Servidores FTP: El 50% opera sin cifrado de datos según Censys

En el vasto ecosistema de la infraestructura digital actual, los servidores FTP representan una de las paradojas más persistentes y peligrosas de la ciberseguridad moderna. A pesar de que la industria tecnológica avanza hacia arquitecturas de confianza cero (Zero Trust) y cifrado post-cuántico, un informe exhaustivo publicado por Censys el 20 de abril de 2026 ha revelado una realidad alarmante: casi la mitad de los servidores que operan bajo el Protocolo de Transferencia de Archivos (FTP) en todo el mundo carecen de cualquier forma de cifrado. Esta exposición masiva pone de manifiesto una brecha crítica en la higiene digital de miles de organizaciones que, por complacencia o negligencia técnica, continúan confiando en un protocolo diseñado hace más de medio siglo, en una era donde la seguridad no era una prioridad.

La persistencia de los servidores FTP en el panorama de amenazas de 2026

A pesar de su antigüedad, los servidores FTP todavía representan aproximadamente el 2.72% de todos los sistemas visibles en la internet pública. Si bien esta cifra puede parecer pequeña en términos porcentuales, en términos absolutos se traduce en un volumen masivo de datos potencialmente vulnerables. El informe de Censys indica que existen aproximadamente 6 millones de estos servicios expuestos, de los cuales 2.45 millones no muestran evidencia alguna de un “handshake” TLS (Transport Layer Security). Esto significa que cualquier dato transmitido a través de estas conexiones, incluyendo nombres de usuario, contraseñas y el contenido íntegro de los archivos, se envía en texto plano.

La resiliencia de este protocolo, formalizado originalmente en la RFC 959, se debe en gran medida a su simplicidad y a su profunda integración en sistemas legados (legacy systems). Sin embargo, en el contexto actual, operar servidores FTP sin protección es el equivalente digital a enviar correspondencia confidencial en un sobre abierto: cualquier actor malintencionado con acceso a la ruta de red puede interceptar, leer y modificar la información sin dejar rastro aparente.

Anatomía de una vulnerabilidad de 50 años

Para comprender la gravedad del hallazgo de Censys, es necesario desglosar por qué el protocolo FTP estándar es inherentemente inseguro. A diferencia de los protocolos modernos, el FTP tradicional separa el tráfico en dos canales distintos:

• Canal de Control: Donde se envían los comandos y las credenciales de autenticación. En los 2.45 millones de servidores identificados, comandos críticos como USER y PASS viajan sin cifrar.
• Canal de Datos: Donde se realiza la transferencia real de los archivos. Sin la implementación de FTPS (FTP sobre TLS), este canal es igualmente transparente para los atacantes.

Esta arquitectura bidireccional, sumada a la falta de cifrado, facilita ataques de tipo Man-in-the-Middle (MitM). Un atacante posicionado en un nodo de red intermedio —ya sea a través de un router comprometido, un punto de acceso Wi-Fi malicioso o un proveedor de servicios de internet interceptado— puede utilizar herramientas de sniffing de paquetes para capturar credenciales administrativas en milisegundos. Una vez obtenidas estas credenciales, el acceso a los servidores FTP de la organización es total, permitiendo la exfiltración de propiedad intelectual o la inyección de malware en archivos que luego serán descargados por usuarios internos.

El declive insuficiente: ¿Por qué la reducción del 40% no es suficiente?

Un dato alentador del reporte es que el número total de hosts FTP ha disminuido un 40% desde 2024. Esta tendencia sugiere que muchas organizaciones están finalmente migrando hacia alternativas más seguras o consolidando sus servicios en la nube. No obstante, la persistencia de millones de servidores desprotegidos indica que el núcleo duro de esta infraestructura obsoleta pertenece a sectores que enfrentan desafíos significativos para la actualización técnica.

Muchos de estos servidores FTP se encuentran en dispositivos de Internet de las Cosas (IoT), impresoras industriales, sistemas médicos y terminales de punto de venta (POS) que fueron diseñados con stacks de red minimalistas. En estos entornos, la implementación de TLS a menudo se evita debido a la limitación de recursos de procesamiento o la falta de soporte de firmware por parte del fabricante. Sin embargo, el riesgo corporativo es el mismo: un servidor FTP desprotegido en una cámara de seguridad de una oficina puede servir como punto de entrada lateral para un ataque de ransomware a gran escala.

La trampa de la configuración “Anónima”

Otro hallazgo crítico mencionado por los expertos de Censys es la prevalencia de la autenticación anónima en muchos de estos servidores. Aunque el acceso anónimo fue diseñado para la distribución pública de software y documentos, en la práctica, se convierte en un repositorio de archivos mal configurados que contienen datos sensibles de la empresa. La combinación de falta de cifrado y acceso sin credenciales es una invitación abierta para los motores de búsqueda de dispositivos conectados, como el propio Censys o Shodan, que permiten a los cibercriminales indexar y descargar archivos confidenciales de forma automatizada.

Alternativas imperativas: SFTP y FTPS frente al riesgo

La recomendación de los expertos en seguridad es unánime: las organizaciones deben abandonar el uso de servidores FTP tradicionales de inmediato. Existen dos alternativas principales que resuelven los problemas de interceptación de datos:

1. SFTP (SSH File Transfer Protocol): A menudo confundido con FTP, SFTP es un protocolo completamente diferente basado en SSH (Secure Shell). Proporciona un túnel cifrado para todas las comunicaciones, incluyendo comandos, contraseñas y datos. Es la opción preferida por su simplicidad en la configuración de firewalls, ya que utiliza un solo puerto (típicamente el 22).
2. FTPS (FTP over TLS/SSL): Esta es una extensión del protocolo FTP original que añade soporte para el cifrado mediante TLS. Puede operar en modo “Explícito” (donde el cliente debe solicitar el cifrado) o “Implícito” (donde la conexión es cifrada desde el inicio). Aunque es más compatible con sistemas legados que SFTP, su configuración de puertos puede ser más compleja debido al uso de rangos de puertos pasivos.

La adopción de estas tecnologías no es solo una cuestión de seguridad técnica, sino también de cumplimiento normativo. Bajo marcos regulatorios como el GDPR en Europa, la HIPAA en Estados Unidos o las leyes de protección de datos personales en América Latina, la transmisión de información sensible sin cifrar puede resultar en multas millonarias y sanciones legales severas para los directivos de las empresas.

Estrategias para la mitigación y el desmantelamiento de sistemas FTP

Para las organizaciones que han identificado la presencia de servidores FTP inseguros en sus redes, el camino hacia la remediación debe ser metódico. El “Ninja Editor” recomienda los siguientes pasos estratégicos:

1. Auditoría y Descubrimiento

No se puede proteger lo que no se sabe que existe. Las empresas deben realizar escaneos internos y externos periódicos para identificar cualquier instancia de FTP activa. Herramientas de gestión de la superficie de ataque son esenciales para detectar aquellos servidores que han sido desplegados por departamentos de forma independiente (Shadow IT).

2. Análisis de Dependencias

Antes de apagar un servidor, es vital entender qué procesos automáticos dependen de él. Muchas veces, scripts de transferencia de bases de datos o integraciones con proveedores externos utilizan FTP. Estos flujos de trabajo deben ser migrados a SFTP o, idealmente, a APIs seguras con autenticación basada en tokens.

3. Implementación de Cifrado Forzado

Si la transición a un nuevo protocolo no es inmediata por limitaciones técnicas, se debe configurar el servidor actual para requerir TLS de forma obligatoria. Cualquier intento de conexión en texto plano debe ser rechazado automáticamente por el servidor. Esto elimina el riesgo de ataques de degradación (downgrade attacks).

4. Educación y Políticas de Seguridad

La seguridad técnica debe ir acompañada de una cultura de ciberseguridad. Los administradores de sistemas y los desarrolladores deben ser formados en la importancia del cifrado en tránsito. Se debe establecer una política corporativa estricta que prohíba el despliegue de nuevos servicios de transferencia de archivos que no cumplan con estándares modernos de criptografía.

Conclusión: El fin de la era del texto plano

El informe de Censys de 2026 es una llamada de atención necesaria para una industria que a menudo olvida los cimientos sobre los que está construida la internet. La existencia de 2.45 millones de servidores FTP sin cifrado es un testimonio de la inercia técnica que sigue afectando a la seguridad global. En un mundo donde el cibercrimen está altamente profesionalizado y donde los ataques de interceptación son cada vez más sofisticados, mantener protocolos de la década de 1970 es una vulnerabilidad que ninguna empresa se puede permitir.

La transición hacia protocolos seguros como SFTP o la adopción de plataformas de intercambio de archivos basadas en la nube no es solo una mejora técnica, es una necesidad existencial para la protección de la integridad y confidencialidad de la información. El futuro de la transferencia de archivos debe ser, sin excepciones, cifrado por defecto. Aquellas organizaciones que ignoren esta realidad seguirán siendo los objetivos más fáciles en el mapa de exposición de la internet global.