El protocolo FTP nació en una era con pocas preocupaciones sobre seguridad, y a día de hoy sigue presente en infraestructuras públicas. Un informe de Censys señala que cerca de 5,94 millones de hosts siguen ofreciendo servicios FTP, una cifra que, aunque menor que en años anteriores, representa una superficie de ataque considerable. Este artículo explica por qué tantos servicios siguen activos, qué riesgos concretos existen y qué pasos prácticos pueden tomar los administradores.
La persistencia de FTP no responde casi nunca a una decisión explícita de operación; más bien proviene de paneles de control y paquetes de alojamiento que activan el servicio por defecto durante la provisión. En muchos entornos compartidos y redes de banda ancha residencial el servicio permanece en funcionamiento sin revisiones periódicas, creando lo que los expertos llaman una huella heredada. Ese patrón —activación por defecto y olvido administrativo— es el origen principal de la Exposición masiva.
Estado actual y cifras claves
Según el mismo informe, la exposición global cayó aproximadamente un 40% desde 2026, cuando se estimaron 10,1 millones de hosts visibles, hasta los ~5,94 millones detectados en 2026. No obstante, la distribución geográfica concentra el riesgo: Estados Unidos lidera con más de 1,2 millones de hosts visibles y países como China, Alemania, Hong Kong y Japón suman una parte importante de la totalidad.
La concentración en infraestructuras compartidas y proveedores residenciales hace que estas máquinas sean especialmente atractivas para atacantes que buscan credenciales o datos sin cifrar.
Problemas de cifrado y diferencias entre implementaciones
Una de las preocupaciones técnicas más graves es la inconsistencia en el uso de TLS. Cerca del 58,9% de los hosts FTP mostraron soporte para TLS, y de ellos el 97% utilizan versiones modernas como TLS 1.2 o TLS 1.3.
Sin embargo, alrededor de 2,45 millones de servidores no muestran evidencia de cifrado y, por tanto, transmiten credenciales y archivos en texto plano. Además, hay diferencias regionales: China continental y Corea del Sur presentan tasas bajas de adopción, y Japón concentra un alto porcentaje de servidores que todavía usan versiones obsoletas de TLS.
Protocolos y alternativas seguras
Es importante distinguir entre protocolos: el FTP estándar envía todo en claro; FTPS añade cifrado TLS a la sesión FTP; y SFTP no es una variante de FTP, sino un protocolo distinto que opera sobre SSH y cifra credenciales y datos por defecto. Asimismo, el TFTP carece de autenticación y nunca debería exponerse públicamente. Los expertos recomiendan migrar a SFTP cuando sea posible, porque simplifica la seguridad al usar cifrado por defecto y políticas de autenticación más sólidas.
Cuellos de botella en implementaciones y software
El análisis también apunta a decisiones de software que fomentan la exposición. Por ejemplo, Pure-FTPd aparece frecuentemente debido a configuraciones por defecto en paneles como cPanel, y vsftpd sigue siendo común; de hecho, se detectaron 1.744 hosts ejecutando la versión afectada por puertas traseras 2.3.4. En despliegues de Microsoft IIS se hallaron más de 150.000 servidores que responden con un código 534 por políticas SSL mal configuradas: la opción de “requerir SSL” puede estar activada sin que exista un certificado válido enlazado, lo que provoca un fracaso en el handshake TLS pero la aceptación de credenciales en claro.
Consecuencias operativas
Esas configuraciones generan una falsa sensación de seguridad. Los administradores pueden ver una política que indica cifrado obligatorio y asumir protección completa, mientras que la realidad técnica permite conexiones no cifradas. Esa discrepancia aumenta el riesgo de robo de credenciales, interceptación de datos y escalada de ataques en redes internas, sobre todo cuando los servicios permanecen olvidados en inventarios desactualizados.
Recomendaciones prácticas
Las medidas clave son claras y aplicables: en primer lugar, evaluar si FTP es realmente necesario y, de no serlo, deshabilitar el servicio en los activos expuestos. Si la transferencia de archivos es imprescindible, migrar a SFTP suele ser la opción más segura. Para entornos que por compatibilidad usan FTPS, validar cuidadosamente las configuraciones de TLS, especialmente en IIS, donde es imprescindible enlazar certificados válidos para que la política de cifrado funcione.
Además, se recomienda mantener auditorías regulares del perímetro público, actualizar daemons y paquetes a versiones parcheadas, y revisar paneles de control que activan servicios por defecto. Implementar inventarios activos y escaneos periódicos ayuda a identificar servicios olvidados y reducir la superficie de ataque. En resumen, la solución no es endurecer lo que está mal configurado sino replantear si debe estar en ejecución y, cuando sea necesario, elegir alternativas que ofrezcan cifrado por defecto.
