En su definición más simple, un Protocolo de transferencia de archivos (FTP, por sus siglas en inglés) es un método rudimentario para trasladar archivos de una ubicación en la red a otra. FTP surgió en los primeros días de las redes (1971), antes que las redes modernas de Protocolo de Internet (IP) basadas en TCP (Protocolo de control de transmisión) a principios de los 80.
Por mucho, FTP es la forma más popular de trasladar archivos a través de Internet. A partir de 2016, de las 4.3 billones direcciones IP estimadas en el espacio de direcciones IPv4, casi 22 millones eran servidores FTP. Incluso, los servidores FTP están integrados en cosas desde aplicaciones empresariales de llave en mano hasta impresoras.
¿Cómo funciona un Protocolo de transferencia de archivos?
FTP funciona con un modelo de cliente y servidor. Los archivos se suben desde un cliente FTP a un servidor FTP donde una aplicación o cliente pueden accederlos. El servidor FTP funciona con un daemon que está pendiente de solicitudes FTP de clientes.
Cuando el daemon FTP recibe una solicitud, el programa configura una sesión de control que le solicita iniciar sesión, y luego establece la conexión.
FTP permite dos maneras de iniciar sesión. En el modo autenticado, el cliente necesita verificar su identidad con un usuario y contraseña. En el modo anónimo, el cliente usa el usuario "ftp" o "anónimo" y proporciona un correo electrónico como contraseña. Una vez que se configure una sesión de control, el servidor ejecutará cualquier comando solicitado.
¿Es seguro transferir datos por medio de un protocolo FTP?
Por sí solo, no. La simplicidad de FTP es una de sus ventajas, pero también su mayor debilidad. Puede ser configurado para obtener acceso sin autenticación válida. Los archivos son almacenados sin cifrado, los datos son transferidos y pueden ser interceptados fácilmente por hackers y cibercriminales mientras recorre el Internet abierto.
A finales de 2016, había unos 750,000 servidores FTP 'anónimos' conectados a Internet. Estas son oportunidades de oro para los cibercriminales, ya que pueden establecer una sesión de control con mínimo esfuerzo. Al iniciar sesión con el usuario 'FTP' y contraseña de dirección de correo electrónico, tienen acceso al directorio de archivos cargados completo que aún residen en el servidor.
En marzo de 2017, el FBI envió una alerta a los equipos de seguridad en la industria de la salud para crear conciencia sobre los riesgos que plantean los servidores FTP al contener datos delicados como información médica protegida (PHI o Protected Health Information).
¿Necesita cifrado? Use FTPS, SFTP y HTTPS
A lo largo del tiempo, se agregaron tres opciones a las implementaciones de FTP: Secure Sockets Layer (SSL), Secure Shell (SSH) y HTTPS. Los tres son ampliamente utilizados para aumentar la seguridad y confiabilidad de las transferencias de archivos al usar cifrado para prevenir la visualización y modificación no autorizada de datos confidenciales durante la transmisión a través de redes abiertas.
FTPS
La opción más rápida e implementada es FTPS o FTP sobre SSL. FTPS asegura que los archivos viajen a través de FTP con Seguridad de capa de transporte (TLS o Transfer Layer Security). A veces, TLS también es conocido como su predecesor Capa de puertos seguros (SSL o Secure Sockets Layer). FTPS requiere canales separados de transmisión y control.
SFTP
SFTP (protocolo de transferencia de archivos SSH o en inglés, SSH File Transfer Protocol) proporciona administración de transferencia de archivos a través de un solo canal (por lo general, el protocolo SSH-2 {puerto TCP 22}). Incluye algunas características adicionales que le permite reanudar las transferencias de archivos interrumpidas y la capacidad de eliminar archivos de forma remota. SFTP confía que el protocolo subyacente (como SSH) proporcione autenticación y seguridad.
HTTPS
HTTPS es la versión segura de HTTP. Justo como FTPS utiliza el cifrado TLS para transferir archivos. HTTPS ha existido por un tiempo, pero fue originalmente usado para hacer pagos en la web. A medida que la privacidad de datos se ha vuelto más importante, se ha implementado en muchos sitios web en varias industrias y ahora es requerido por Google para mantener buen ranking de búsqueda.
¿Es cierto que SSH, SSL, TLS y HTTPS hacen que FTP sea seguro?
SSH, SSL, TLS y HTTPS habilitan la transmisión segura de datos. Sin embargo, en el panorama de amenazas actual, es importante considerar que los archivos todavía son almacenados en ‘archivos de texto’ y que servidores FTP configurados en modo ‘anónimo’ proporcionan un ángulo de ataque atractivo para los cibercriminales.
Las soluciones de transferencia de archivos se han olvidado. No es raro que los equipos de TI encuentren soluciones FTP implementadas que son antiguas, improvisadas y no bien entendidas. Y aunque contengan datos de la compañía, tienden a estar mal documentadas y carecen mantenimiento. Los archivos subidos al servidor no se pueden eliminar.
Los servidores FTP también ofrecen plataformas de comando y control convenientes para los cibercriminales que han violado las defensas de seguridad de las redes. En el escándalo de Target, usaron un servidor FTP interno para así enviar los datos de tarjetas de crédito a sus propios servidores.
¿Necesita más capas de seguridad?
No solo es importante encriptar los datos en tránsito, sino también proteger y encriptar los que se encuentren en reposo. ¿Usted seguramente se pregunta por qué? Bueno hay dos razones. La primera es que los archivos de intercambio de datos son particularmente vulnerables dado que existen en formatos de fácil consumo. El cifrado agrega una capa de protección que hace que sus datos sean ilegibles para los cibercriminales. La segunda es que los servidores de transferencia de archivos operan a través de un daemon que presenta un ángulo de ataque todo el tiempo al internet abierto, y eso, aunque continuamente ‘vigile’ por si alguien intenta obtener acceso.
Sistemas de transferencia segura de archivos, como Progress MOVEit, proporcionan capas de seguridad más allá de SFTP, FTPS o HTTPS, incluyendo el cifrado de datos en reposo, cifrado de archivos, integración con su infraestructura de seguridad actual y registro de todas las actividades de transferencia de archivos para proporcionar un seguimiento de auditoría automatizado.
Cifrado de datos en reposo.
El cifrado de datos almacenados en sus servidores de transferencia, hace que sus datos sean ilegibles para los cibercriminales. PGP (Pretty Good Privacy o privacidad bastante buena) es un enfoque común que asegura el cifrado y no requiere habilidades especiales por parte del usuario.
Integración con su infraestructura actual
Al integrar la transferencia de archivos con las herramientas de seguridad existentes, puede cumplir las políticas de seguridad de usuario, sistema y archivo mientras que al mismo tiempo controla el movimiento de archivos confidenciales. Esto le permite aprovechar la autorización y autenticación del usuario, los antivirus, los ‘Sistemas de gestión eventos e información de seguridad’ (SIEM por sus siglas en ingles) y DLP para proteger datos confidenciales aún más.
Registro de todas las transferencias de archivos
Con MOVEit, todas las interacciones de datos, incluidos archivos, eventos, personas, políticas y procesos, se registran en una base de datos inviolable. Esto permitirá cumplimiento de HIPAA, PCI, GDPR, SOX, FISMA, GLBA, FFIEC y otras normas de privacidad de datos.
Últimas palabras
Como se mencionó anteriormente, FTP por sí mismo no proporciona ningún mecanismo de seguridad adicional además de pedir una simple contraseña. Si los datos que está enviando no se consideran confidenciales y/o están restringidos a transferencia dentro de su red, FTP puede ser suficiente. No utilice la forma más simple de FTP si los datos confidenciales serán transferidos fuera de la red de su empresa.
La solución que termine utilizando simplemente dependerá de su presupuesto, lo que está transfiriendo y el tipo de cifrado que necesita.
Greg Mooney
Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.