local o connexions VPN. Al Windows, es controla a través de la clau de registre HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\RemoteAccessHostFirewallTraversal, on un valor 0 desactiva l'encreuament de tallafocs per a connexions externes.
A macOS es configura al fitxer de preferències com.google.Chrome.plist, assignant RemoteAccessHostFirewallTraversal a NO, mentre que a Linux es defineix a /etc/opt/chrome/policies/managed/RemoteAccessHostFirewallTraversal.json amb el valor FALSE. Aquestes restriccions impedeixen que els hosts acceptin connexions des de fora del perímetre definit per lorganització.
Un altre enfocament força dràstic és bloquejar completament el trànsit cap a les API de Chrome Remote Desktop. Si el vostre tallafoc filtra les peticions a https://remotedesktop-pa.googleapis.com, es deshabiliten totes les funcions de CRD, tant les connexions sortints des de la xarxa interna com les entrants cap als equips de l'empresa.
Encara que no és estrictament necessari si ja heu bloquejat l'API, alguns administradors també opten per impedir l'accés a https://remotedesktop.google.com, cosa que evita que el client web arribi ni tan sols a carregar-se. Aquest tipus de restriccions solen aplicar-se en entorns molt regulats o quan es fa servir una altra solució corporativa d'escriptori remot.
Limitacions de funcionalitats i problemes d'usabilitat a CRD
Més enllà de la seguretat, Chrome Remote Desktop té mancances que afecten la productivitat. No inclou un xat de text integrat per parlar amb l'usuari remot, per la qual cosa has de recórrer a una altra eina (correu, missatgeria instantània, trucada telefònica, etc.) per coordinar-te.
La transferència de fitxers tampoc és especialment còmoda. En lloc d'arrossegar i deixar anar entre escriptoris, cal pujar fitxers des d'una banda i descarregar-los a l'altre, el que limita la velocitat de treball quan has de moure molts documents o carpetes senceres.
Una altra limitació clara és que no gestiona bé múltiples sessions simultànies. No pots controlar diversos equips alhora amb la mateixa flexibilitat que ofereixen alternatives de pagament pensades per a tècnics de suport o administradors de sistemes.
A l'àmbit de la visualització, CRD permet posar a pantalla completa, ajustar a escala o intentar que s'adapti a la mida de la finestra, però no ofereix un control fi de les resolucions de monitor. En alguns casos això fa que l'experiència sigui menys còmoda, sobretot si treballes amb diversos monitors o resolucions molt diferents entre l'amfitrió i el client.
A més, en connexions puntuals amb codi d'un sol ús, l'usuari del costat remot ha de renovar la sessió cada 30 minuts, acceptant que vol continuar compartint el seu equip. Aquesta mesura reforça la seguretat però pot resultar molesta en feines llargues o en suport tècnic prolongat.
Comparativa amb alternatives: AnyViewer, Splashtop, TSplus, RDS-Tools…
Quan les necessitats superen allò que ofereix CRD, molta gent es planteja optar per eines més completes. AnyViewer és una de les alternatives gratuïtes i de pagament que més funcionalitats avançades incorpora, com a transferència d'arxius per arrossegar i deixar anar, suport de múltiples sessions remotes, xat instantani dins de la sessió i canvi dinàmic de resolució en funció de l'amplada de banda.
AnyViewer també aposta fort per la seguretat, aplicant xifrat d'extrem a extrem de 256 bits, autenticació en dos passos pels comptes i actualitzacions freqüents per corregir vulnerabilitats. Als seus plans professionals i empresarials permet assignar més dispositius al mateix compte, gestionar rols i permisos d'usuari, vigilar múltiples pantalles amb «parets de pantalla» i transferir grans volums de dades a alta velocitat.
Splashtop, per la seva banda, s'ha consolidat com alternativa enfocada a empreses, MSPs i equips de suport TI. Ofereix productes específics per a accés remot professional, suport desatès, helpdesk i gestió de flotes de dispositius, amb funcions com a enregistrament de sessions, impressió remota, integració amb directoris corporatius i panells d'administració centralitzats.
A l'ecosistema de serveis basats en RDP i RDS, solucions com TSplus Advanced Security i RDS-Tools afegeixen capes de seguretat i control sobre infraestructures descriptori remot de Windows ja existents. Entre les seves funcions hi ha protecció davant de força bruta, restriccions per geolocalització, auditoria detallada, registres de sessió, alertes configurables i supervisió del rendiment de servidors.
Aquestes plataformes solen incloure també opcions de sessions persistents, més personalització i integració amb altres sistemes corporatius, així com acords de nivell de servei (SLA) i suport tècnic dedicat. Són més costoses que Chrome Remote Desktop, però encaixen molt millor en organitzacions que requereixen compliment normatiu, alta disponibilitat i escalabilitat.
Seguretat física, de xarxa i mesures anti-phishing
La protecció d'una sessió remota no depèn només del programari, també del que passi al voltant de l'ordinador. La seguretat física és clau: bloquejar sessió quan t'absentes, fer servir autenticació biomètrica o targetes per iniciar sessió al host, evitar que qualsevol persona tingui accés directe al teclat i ratolí de l'equip que comparteixes.
En paral·lel, és fonamental treballar la conscienciació davant del phishing i el segrest de sessions. Formar els usuaris perquè identifiquin correus falsos, enllaços sospitosos o sol·licituds de credencials fora de lloc redueix dràsticament el risc que lliurin les dades sense voler.
En el pla de xarxa, moltes empreses combinen Chrome Remote Desktop amb VPN ben configurades, segmentació de xarxes i auditories de seguretat periòdiques. Això inclou revisar regles de tallafocs, detectar punts d'accés WiFi insegurs i monitoritzar possibles comportaments anòmals al trànsit.
Configurar alertes per intents repetits d'accés, connexions des d'ubicacions poc habituals o patrons d'ús atípics ajuda a detectar incidents en fases primerenques. En entorns avançats, aquesta informació s'integra en sistemes de monitorització i SIEM per a anàlisis forense i compliment.
Tots aquests elements -xifrat, autenticació, seguretat física, formació de l'usuari i controls de xarxa- es complementen entre si per construir una defensa en profunditat al voltant de les sessions d'escriptori remot, utilitzeu Chrome Remote Desktop o qualsevol altra eina.
Chrome Remote Desktop ofereix un equilibri molt atractiu entre senzillesa, cost (és gratis) i un nivell de seguretat raonablement alt gràcies al xifratge TLS/AES i al suport de 2FA a través del compte de Google, però la seva dependència total de l'ecosistema de Google, la manca de funcions avançades (xat integrat, multisessió, gestió centralitzada, permisos granulars, registres detallats) i alguns problemes de compatibilitat amb tallafocs fan que en entorns professionals exigents valgui la pena valorar alternatives com AnyViewer, Splashtop o solucions basades en RDP; per a un usuari domèstic o un petit equip, però, combinant una bona higiene de contrasenyes, verificació en dos passos, un PIN sòlid, actualitzacions al dia, ajustaments adequats de firewall/VPN i, si cal, la manera cortina, CRD pot ser una eina perfectament vàlida i força segura per treballar en remot des de qualsevol lloc.