- Escritorio remoto en Windows 11 requiere Pro/Enterprise como servidor; clientes en Windows, macOS, iOS y Android.
- Conexiones seguras con NLA, VPN para acceso externo y puertos correctamente configurados.
- Soporte para Microsoft Entra: inicio con cuenta web o credenciales clásicas según escenario.
Controlar tu PC desde cualquier lugar es más fácil de lo que parece si conoces bien las piezas del puzle. Escritorio remoto de Windows 11 te permite manejar aplicaciones, archivos y recursos como si estuvieras delante del equipo, ya sea desde otro ordenador con Windows, desde macOS, iOS o Android.
En esta guía vas a aprender a configurarlo como servidor (equipo al que te conectas) y como cliente (equipo desde el que te conectas), a usarlo de forma segura dentro y fuera de tu red, y a resolver los errores más habituales. Integraremos los métodos nativos (Configuración, Panel de control, CMD, PowerShell), la autenticación con Microsoft Entra, opciones por VPN y reenvío de puertos, además de alternativas cuando RDP no encaja.
Qué es Escritorio remoto y qué necesitas para usarlo
El Protocolo de Escritorio Remoto (RDP) funciona con dos roles claros: servidor (el PC al que accedes) y cliente (el dispositivo desde el que te conectas). En Windows 11, el componente servidor está disponible en ediciones Pro y Enterprise; en Home no se admiten conexiones entrantes mediante RDP de forma oficial.
Antes de empezar, confirma la edición instalada. Entra en Inicio > Configuración > Sistema > Acerca de y revisa el apartado Edición de Windows. Si usas Windows 11 Pro o Enterprise podrás habilitar el servidor RDP. Si usas Home, puedes instalar las apps cliente para conectarte a otros equipos, pero no recibir sesiones entrantes de manera nativa.
En entornos de empresa, Windows admite conexiones a equipos unidos a Active Directory y a dispositivos unidos a Microsoft Entra ID mediante RDP. Es recomendable activar la Autenticación a nivel de red (NLA), que solicita credenciales antes de establecer la sesión. Ten en cuenta también que, para ciertos escenarios de Entra, conviene asegurarse de que Remote Credential Guard no esté activo en el equipo desde el que te conectas, y consulta cuántas conexiones permite.
Un apunte importante: hay quien comenta métodos de terceros para habilitar el servidor RDP en ediciones Home mediante DLLs no oficiales. No es recomendable por seguridad y licenciamiento; lo adecuado es actualizar a Pro/Enterprise o emplear soluciones alternativas fiables que comentamos más abajo.
Habilitar el servidor: métodos para activar Escritorio remoto
Para que un equipo acepte conexiones RDP, debes activar la función de forma segura. Anota el nombre del equipo cuando lo habilites: te hará falta al conectarte desde el cliente.
Método con Configuración (sencillo). Ve a Configuración > Sistema > Escritorio remoto y activa el interruptor Habilitar Escritorio remoto. Confirma el aviso y, en Configuración avanzada, marca Requerir que los dispositivos usen Autenticación a nivel de red (NLA). Activa además las opciones para mantener el PC accesible en redes privadas.
Método con Panel de control. Abre Panel de control > Sistema y seguridad > Sistema y haz clic en Permitir acceso remoto. En la pestaña Remoto, activa Permitir conexiones remotas a este equipo y asegúrate de que la casilla de NLA está marcada. Aplica y acepta los cambios.
Método con Símbolo del sistema (CMD). Ejecuta como administrador y usa:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
Para abrir el firewall a RDP: consulta cómo abrir el firewall o usa:
netsh advfirewall firewall set rule group="remote desktop" new enable=Yes
Método con PowerShell. Abre PowerShell como administrador y ejecuta:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 0
y para el firewall:
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
Conectarte como cliente desde Windows, macOS, iOS y Android
En Windows, la herramienta clásica es Conexión a Escritorio remoto (MSTSC). Ábrela buscando «Conexión a Escritorio remoto» en el menú Inicio o ejecutando mstsc.exe. Escribe el nombre del equipo (o su IP) y pulsa Conectar.
Si el servidor está unido a Microsoft Entra y quieres usar tu cuenta corporativa, en MSTSC abre Mostrar opciones > pestaña Avanzadas y activa Usar una cuenta web para iniciar sesión en el equipo remoto (equivale a la propiedad RDP enablerdsaadauth). Introduce el usuario en formato user@domain.com. La primera vez, es posible que veas un diálogo para permitir la conexión al nuevo host: confirma con Sí; Entra recordará hasta 15 equipos durante 30 días.
Sin autenticación Microsoft Entra (método clásico), con el equipo remoto unido a Entra o híbrido, también puedes conectarte indicando el usuario como user@domain.com o AzureAD\user@domain.com. El soporte varía según el tipo de unión y la versión de Windows del cliente, pero siempre con credenciales válidas (contraseña, tarjeta inteligente o Windows Hello para empresas en escenarios soportados).
En macOS y iOS, puedes usar la nueva Windows App de Microsoft (disponible gratis en App Store y Microsoft Store). Agrega el PC por nombre o IP y conéctate; la app gestiona credenciales y ofrece una experiencia moderna. En Android, instala la aplicación Microsoft Remote Desktop desde Google Play, añade el PC y selecciona la conexión para iniciar sesión. También puedes ver cómo controlar Windows 11 desde el móvil.
¿Red móvil? Es viable, pero su rendimiento dependerá de cobertura, latencia y congestión. Una conexión estable marca la diferencia en fluidez y respuesta del ratón/teclado.
Acceso desde Internet: VPN o reenvío de puertos
Cuando la conexión es fuera de tu red local, tienes dos caminos oficiales: usar una VPN o configurar reenvío de puertos en el router. La VPN es la opción recomendada por seguridad, ya que cifra el tráfico y evita exponer RDP a Internet.
Conexión por VPN. En Windows ve a Configuración > Red e Internet > VPN y pulsa Agregar una conexión VPN. Introduce el servidor, el protocolo (SSTP, L2TP/IPSec, IKEv2, OpenVPN o PPTP) y las credenciales proporcionadas por tu servicio VPN. Una vez establecida la VPN, abre MSTSC, indica el nombre o IP del equipo remoto y conecta como harías en la LAN.
Reenvío de puertos (NAT). Si eliges exponer RDP, extrema precauciones con contraseñas robustas y NLA. En el PC servidor, asegúrate de tener una IP local fija. En Propiedades de la tarjeta (TCP/IPv4) puedes asignarla y definir DNS. Anota tu IP pública (busca «cuál es mi IP») y entra al router con la puerta de enlace predeterminada para crear una regla de Port Forwarding: protocolo TCP, puerto externo 3389 hacia puerto interno 3389 apuntando a la IP del PC.
Para confirmar parámetros de red en Windows, abre Ejecutar (Win+R), escribe cmd y ejecuta ipconfig para ver Dirección IPv4 y Puerta de enlace. Tras crear la regla, desde el cliente usa la IP pública del router (o un DNS dinámico si lo tienes) para conectarte. Recuerda que el puerto por defecto de RDP es TCP 3389.
Si tu ISP bloquea puertos por seguridad, contacta con soporte o considera la vía VPN. Exponer 3389 a Internet implica riesgos si no se endurece la configuración.
Seguridad recomendada: NLA, contraseñas, actualizaciones y 2FA
Marca NLA en el servidor para obligar a la autenticación antes de la sesión. La Autenticación a nivel de red reduce superficie frente a ataques automatizados y conexiones anónimas.
Usa contraseñas únicas y complejas en las cuentas con acceso remoto y cámbialas con regularidad. Evita reutilizar credenciales entre servicios y valora gestores de contraseñas para gestionarlas.
Mantén Windows y los clientes RDP actualizados. Las correcciones de seguridad parchean vulnerabilidades de protocolo y componentes del sistema. Comprueba Windows Update y actualiza también las apps de Remote Desktop en todos los dispositivos; y considera políticas locales para mejorar la seguridad del sistema.
Si tu organización utiliza 2FA, aplícalo donde sea compatible (por ejemplo, al autenticarte con una cuenta corporativa). La verificación en dos pasos añade una capa adicional muy efectiva ante robo de contraseñas.
Nota sobre bloqueo de sesión en remoto: al bloquear la sesión remota, los tokens de Microsoft Entra y métodos sin contraseña (como claves FIDO) no se admiten para desbloquear la pantalla; la sesión se desconecta deliberadamente para reevaluar directivas de acceso condicional al reconectar.
Solución de problemas: errores habituales y cómo salir de ellos
Firewall. Si no conecta, revisa Permitir una aplicación a través del Firewall de Windows y confirma que Escritorio remoto tiene casillas activas en Redes privadas y públicas. Escritorio remoto no funciona también recoge pasos habituales para diagnosticar fallos. También puedes reactivar la regla con Enable-NetFirewallRule -DisplayGroup "Remote Desktop".
Servicios. En la máquina remota, abre Servicios, localiza Servicio de Escritorio remoto y comprueba que el Estado esté En ejecución. Inícialo si está detenido para aceptar sesiones entrantes.
Nombre de equipo vs IP. A veces la resolución de nombres falla. Prueba a conectarte por Dirección IPv4. Verifica la IP con ipconfig y úsala temporalmente para descartar problemas DNS.
ISP y puertos. Si te conectas desde fuera, tu proveedor puede filtrar puertos. Llama para confirmarlo o utiliza VPN. Revisa que el reenvío esté bien creado (TCP 3389 apuntando a la IP correcta del PC).
IPv6. En algunos entornos, la pila IPv6 puede interferir. En Propiedades del adaptador, desmarca Protocolo de Internet versión 6 (TCP/IPv6) y reinicia el equipo. Prueba de nuevo la conexión tras el reinicio.
Cuentas. La seguridad sin contraseña o ciertas políticas de Microsoft Account pueden bloquear RDP en escenarios domésticos. Crea una cuenta local administrativa para pruebas rápidas. Después vuelve al flujo corporativo con credenciales gestionadas y 2FA cuando sea posible.
Diagnóstico. Revisa el Visor de eventos (Registros de Windows > Aplicación y Sistema) para errores relacionados con TermService y autenticación. Actualiza los controladores de red del cliente y del servidor si detectas cortes o latencias anómalas.
Conectividad con Microsoft Entra: con y sin autenticación Entra
Con autenticación de Microsoft Entra. En MSTSC, ve a Opciones avanzadas y activa Usar una cuenta web para iniciar sesión en el equipo remoto (enablerdsaadauth). Introduce user@domain.com, Conectar y autoriza el host si es nuevo. Entra recuerda hasta 15 hosts durante 30 días antes de volver a preguntar.
Sin autenticación Entra (método tradicional). Aunque el equipo remoto esté unido a Entra o híbrido, puedes usar credenciales en formato user@domain.com o AzureAD\user@domain.com. Configuraciones admitidas destacadas:
- Cliente Windows 10 2004+ en dispositivo Entra registrado: contraseña o tarjeta inteligente.
- Cliente Windows 10 1607+ en dispositivo Entra unido: contraseña, tarjeta inteligente o Windows Hello para empresas (confianza de certificado).
- Cliente Windows 10 1607+ en dispositivo Entra unido híbrido: contraseña, tarjeta inteligente o Windows Hello para empresas (confianza de certificado).
Permisos de acceso. Si más usuarios van a entrar por RDP a un equipo Entra unido, agrégalos al grupo local Remote Desktop Users. Con CMD puedes automatizarlo para cuentas individuales de Entra.
Si buscas un acceso remoto fiable y bien armado, combina lo básico (habilitar RDP, NLA, firewall correcto y permisos de usuario) con buenas prácticas (VPN para Internet, contraseñas sólidas, actualizaciones y 2FA donde aplique). Con MSTSC o las apps oficiales en macOS/iOS/Android tendrás un flujo cómodo; y si tu caso requiere algo diferente, soluciones como AnyViewer, AirDroid o TSplus cubren escenarios donde el RDP nativo no llega.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.