La nube es un hecho de la vida en el 2019. Desde herramientas básicas de colaboración en la nube hasta cubos de almacenamiento en plataformas de nube masivas como Azure y AWS, la mayoría de las empresas realizan miles de transferencias de archivos en la nube todos los días, sean o no conscientes de ello. Para las empresas y los equipos de TI, esto ha sido una gran ayuda. La nube ofrece un nivel de flexibilidad y capacidad que la mayoría de los sistemas locales sólo pueden soñar.
Pero la nube también requiere adaptación y cambios en los sistemas para poder integrarse de forma adecuada y segura con la nube. Esto es especialmente cierto en el caso de los sistemas de transferencia de archivos, a los que se les pide que realicen tareas para las que nunca fueron diseñados.
El FTP es un ejemplo perfecto de esto. A menudo nos preguntan si está bien usar FTP para transferir archivos en la nube, y la respuesta es invariablemente no, a menos que realmente no te preocupes por los archivos que estás transfiriendo.
¿Qué es FTP?
El Protocolo de Transferencia de Archivos (FTP) ha existido durante más tiempo que la mayoría de los trabajos de TI relacionados con los ordenadores; de hecho, el FTP se remonta a los primeros días de las redes (1971), incluso antes de la aparición a principios de la década de 1980 de las redes modernas de Protocolo de Internet (IP) basadas en TCP (Protocolo de Control de Transmisión). Como su nombre indica, el FTP se inventó como una forma sencilla de mover archivos de un ordenador a otro.
Para ello, el software FTP utiliza un modelo de servidor cliente que requiere dos partes, un cliente FTP y un servidor FTP. Históricamente, el FTP ha sido un medio popular para mover archivos grandes entre sistemas o entre escritorios y sistemas. FTP es también un medio común para compartir un archivo que es demasiado grande para un archivo adjunto de correo electrónico, subiéndolo a una ubicación neutral para que otros sistemas, software o individuos puedan acceder a él. Y aunque FTP es fácil de usar, no significa que sea la mejor opción para transferir archivos.
Para aquellos familiarizados con sus limitaciones, está claro que los creadores de FTP nunca imaginaron el actual entorno de amenazas a la seguridad. Aunque el FTP básico se ha mejorado con SSH y SSL a lo largo del camino, para las organizaciones que transfieren de forma rutinaria documentos confidenciales que contienen datos patentados o regulados, los servidores FTP se han convertido en una responsabilidad de cumplimiento.
Intrínsecamente inseguro, especialmente en la nube
Con el tiempo, la simplicidad que hizo que el FTP fuera tan popular se ha convertido en su mayor debilidad. Es decir, porque, como se mencionó anteriormente, los creadores de FTP nunca consideraron los requisitos de seguridad modernos y, por lo tanto, no crearon características para satisfacerlos.
FTP puede configurarse para el acceso sin autenticación válida, los archivos se almacenan y transfieren "en blanco", es decir, sin cifrar, y los datos transferidos pueden ser fácilmente interceptados por hackers y ciberdelincuentes a medida que atraviesan la Internet abierta, por ejemplo, de la nube a las instalaciones, o viceversa. Así que cuando transfiere un archivo de un servidor en nube protegido a otro, usando FTP, lo que se transfiere está desprotegido mientras está en tránsito. La autenticación es igualmente insegura, ya que los nombres de usuario y las contraseñas se transfieren en texto plano.
A pesar de todo esto, el uso de servidores FTP para transferir archivos ha seguido siendo popular. Sin embargo, las organizaciones que necesitan compartir datos protegidos se sienten cada vez más incómodas con su capacidad para proteger y gestionar entornos con múltiples servidores FTP dispares. Las firmas de auditoría de cumplimiento a menudo ven estos entornos como una señal de alarma y el FBI de los EE.UU. incluso emitió un boletín de alerta de la industria que advierte a las empresas sobre el riesgo que pueden presentar los servidores FTP.
Cuando existen servidores FTP no administrados o inseguros en una organización que trata rutinariamente con datos que están protegidos por HIPAA, PCI, FINRA, FDA, SOX u otras regulaciones de la industria, también existe el riesgo de multas significativas. Aproximadamente el 65% de todas las brechas de datos se originan en un usuario. La mayoría de estos casos se deben a errores involuntarios o a un mal juicio cuando los datos confidenciales se manejan mal o se almacenan en una ubicación no autorizada, como el directorio de archivos de un servidor FTP o un servicio de intercambio de archivos de calidad para el consumidor.
En la mayoría de los casos, hoy en día, la función de FTP es servida por servidores SFTP y clientes SSH. SFTP es similar a FTP, con la excepción de que todo el tráfico, incluyendo contraseñas, comandos y datos, están encriptados para evitar las escuchas durante la transmisión.
La respuesta: Transferencia de archivos administrada
Aunque FTP es un modelo básico de servidor-cliente, el sistema Managed File Transfer puede considerarse como un sistema de transferencia de archivos centralizado y de gran tamaño que incluye toda la visibilidad, informes, registro, seguridad, seguimiento, integraciones con su arquitectura de seguridad, conmutación por error y funciones de entrega segura ya incorporadas por diseño (en lugar de complementos). Estas son soluciones de clase empresarial sobre las que se pueden construir procesos centrales, como los sistemas de facturación y pago médico de un hospital. Por ejemplo, una sola implementación puede incluir múltiples servidores de transferencia, sistemas de automatización del flujo de trabajo y servicios de transferencia basados en la nube, todos ellos bajo gestión desde una consola centralizada.
Estos sistemas también están diseñados para garantizar la seguridad de los datos de las organizaciones que tienen procesos empresariales básicos que requieren el intercambio de archivos que contienen datos confidenciales con partes externas. En estos casos, también es preocupante el cumplimiento de los mandatos de protección de datos, como los mencionados PCI-DSS, HIPAA, ISO-27001, GDPR y otros, en los que se imponen multas sustanciales en casos de exposición, pérdida o violación de datos. Algunas de las características más valiosas de MFT, en este caso, son la integración con la infraestructura de seguridad preexistente, como antivirus, DLP y sistemas de control de acceso. Otra característica clave de muchos sistemas MFT en el registro centralizado y los informes de cumplimiento.
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.