El 14 de septiembre se anunció en un grupo de desarrolladores de Chrome que este navegador marcará los recursos FTP (File Transfer Protocol) en la barra de direcciones como “no seguro”. Se espera que el cambio tendrá lugar con la versión 63 de Chrome que aparecerá en diciembre de este año.
El desarrollador Mike West afirma que desafortunadamente la seguridad de FTP es incluso peor que la de HTTP, por lo tanto debemos avisar a los usuarios de que no es un protocolo seguro.
El FTP es tan viejo que solía usarse sobre un NCP (Network Control Program) antes de cambiarse al protocolo de Internet TCP/IP, en 1980. A día de hoy ya tiene 47 años de existencia, muchos más que muchos de sus usuarios.
En aquel entonces los ordenadores eran mucho más simples que hoy, y no tenían que lidiar con malware, cibercriminales, ciberataques y otros peligros, que son actualmente el pan de cada día.
Ahora se suele usar FTP para descargar ficheros de archivos públicos o para cargar webs y archivos multimedia en servidores web. FTP se puede configurar de manera que los usuarios se tengan que autentificar o se puede usar anónimamente.
Lo que hace que FTP no sea seguro es que toda la información transferida, incluido el nombre de usuario y contraseña, se realiza sin cifrar.
Esto significa que los usuarios FTP se pueden ver afectados por un ataque hombre-en-el-medio, que puede robar las claves de autentificación o modificar los ficheros en tránsito.
Cuando se usa FTP para transferir ficheros, normalmente se emplea un cliente FTP como FileZilla, pero todos los navegadores modernos también lo soportan, y si no es por el ftp:// de la barra de direcciones, probablemente no te darías cuenta de que lo estabas usando.
Según Mike West, el 0,0026% de todo el tráfico registrado por Chrome en el mes de agosto se correspondía a direcciones FTP, así que muy pocos usuarios verán la nueva etiqueta “no seguro”.
Mike West también recomendó a los desarrolladores que siguieran el ejemplo de The Linux Kernel Archives y migraran de descargas públicas vía FTP al protocolo HTTPS que es mucho más seguro.
Hay más alternativas para la transferencia de archivos, además de la versión de FTP que incluye cifrado llamada SFTP. El protocolo AS2 (Applicability Statement 2) y el MFT (managed file transfer) pueden ser alternativas al FTP.
Para ser sinceros, no nos importaría nada que el FTP pasara a mejor vida, ya que las redes de ordenadores serían más seguras sin este protocolo. No olvidemos que la vida era totalmente distinta en los 70 cuando se definió el FTP.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: