No tiene sentido confiar sus archivos confidenciales a una tecnología de 40 años de antigüedad

Teniendo en cuenta que un teléfono inteligente comprado hace dos años es prácticamente obsoleto en la actualidad, ¿puede imaginar usar protocolos de computación de 30 o 40 años atrás para las prácticas de negocios actuales?  Sin embargo, es lo que sucede con muchas organizaciones que aún utilizan el Protocolo de transferencia de archivos (FTP) para enviar archivos de un servidor a otro.

Una consulta rápida en Wikipedia indica que la especificación original de FTP se desarrolló en 1971. Incluso la especificación actual y más reciente es de 1985. Es casi como la Era Jurásica en términos de la vida útil de las computadoras.

Como se puede esperar de un protocolo con décadas de antigüedad, no se diseñó teniendo en cuenta la seguridad. En 1971, e incluso en 1985, lo que más nos preocupaba era la facilidad de uso y lograr que nuestros archivos llegaran desde el punto A al punto B y no una persona que desea interceptar o robar esos archivos. En consecuencia,  FTP es vulnerable a las amenazas como la captura de paquetes, los ataques de fuerza bruta, los ataques de suplantación de identidad, y otras situaciones. Además, FTP no cifra el tráfico y todas las transmisiones son en texto limpio.

Ha habido desarrollos posteriores que mejoraron el antiguo Protocolo de transferencia de archivos. Con el tiempo, los desarrolladores han usado diversas técnicas para intentar mejorar la seguridad del transporte de un archivo de un servidor a otro. Por ejemplo, FTPS es una extensión del estándar FTP que permite que los clientes soliciten el cifrado de las sesiones de FTP.

Con la llegada del correo electrónico, los dispositivos de transferencia segura de archivos y el uso compartido colaborativo de archivos han remplazado en gran medida el uso de FTP en la actualidad. Sin embargo, FTP aún se utiliza y aún pone en riesgo la información confidencial.

El informe Verizon 2015 Data Breach Investigations Report enumera los peligros de los servidores de FTP como una fuente de fuga de datos. El informe cita la investigación de One World Labs (OWL), una firma de consultoría y evaluación de seguridad empresarial. OWL realiza un mapeo de la huella digital y en línea de los clientes, y la empresa haya una gran cantidad de sitios de FTP de individuos y de la empresa que no requieren autenticación. Esto significa que cualquier persona puede acceder a la información que se envía a los servidores. Para empeorar más el asunto, OWL descubrió grandes volúmenes de propiedad intelectual e información de identificación personal (PII) en estos servidores abiertos.

Estos son algunos de los ejemplos de los hallazgos de OWL en los servidores de FTP desprotegidos de los clientes:

• Documentos de la empresa marcados como “De propiedad de la empresa” o “Confidencial”
• Historias clínicas de personas
• Declaraciones de impuestos de individuos
• Archivos de software de propiedad privada
• Nombres de usuario y contraseñas para varias cuentas y hardware empresarial

No hace falta decir que se trata de información que podría poner en riesgo a la empresa de muchas maneras.

La exposición de información por un FTP inseguro suele ser una de las causas de pérdidas de datos accidentales. Dado que errores de este tipo exponen clases de datos protegidos, es probable que las organizaciones que poseen esos datos deban enviar notificaciones de fuga de datos a las posibles personas afectadas;  además de brindar protección contra el robo de identidad a todas las personas cuyos datos se publicaron accidentalmente.

FTP es un método desactualizado y esencialmente inseguro para transmitir archivos en la actualidad. Existen mejores maneras de asegurar que la información no se pueda revelar a otra persona que no sea el destinatario autorizado. El costo de una fuga de datos, incluso una accidental, es muy elevado para correr el riesgo.