Transferencia Segura de Archivos

Más allá del FTP: Seguridad y Gestión

de la Transferencia de Archivos
Conozca los riesgos de gestión y Seguridad a los que su
organización puede estar expuesta por el uso de servidores FTP
 Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos

Resumen ejecutivo
Cada día, corporaciones, entidades gubernamentales y otras organizaciones intercambian millones de archivos en todo el mundo. Estas transferencias
electrónicas incluyen datos críticos necesarios para lleva a cabo sus negocios, como: datos de clientes, información de pedidos, documentos EDI, datos
financieros y de pago, información de empleados y más.

La mayoría de las transferencias de archivos utiliza un protocolo popular conocido como FTP. Este antiguo protocolo se diseñó e implementó en las primeras
etapas de las redes informáticas, incluso antes de que surgiera Internet. A pesar de su popularidad, pocos administradores conocen los riesgos de gestión y
Seguridad a los que su organización se expone por el uso de servidores FTP. Menos son todavía, quienes han comenzado a tomar medidas para que el uso
del FTP cumpla con las exigencias de las regulaciones, como PCI DSS, GDPR, SOX, HIPAA, las leyes de protección de datos u otras normativas.

Este documento analiza cómo los servidores FTP se convirtieron en el estándar para las transferencias de archivos de empresa a empresa, e identifica las
desventajas de gestión que se enfrentan al utilizar este protocolo abierto. Por último, demuestra cómo IT puede implementar un marco más moderno y
seguro, que permite aumentar la productividad del usuario y mejorar la capacidad de gestión de IT, a la vez que disminuye las vulnerabilidades de Seguridad
y permite cumplir con los crecientes requisitos de las normativas.

www.helpsystems.com 2
 Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos

Cómo el FTP se convirtió en el “Estándar”

FTP significa "Protocolo de Transferencia de Archivos" ("File
Transfer Protocol") y fue una de las primeras aplicaciones de red
formalizadas, suministrada por TCP/IP. Comenzó años antes incluso
de que existieran los protocolos TCP o IP. Su primera aparición fue
en una lista de solicitudes propuestas en 1971 para la ratificación
del Protocolo de Control de Red (Network Control Protocol, NCP),
precursor de TCP.

Los primeros diseños de FTP, creados hace 40 años, son

notablemente similares a lo que usamos hoy. A medida que diversos
protocolos de red sustituyeron a NCP (Arpanet, TCP, IP y finalmente
TCP/IP), las especificaciones del FTP los siguieron, y evolucionaron
un poco, pero conservaron su estructura y funcionalidades básicas.
Debido a su evolución, el FTP es un protocolo repleto de problemas
de gestión y vulnerabilidadades de Seguridad.

Buenas y malas noticias

La buena noticia es que todas las computadoras tienen incorporada la
capacidad de intercambiar datos. La aplicación de transferencia de archivos
que permite el uso del FTP está integrada en los servicios de TCP/IP.

La mala noticia es que muchas implementaciones de FTP de empresa-

a-empresa no son controladas y no son seguras, lo que afecta a la
productividad de las empresas y pone en peligro la Seguridad de sus
datos críticos.

Todavía hoy, el FTP sigue siendo una modalidad crítica de

comunicación entre empresas y es el servicio más utilizado para
transferir archivos entre diversas plataformas informáticas. Por eso,
es importante revisar la manera en la que las empresas implementan
habitualmente su FTP.

www.helpsystems.com 3

Riesgos en las implementaciones de FTP
Analicemos tres desventajas básicas habituales en las
implementaciones de FTP:
• Interacción del usuario
• Complejidad
• Interacción del usuario de Seguridad
Muchas organizaciones permiten que sus empleados realicen
transferencias de archivos directamente desde sus escritorios,
con herramientas incorporadas en su PC. Sin embargo, estas
herramientas necesitan intervención manual y son propensas a
errores (por ejemplo: el usuario puede, por accidente, elegir enviar
los archivos equivocados).
Algunas transferencias de archivos pueden requerir pasos más
detallados para interactuar con un servidor remoto, lo que exige
conocer los protocolos y formatos a utilizar. Cuando estas transferencias
se vuelven repetitivas o indispensables, a menudo se acude a IT para
que ayude a automatizar esos procesos dentro de las aplicaciones
corporativas.
Como táctica para simplificar las transferencias de archivos,
los FTP tienen incorporada la capacidad para aceptar scripts (a veces
denominados “archivos por lote”), que fundamentalmente envían
pulsaciones de teclas al programa cliente del FTP. Esta función
de scripting simula los comandos que se escribirían a mano en la
interfaz de usuario, para automatizar las transferencias FTP.
En general, se necesita de un programador para ayudar a crear
cualquier script de FTP. Y estos scripts a menudo contienen comandos
www.helpsystems.com
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
para iniciar sesión en el servidor; obtener, mover y eliminar archivos; y
cerrar sesión. Pero los scripts de FTP tienen sus propias limitaciones:
• Los scripts no tienen capacidad de ramificación lógica,
y no se pueden programar para que tomen decisiones
en tiempo real basadas en la respuesta de un servidor.
• Los scripts no pueden aceptar el aporte del usuario
para orientar el proceso de envío de archivos.
• Los scripts no tienen un medio inherente para notificar
al usuario o a la aplicación si la transferencia se canceló
debido a un error.
Entonces, si bien los scripts de FTP evitan las desventajas de las
herramientas de FTP manuales, su utilidad puede ser limitada.
Complejidad y costos
Cuando las funciones de FTP quedan ocultas en scripts o se migran
fuera del sistema central, los departamentos de IT suelen enfrentar
una serie de problemas.
Cambios de configuración
Cuando la configuración (por ejemplo: nombres de host, direcciones
IP, nombres de carpetas, etc.) para los servidores FTP se modifica,
IT en general tiene que dedicar recursos a la reconfiguración de los
clientes FTP o al mantenimiento de los scripts.
Existe el mismo problema cuando las credenciales y contraseñas de
usuario cambian o se agregan nuevos socios comerciales.
Si los lugares desde donde se ejecutan las transacciones de FTP
se descentralizan, el personal de IT puede necesitar efectuar esos
cambios en múltiples lugares.
4
 Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos

Soporte de aplicaciones heredadas Hoy en día, la Seguridad de la transferencia de archivos es de máxima

¿Cuántas veces su equipo de programación descubrió un script de
FTP dentro de un procedimiento o programa desarrollado a medida?
Puede que la persona que lo desarrolló se haya ido de la empresa
hace tiempo, y que ahora sea necesario mantener ese código porque
es crucial para transferir datos entre la empresa y un socio comercial.
Los desarrollos a medida con funciones de FTP son bombas de
tiempo a punto de estallar. Afectan la capacidad de IT para responder
con rapidez a los cambios del Negocio, y hacen que importantes
contraseñas y credenciales de usuario se vuelvan inseguras.
importancia para las empresas. El intercambio de información
comercial entre sistemas y empresas, incluso a nivel internacional, se
volvió fundamental para la economía mundial.
Sin embargo, el FTP nativo original de TCP/IP no se diseñó para
los requisitos de la empresa moderna con alcance global. Los
mecanismos básicos de Seguridad de FTP (ID de usuario y contraseña)
han quedado desactualizados hace mucho tiempo, debido al avance
de las tecnologías de investigación de redes, los hackers, el malware y
la proliferación de millones de usuarios adheridos a las redes.

Problemas de migración a PC Entonces ¿cuáles son los problemas de Seguridad que enfrentan las
Toda decisión de distribuir funciones de FTP corporativas lejos del organizaciones hoy en día?
servidor central y fuera de las PCs se deberá analizar con cuidado.

Descentralizar el FTP en general presenta graves ineficiencias y

un aumento de los costos de personal. También es probable que
aumenten los errores y se alarguen los tiempos, a medida que se
agregan más pasos y dispositivos en el proceso para hacer llegar los
archivos en el formato correcto, a los lugares correspondientes y en
los momentos indicados.

No obstante, en lo referente a problemas de gestión, la exposición de

Seguridad del FTP es el mayor peligro que enfrenta la organización.

Exposiciones de Seguridad del FTP

El FTP se diseñó como un mecanismo simple para intercambiar archivos
entre computadoras, en un momento en que las redes eran algo nuevo,
y la Seguridad de la Información era una ciencia en gestación. En la
década de los setenta, si uno deseaba proteger el servidor contra el
acceso no deseado, simplemente cerraba con llave la puerta de la sala
de servidores. El acceso del usuario a los datos se controlaba mediante
contraseñas e ID de usuario básicos. Internet y la revolución de las
computadoras personales estaban aún a una década de distancia.

www.helpsystems.com 5

Cumplimiento
Estándares, regulaciones, leyes, normas y reglas imponen
considerables requisitos a las empresas en relación con el
intercambio de datos. Por ejemplo:
• La norma GDPR exige a las organizaciones dar aviso
de cualquier vulneración de datos que pueda poner
en riesgo los derechos o libertades de los individuos,
dentro de las 72 horas de haber descubierto tal
vulneración. También da a los ciudadanos de la Unión
Europea el derecho a solicitar información sobre
el modo en que se procesan sus datos, solicitar la
eliminación de sus datos y retirar un consentimiento
otorgado previamente para contactarlos y usar sus
datos.
• PCI DSS exige que todos los números de tarjetas de
crédito estén encriptados, tanto si están “en reposo”
como “en movimiento”. Si su empresa no cumple con
esta norma, podrían aplicarle multas severas y perder
su licencia para operar.
• La ley HIPAA exige que las empresas demuestren
que solo se comparte o intercambia la información
específica.
• La FDA exige que haya controles administrativos
cuando se usen sistemas o registros electrónicos en
lugar de sistemas manuales o impresos.
• Sarbanes-Oxley (SOX) exige que los procesos de
negocios (incluidas las transferencias de archivos
automatizadas) sean auditables.
• Las normativas de protección de datos exigen que los
clientes reciban una notificación en caso de extravío o
robo de su información personal. En algunos casos, se
aplican multas elevadas a las organizaciones si estos
datos no están debidamente protegidos.
Las implementaciones típicas de FTP no satisfacen los requisitos de
cumplimiento de muchos estándares, regulaciones y leyes actuales.
www.helpsystems.com
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
Auditoría
El FTP convencional no mantiene a nivel nativo un registro de las
transferencias de archivos. Los procesos de Negocio que utilizan
FTP para el intercambio de información no son auditables mediante
este servicio básico. Por ejemplo, ¿cómo sabe usted qué archivos se
transfieren? ¿O a quién se transfieren los archivos?
Aplicaciones de FTP para PC
Demasiadas organizaciones han derivado la tarea del intercambio de
archivos de empresa-a-empresa a las computadoras personales. Sin
embargo, llevar los datos a las PC para realizar estas funciones de FTP
puede dejar vulnerables los archivos sensibles en esas computadoras.
Garantizar que no queden datos vulnerables en una PC es un proceso
costoso y propenso a errores. No obstante, a menos que IT implemente
medidas de Seguridad específicas, es difícil asegurarse de que los
datos enviados a través de una computadora personal son eliminados
correctamente del disco duro después de la transferencia.
Además, IT debe saber cómo y cuándo la información crítica de la
empresa abandona el sistema central de la compañía y cómo se usa o se
transfiere a otros sistemas.
Exposición de archivo de script
El uso de scripts de FTP o archivos por lote expone los ID de usuario y
las contraseñas a un fácil hackeo.
Los archivos de script pueden exponer no solo sus datos para un uso
indebido, sino que además exponen el sistema de su socio de Negocio a
posibles ataques.
IT debe evitar el uso de scripts integrados, excepto para aquellas
transferencias de archivos más genéricas, donde no se necesite ID de
usuario y contraseña.
6

Procesos de encriptación de archivos
El FTP nativo no encripta datos. Entonces, a menudo se transfieren
los archivos como “texto en claro”, y quedan expuestos al hackeo.
Con demasiada frecuencia, la encriptación a nivel de archivos
requiere un proceso de dos pasos para encriptar primero los datos
y luego enviarlos. Además, las claves o contraseñas usadas para
encriptar y desencriptar estos archivos en general no están bien
protegidas o administradas.
Mejores prácticas para la Transferencia Segura de
Archivos
Claramente, hay que reevaluar y fortalecer la manera en la que las
empresas usan el FTP. ¿Pero cómo debería su equipo de IT comenzar
a hacerlo?
Investigación
El primer paso es analizar cómo se usa el FTP en su organización.
• ¿Qué tipos de datos se envían o reciben a través del FTP?
• ¿Dónde residen actualmente las aplicaciones cliente de
FTP?
• ¿Cuáles son los motivos para distribuir funciones
de FTP (si alguna se distribuye) a computadoras
personales o servidores departamentales?
• ¿Dónde se usan scripts de FTP?
Las respuestas a estas y otras preguntas lo ayudarán a entender la
amplitud de los problemas de Seguridad y gestión que enfrenta su
organización.
www.helpsystems.com
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
El siguiente paso es identificar cómo su empresa debe gestionar y
proteger las transferencias de archivos.
• ¿Cuáles son los requisitos de intercambio de datos de
su organización y de sus socios de Negocio (clientes,
proveedores, bancos, etc.)?
• ¿Cuáles son los requisitos de cumplimiento que debe
satisfacer?
• ¿Cuáles son los requisitos para la encriptación y la
autenticación?
• ¿Cuáles son las expectativas de los usuarios a cargo de
las transferencias cotidianas de datos?
¿Cómo puede IT implementar una solución que realice transferencias
de archivos de forma segura y fácil de gestionar? Hay una serie de
elementos comunes que no pueden faltar para que la solución
elegida sea exitosa.
Implementar una solución configurable, integral y
para todos los sistemas
En el pasado, IT no tenía un enfoque integral de todos los sistemas,
en lo referente al intercambio de archivos. Las herramientas de FTP
independientes y los scripts se consideraban suficientes para hacer el
trabajo.
Pero hoy en día, a medida que proliferan las transferencias de
empresa-a-empresa, es momento de que IT implemente una
estrategia que cumpla con los requisitos generales de Seguridad,
flexibilidad y facilidad de uso.
A continuación, le compartimos algunas pautas básicas que pueden
ayudar a IT a diseñar esta estrategia.
7
 Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos

Ubicación, ubicación, ubicación

La mejor solución para proteger sus implementaciones de FTP será aquella que centralice y
administre el control de sus transferencias. La práctica de trasladar las transferencias de archivos
fuera del sistema de información principal complica la gestión y afecta la Seguridad.

¿Por qué la centralización del FTP reduce los problemas de gestión? Porque:
• Mantiene el rigor de los mecanismos de Seguridad del Sistema Operativo nativo.
• Sostiene los requisitos de cumplimiento que ya se implementaron en el sistema host,
incluyendo controles de autoridad y pre-requisitos de reporting.
• Provee un mantenimiento centralizado para todos los perfiles de usuario y contraseña
del FTP.
• Contiene técnicas estandarizadas de encriptación de datos, y gestión centralizada de
claves. En lugar de crear subsistemas de encriptación para plataformas individuales de
usuario, IT puede diseñar una solución integral que dé mejor control y Seguridad.
• Otorga un sistema centralizado de registro de toda la actividad de transferencia de
archivos para fines de auditoría, junto con alertas de mensaje y registros detallados de
errores en caso de que una transferencia falle.

Coordinar el acceso a las funciones del FTP

Como indicamos anteriormente, las aplicaciones desarrolladas a medida o adaptadas que anidan
funciones de FTP dentro del código de la aplicación son bombas de tiempo para la gestión. Ocultan
las configuraciones y actividades de transferencia de archivos, y pueden dejar desprotegidas las
contraseñas y los ID de usuario.

Si IT tiene aplicaciones como estas, debe centralizar el acceso a las funciones de FTP y encriptación,
a través de un marco controlado. Así, permitirá controlar las credenciales de usuario y servidor,
organizar configuraciones e implementar otras capacidades de gestión, como el registro de
cumplimiento para auditoría.

www.helpsystems.com 8
 Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos

Implementar la encriptación
Una de las mejores soluciones para proteger sus transmisiones de FTP es realizar un upgrade a la tecnología de encriptación de “FTP seguro”. Los dos
protocolos de FTP seguro que más se utilizan son: SFTP (que significa FTP sobre SSH) y FTPS (que significa FTP sobre SSL). Tanto SFTP como FTPS crearán
túneles de encriptación entre su sistema y sus socios de Negocio. Fundamentalmente, todo lo que fluya por esos túneles estará protegido, incluidos los ID
de usuario, las contraseñas, los comandos y los datos que se transmiten.

Una de las principales diferencias entre SFTP y FTPS es la forma en que se realiza la autenticación. Con SFTP, se autentica a los clientes con una simple
contraseña o clave privada. Con FTPS, los clientes y servidores se autentican con certificados, que son con firma propia (los firma su organización) o con la
firma de una Autoridad de Certificación (como Verisign).

Elegir el tipo correcto de protocolo de FTP seguro a utilizar dependerá de las capacidades de su socio de Negocio y de los requisitos de autenticación. No
deje en manos de los usuarios la decisión sobre qué protocolo seguro o metodología funciona mejor. Esto puede crear una mezcla de enfoques, y es posible
que ninguno de ellos cumpla con sus políticas generales de autenticación y Seguridad.

Esta es un área donde es necesaria la experiencia de IT para garantizar que se use el método correcto de encriptación, que el mecanismo de autenticación
se implemente en forma adecuada y que se cumplan los requisitos regulatorios.

Los datos pasan por un túnel de encriptación

Cliente SFTP o FTPS Servidor SFTP o FTPS

www.helpsystems.com 9
 Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos

Invertir en paradigmas de usuario fáciles de usar

Finalmente, no hay que olvidar al usuario final y sus necesidades de automatización y facilidad de
uso. Al centralizar las funciones de FTP, IT puede otorgar una interfaz fácil de usar, que automatice las
transferencias de archivos en forma segura y eficaz.

Pero si la interfaz de usuario de las funciones de FTP no cumple con las expectativas de facilidad
de uso, su proyecto de centralización de FTP puede correr peligro. Los usuarios podrían terminar
solicitando volver a sus soluciones distribuidas y basadas en PC.

Control de exposición del FTP

Como mecanismo de transferencia de archivos, el FTP tuvo una trayectoria larga e ilustre. El uso de
este protocolo estándar seguirá siendo un servicio clave para los negocios, mientras TCP/IP continúe
definiendo los protocolos de Internet.

Pero las antiguas implementaciones ad hoc de herramientas de FTP en toda la empresa, los intentos
en el pasado de automatizar sus funciones y la Seguridad inherentemente frágil de su diseño básico,
dejó a IT con una infraestructura que no cumple con los requisitos de Seguridad y de capacidad
de gestión. En la mayoría de los casos, el uso estándar del FTP es un peligro para la Seguridad de la
empresa, con posibilidades de convertirse en una catástrofe.

IT debe lograr que el FTP esté en cumplimiento de las políticas de Seguridad, proteger los procesos
de transferencias de archivos, y rediseñar el modo en que se usa y controla el servicio dentro de la
organización.

La mejor solución de FTP seguro será aquella que genere un entorno de gestión que controle y
centralice el acceso, provea tecnología de encriptación en forma nativa y agilice todo el proceso.
Con la solución adecuada, IT puede seguir automatizando el intercambio de datos críticos entre
empresas, satisfacer los requisitos de cumplimiento y responder a las necesidades de flexibilidad y
facilidad de uso que demandan los usuarios.

www.helpsystems.com 10
 Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos

Acerca de GoAnywhere MFT

GoAnywhere MFT™ es una solución de Transferencia Segura de Archivos de nivel empresarial, que
agiliza y encripta el intercambio de datos entre sistemas, empleados, clientes y socios de Negocio.
Proporciona un punto de control único y centralizado, con amplias configuraciones de Seguridad,
registros detallados de auditoría y funcionalidades de reporting.

GoAnywhere Gateway™ es un proxy reverso y de reenvío mejorado, que le provee una capa adicional
de Seguridad en el intercambio de datos con sus socios comerciales, al cerrar los puertos de entrada
a su red privada y mantener la información sensible fuera de su DMZ.

Mejore la Seguridad de sus transferencias de archivos con la solución adecuada.

Comience hoy mismo una prueba gratuita de 30 días de GoAnywhere MFT.

Descargar mi prueba

www.helpsystems.com 11
 Acerca de HelpSystems
Organizaciones de todo el mundo recurren a HelpSystems
para facilitar el trabajo de sus departamentos de IT y lograr
que su Negocio opere con fluidez. Nuestro software y servicios
monitorean y automatizan procesos, encriptan y protegen datos y
dan un fácil acceso a la información que la gente necesita.

© HelpSystems, LLC. Todas las marcas registradas y marcas comerciales son propiedad de sus respectivos dueños. R15GABFTP8