¿Su empresa se basa en el Protocolo de copia segura (SCP sus siglas en inglés) para permitir que los usuarios remotos intercambien archivos entre sí y con clientes y socios comerciales? Si es así, ¡podría ser el momento de considerar otro enfoque!
En 2019, ZDNet identificó el Protocolo de Copia Segura (SCP sus siglas en inglés) como uno de los "hacks y vulnerabilidades más temibles" del año. Todas las implementaciones de SCP desde 1983 se encontraron vulnerables a cuatro errores de seguridad.
La noticia fue un poco impactante para aquellos que pensaban que el SCP proporciona un método seguro para la transferencia de archivos. Eso es comprensible dado que el protocolo contiene el protocolo SecureShell (SSH), que utiliza algoritmos de criptografía como el Estándar de Cifrado Avanzado (AES) y los Algoritmos Hashing Estándar (SHA-2) en las comunicaciones entre servidores y clientes remotos. SSH también autentica a los usuarios transfiriendo las entradas de los clientes a los hosts, y retransmitiendo las claves de autenticación a los clientes.
Debido a que SCP funciona en dispositivos Windows, Linux, UNIX y Mac y proporciona comandos nativos a los sistemas operativos, ganó popularidad en las últimas cuatro décadas. Al menos hasta el informe de ZDNet, se creía que SCP era seguro, corriendo en el Puerto 22 y transfiriendo datos confidenciales mientras bloqueaba los "packet sniffers" que pueden extraer los paquetes de datos. SCP también incluía permisos y marcas de tiempo para los archivos transferidos.
El Descubrimiento de Vulnerabilidades Sale de Finlandia
Las vulnerabilidades del SCP fueron descubiertas por Harry Sintonen, un investigador de seguridad de la empresa finlandesa de seguridad cibernética F-Secure. Sintonen determinó que las vulnerabilidades permiten a los servidores maliciosos hacer cambios no autorizados en los sistemas de los clientes y ocultar operaciones maliciosas. Dos de las vulnerabilidades permiten específicamente a los servidores SCP modificar los permisos de los directorios de destino y sobrescribir archivos. Otra vulnerabilidad permite que las salidas de los clientes terminales sean manipuladas a través de código ANSI para ocultar las operaciones posteriores.
Una de las principales razones por las que SCP es vulnerable es que no utiliza TLS (Transport Layer Security) y su predecesor, Secure Sockets Layer (SSL). Estas herramientas vinculan las identidades de dos sistemas que intercambian archivos a pares de claves criptográficas. Cada par consta de una clave privada y otra pública. La clave privada se mantiene segura en el sistema anfitrión, mientras que los clientes remotos pueden acceder a la clave pública. Esto permite a un host verificar que un cliente remoto es legítimo.
SCP también sufrió otro contratiempo en 2019; éste vino de los desarrolladores de las utilidades de seguridad de OpenSSH, quienes declararon que el protocolo es "anticuado, inflexible y no se arregla fácilmente". Una de las alternativas que recomiendan los desarrolladores es una herramienta más moderna como el Protocolo de Transferencia Segura de Archivos. SFTP cuenta con el mismo protocolo SSH y añade el Protocolo de Transferencia de Ficheros (FTP), que es especialmente adecuado para mover grandes ficheros entre servidores y ordenadores de sobremesa. El protocolo sube los archivos a un lugar seguro y neutral para que otros sistemas puedan acceder a ellos.
La pandemia aumenta la necesidad de una protección alternativa para la transferencia de archivos
La necesidad de las empresas de elevar el nivel de seguridad de sus transferencias de archivos se intensificó considerablemente este año, ya que COVID-19 obligó a muchas personas a trabajar a distancia desde su casa. Una situación como ésta hace obligatorio para los usuarios finales el intercambio de archivos, y con muchas empresas descubriendo que su fuerza de trabajo puede hacer su trabajo más eficientemente desde casa, es probable que el porcentaje de trabajadores remotos siga siendo alto. Eso significa que los riesgos de seguridad también aumentan.
Para proteger realmente los archivos sensibles mientras se transfieren, la transferencia de archivos administrada (MFT) es su mejor apuesta. Además de cifrar los archivos de extremo a extremo, como SCP y FTP, MFT da el siguiente paso con la autenticación que se conecta a los repositorios de usuarios como LDAP, Active Directory, NTLM y PAM.
También puede generar un rastro de las operaciones de transferencia de archivos -información sobre el remitente, sellos de tiempo de envío y destinatarios- y producir pruebas de que los archivos han sido recibidos por los destinatarios previstos. Estas capacidades resultan útiles cuando se responde a auditores internos y externos que quieren verificar que se cumplen las políticas de seguridad. Con MFT, usted puede generar rápidamente todos los informes que los auditores requieren.
Haga una prueba para proteger sus activos digitales
Para probar el valor de una solución MFT y determinar si es una buena opción para su negocio, puede visitar nuestro sitio web para una prueba gratuita de MOVEit Managed File Transfer. Una característica clave de seguridad ofrecida por MOVEit es la capacidad de intercambiar archivos con servidores FTP seguros que soportan transferencias cifradas por SSL con clave de 128 bits, que es el nivel más alto de protección para las comunicaciones por Internet.
MOVEit también soporta los tres modos SSL, incluyendo TLS-P, TLS-C, e IMPLICIT, y es usado por miles de organizaciones para proveer una completa visibilidad y control sobre las actividades de transferencia de archivos. Con MOVEit, usted puede asegurar la fiabilidad de los procesos de negocio principales y la transferencia segura y conforme a las normas de datos confidenciales entre empleados, clientes y socios, que es la forma en que se hacen los negocios.
Comience su prueba gratuita de MOVEit hoy mismo, y evite poner en riesgo sus activos digitales cuando los usuarios remotos intercambien archivos.
Greg Mooney
Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.