Más de medio siglo después de su creación, el protocolo FTP (File Transfer Protocol) continúa ampliamente desplegado en Internet, pese a disponer de alternativas modernas y seguras. Un análisis reciente de Censys identifica alrededor de 6 millones de sistemas con servicios FTP accesibles desde la red pública, y casi la mitad de ellos no muestra indicios de uso de cifrado, lo que los convierte en un vector de ataque especialmente atractivo.
Dimensión del problema: servidores FTP inseguros todavía muy presentes en Internet
Según el estudio, los servicios FTP están presentes en aproximadamente el 2,72 % de todos los sistemas “visibles” en Internet. Aunque la tendencia es descendente, el volumen sigue siendo significativo: desde 2024 el número de hosts con FTP expuesto se ha reducido cerca de un 40 %, pasando de 10,1 millones a 5,94 millones. Aun así, esta base instalada representa una parte crítica de la infraestructura global, donde a menudo se manejan archivos sensibles, credenciales y datos personales o corporativos.
El núcleo del problema reside en que una proporción relevante de estos servicios continúa utilizando FTP sin cifrado. Censys detectó que en 2,45 millones de servicios FTP no se observó ningún rastro de handshake TLS durante el escaneo. Aunque esto no garantiza al 100 % que nunca se emplee cifrado, en la práctica suele indicar que las transferencias se realizan en texto claro, como fue diseñado el protocolo original (RFC 959).
Cómo y dónde falla la seguridad de FTP
Ausencia de TLS y contraseñas transmitidas en texto claro
Dentro de esos 2,45 millones de servicios potencialmente no cifrados, Censys destaca varias categorías especialmente críticas:
– 994 000 servicios no admiten el comando AUTH TLS en el puerto analizado, lo que impide establecer conexiones FTPS (FTP sobre TLS). En estos casos, todo el canal de comunicaciones permanece desprotegido.
– 813 000 servidores solicitan la contraseña antes de negociar un canal cifrado. Esto expone las credenciales en texto claro, facilitando ataques de interceptación de tráfico (Man-in-the-Middle), sniffing en redes Wi‑Fi o enrutadores comprometidos, y el robo masivo de cuentas.
– Más de 170 000 hosts carecen por completo de soporte para Explicit TLS, por lo que no pueden conmutar a un modo seguro ni siquiera cuando el cliente está configurado para exigir cifrado.
Para organizaciones que manejan datos de pago, información personal o propiedad intelectual, estas configuraciones implican un riesgo directo de fuga de datos, compromiso de cuentas y incumplimiento normativo frente a marcos como PCI DSS, GDPR o regulaciones sectoriales. La mayoría de guías de buenas prácticas de seguridad (NIST, ENISA y otros organismos) consideran el uso de FTP sin cifrado como una práctica obsoleta y no aceptable en entornos productivos.
Distribución geográfica y papel de los proveedores de hosting
El mayor volumen de servidores FTP accesibles desde Internet se concentra en Estados Unidos, con aproximadamente 1,2 millones de hosts. Le siguen:
– China: 866 000 hosts;
– Alemania: 467 000;
– Hong Kong: 415 000;
– Japón: 366 000;
– Francia: 343 000.
Por número de sistemas autónomos y proveedores, encabeza la lista China Unicom (CHINA169), con unos 405 000 hosts FTP. A continuación aparecen Alibaba (227 000), OVH (177 000), Hetzner (138 000), KDDI Web Communications (127 000) y GoDaddy (126 000). Este reparto sugiere que una parte importante de las configuraciones inseguras se origina en entornos de hosting masivo y acceso de banda ancha, donde abundan servicios desplegados rápidamente y con poca revisión posterior.
Software FTP más usado y riesgos de las configuraciones por defecto
En cuanto al software servidor, Pure-FTPd lidera el panorama con unos 1,99 millones de servicios, seguido de ProFTPD (812 000) y vsftpd (379 000), este último muy habitual en distribuciones Linux como demonio FTP por defecto.
Un caso especialmente relevante es Microsoft IIS FTP. Censys estima alrededor de 259 000 servicios FTP sobre IIS, y más de 150 000 de ellos carecen de cualquier forma de cifrado. Dado que el rol FTP en Windows Server suele activarse mediante una opción sencilla durante el despliegue, es frecuente que se dejen configuraciones predeterminadas mínimamente seguras, suficientes para que el servicio funcione, pero inadecuadas desde el punto de vista de la ciberseguridad.
El análisis conjunto de geografía, ASN y software apunta a una conclusión clara: muchos servidores FTP inseguros son el resultado de configuraciones por defecto o servicios “olvidados”, más que de decisiones arquitectónicas planificadas. Este patrón es típico en proyectos antiguos, entornos de pruebas y espacios temporales de intercambio de archivos que nunca se dieron de baja.
Buenas prácticas: alternativas seguras a FTP y reducción de la superficie de ataque
La recomendación generalizada en el sector es contundente: el uso de FTP sin cifrado ya no es aceptable para la transferencia de información, ni en entornos corporativos ni en servicios públicos.
Las principales medidas para administradores y responsables de TI incluyen:
– Sustituir FTP por SFTP o FTPS. SFTP (subsystema de SSH) y FTPS (FTP sobre TLS) proporcionan cifrado de extremo a extremo, autenticación robusta y son compatibles con la mayoría de clientes y librerías modernas.
– Habilitar y forzar TLS explícito cuando no sea viable migrar de inmediato. En escenarios donde el cambio de protocolo es complejo, es imprescindible activar Explicit TLS, deshabilitar accesos en claro y exigir canales cifrados para todas las cuentas. Servidores como Pure-FTPd y vsftpd soportan estos modos de forma nativa, requiriendo principalmente una configuración adecuada.
– Realizar auditorías periódicas de puertos y servicios expuestos. El uso de escáneres externos como Censys, Shodan u otras herramientas de descubrimiento ayuda a identificar instancias FTP heredadas, mal configuradas o desconocidas para el equipo de seguridad.
– Aplicar el principio de mínimo privilegio en el acceso a ficheros. Limitar las conexiones por direcciones IP o rangos, utilizar VPN para acceso remoto, habilitar autenticación multifactor (MFA) cuando sea posible y registrar todas las operaciones de los usuarios para su análisis posterior son pasos clave para contener el impacto de un incidente.
Ante la magnitud de los servidores FTP inseguros todavía presentes en Internet, resulta esencial que las organizaciones revisen de forma proactiva su infraestructura: inventariar y desactivar servicios obsoletos, migrar a SFTP o FTPS, reforzar la monitorización de la superficie de ataque y alinear sus prácticas con los estándares actuales de seguridad. Invertir ahora en la eliminación de FTP en claro y en la adopción de protocolos seguros reducirá significativamente el riesgo de brechas de datos, mejorará el cumplimiento normativo y sentará una base más sólida para la protección de la información a largo plazo.
