¿Te aparece el aviso “This computer can’t connect to the remote computer” al intentar abrir una sesión de Escritorio remoto? A continuación encontrarás una guía exhaustiva, paso a paso, para diagnosticar y corregir el problema, tanto en entornos domésticos como empresariales.
Qué significa realmente este error
El mensaje indica que el cliente RDP de Windows no logra completar la negociación de sesión con el host remoto. Las causas habituales se agrupan en cinco bloques:
- El equipo remoto está apagado, suspendido o sin red.
- Remote Desktop no está habilitado o tu usuario carece de permisos.
- El puerto TCP 3389 está filtrado por un cortafuegos, NAT o software de seguridad.
- Se está usando un nombre de host o dirección IP incorrectos.
- El servicio Remote Desktop Services (TermService) está detenido, hay incompatibilidades de versión o el sistema operativo no soporta conexiones entrantes.
Diagnóstico rápido (Quick Wins)
| Pregunta | Comprobación express | Acción inmediata |
|---|---|---|
| ¿El PC remoto está encendido? | LED encendido o respuesta al ping. | Encender o despertar mediante WOL. |
| ¿Tu usuario tiene permisos RDP? | Miembro de Remote Desktop Users. | Añadir usuario o usar credenciales admin. |
| ¿Puerto 3389 accesible? | Test-NetConnection -Port 3389 | Abrir regla en Firewall o router. |
| ¿Sistema soportado? | Versión Windows Pro/Ent/Edu. | Actualizar a edición compatible. |
Guía detallada de solución de problemas
Comprobaciones básicas: alimentación y red
- Encendido y estado de energía: verifica que el equipo remoto no esté en suspensión, hibernación ni apagado. Configura el plan de energía para Alto rendimiento y desactiva la hibernación si necesitas acceso 24/7.
- Conexión de red: en un equipo local ejecuta
ping <IPremota>oping <nombrePC>. Una respuesta confirma conectividad de capa 3; si falla, inspecciona el cable, Wi‑Fi o la configuración de la NIC. - VPN activa: para accesos remotos a través de VPN valida que la ruta al segmento LAN remoto existe y que la política permite la subred del host.
Habilitación y permisos de Remote Desktop
En el equipo destino:
- Abre Inicio → Configuración → Sistema → Escritorio remoto y activa el conmutador Habilitar Escritorio remoto. En versiones antiguas usa
SystemPropertiesRemote.exe. - Asegúrate de que la opción Requerir autenticación a nivel de red (NLA) coincida con las capacidades de tu cliente. En entornos mixtos, desmarca temporalmente NLA para descartar incompatibilidades de credenciales o TLS.
- En Usuarios seleccionados agrega tu cuenta si no pertenece al grupo Remote Desktop Users. Los administradores locales tienen acceso implícito, pero en dominios con GPO estrictas es mejor añadir explícitamente.
- Si usas Directivas de Seguridad Local, comprueba en
secpol.msc → Directivas locales → Asignación de derechos de usuarioque la entrada Permitir iniciar sesión en servicios de Escritorio remoto incluya tu grupo.
Cortafuegos y puertos
- Regla en Windows Defender Firewall: habilita Remote Desktop – User Mode (TCP-In) y Remote Desktop – User Mode (UDP-In) dentro del perfil (Privado, Dominio o Público) apropiado.
- Equipos fuera de la LAN: abre/reenruta el puerto 3389 en el router. La regla típica es Port Forwarding → TCP 3389 → IP interna del host.
- Software de seguridad de terceros: productos como Norton, McAfee o ESET tienen propios firewalls; crea una excepción o desactiva temporalmente para testear.
- Bloqueo en la nube: en máquinas virtuales (Azure, AWS, GCP) agrega una regla de Security Group/NSG que permita TCP 3389 desde tu dirección pública.
Nombre de host o IP correctos
Para conexiones internas usa siempre el FQDN o la IP privada. Si el DNS falla, conecta por IP para descartar problemas de resolución.
Para conexiones desde Internet las opciones son:
- IP pública estática.
- DNS dinámico (DDNS) con proveedores gratuitos (DuckDNS, No‑IP) y actualización automática.
- Gateway VPN que expone la red remota sin abrir puertos en NAT.
Compatibilidad de sistemas y servicios
- Edición de Windows: las versiones Home solo actúan como cliente, jamás como host. Actualiza a Windows Pro, Enterprise o Educación si necesitas recibir conexiones.
- Servicio TermService: abre
services.mscy reinicia Remote Desktop Services. Si no arranca, revisa dependencias (RPC, Remote Desktop Services UserMode Port Redirector) y el Visor de eventos (Application y System). - Parcheo del sistema: instala los boletines de seguridad KB actuales. Vulnerabilidades como BlueKeep (CVE‑2019‑0708) provocaron parches que cambian el comportamiento de RDP.
- Actualización de cliente: en Windows Server se solucionan fallos de cifrado RDP al instalar la versión más reciente de la app Remote Desktop Connection (MSTSC) vía Windows Update.
Pruebas adicionales y comandos útiles
# Comprueba que el puerto 3389 responde
Test-NetConnection 192.168.1.50 -Port 3389
Fuerza la sesión administrativa para saltar el límite de sesiones
mstsc /admin
Lista sesiones activas en el host remoto (requiere permiso)
qwinsta /server:192.168.1.50
Desconecta sesión huérfana que pueda bloquear el inicio
rwinsta \[ID] /server:192.168.1.50 En sistemas donde Telnet esté instalado:
telnet 192.168.1.50 3389Una pantalla negra sin mensaje de error confirma que el socket ha abierto; cualquier otra salida indica filtrado o denegación.
Buenas prácticas de seguridad y rendimiento
- Usa contraseñas robustas + NLA: evita conexiones con usuarios vacíos o contraseñas débiles; la autenticación a nivel de red detiene ataques de fuerza bruta antes de la sesión gráfica.
- Actualiza el protocolo: fuerza TLS 1.2 o posterior mediante
gpedit.msc → Configuración del equipo → Plantillas administrativas → Componentes de Windows → Servicios de Escritorio remoto → Host de sesión de Escritorio remoto → Seguridad → Requerir uso de Transport Layer Security. - Limita el acceso por IP: en entornos corporativos filtra por dirección origen en el firewall perimetral o implementa una solución de Just‑In‑Time Access.
- Prefiere VPN + MFA: exponer el puerto 3389 directamente incrementa el riesgo. Una VPN con autenticación multifactor añade cifrado y control de acceso.
- Logger y alertas: habilita la auditoría de eventos de inicio de sesión (ID 4624/4625) y configura alertas en SIEM o Azure Log Analytics para detectar patrones anómalos.
Preguntas frecuentes (FAQ)
¿Puedo conectar a un PC con Windows Home?
No; Windows Home solo es cliente. Instala Pro o usa software alternativo como AnyDesk o TightVNC.
¿Por qué funciona con IP pero no con nombre?
Probablemente el servicio DNS no resuelva el host. Actualiza el registro A en tu servidor DNS o agrega una entrada en %SystemRoot%\System32\drivers\etc\hosts.
¿Puedo cambiar el puerto 3389?
Sí. Modifica la clave HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber. Recuerda crear reglas de firewall y NAT para el nuevo puerto.
¿Cuántas sesiones simultáneas admite Windows 10/11 Pro?
Una. La edición Servidor soporta múltiples, y existen licencias RDS CAL para ampliar.
¿Puedo reactivar una sesión previa?
Sí. Conéctate con el mismo usuario; el host vuelve a la sesión existente en lugar de crear una nueva, salvo que desconectar sea distinto de cerrar sesión.
Apéndice: script de autodiagnóstico en PowerShell
# Ejecutar en el cliente para auditar conexión RDP
$target = Read-Host "IP o nombre del host"
Write-Host "Testing $target ..."
if (-not (Test-Connection -ComputerName $target -Count 1 -Quiet)) {
Write-Warning "El host no responde al ping."
} elseif (-not (Test-NetConnection -ComputerName $target -Port 3389).TcpTestSucceeded) {
Write-Warning "El puerto 3389 está cerrado."
} else {
Write-Host "Ping y puerto 3389 OK. Problema puede ser permisos, NLA o versión."
}
Conclusión
El error “This computer can’t connect to the remote computer” casi siempre se resuelve validando cinco áreas: energía, red, permisos, cortafuegos y configuración de nombre/IP. Sigue la secuencia de pruebas anterior para aislar la causa y restablecer la conexión de forma segura. Al finalizar, documenta la solución y aplica las buenas prácticas de endurecimiento (contraseñas fuertes, NLA, VPN, parcheo periódico) para minimizar futuras incidencias.