Dinosaurios entre nosotros: encuentran millones de servidores en la red que creen que aún es 1975.
Por qué Internet no logra deshacerse del protocolo FTP
El protocolo, ideado a principios de los años setenta, sigue vivo en Internet y no ha desaparecido. Más aún, millones de servidores continúan usando FTP como si estuviéramos en la era de los primeros sitios.
Según datos de Censys, en abril de 2026 en Internet hay alrededor de 5,94 millones de nodos con al menos un servicio FTP. Hace dos años eran más de 10 millones, por lo que la cantidad se ha reducido aproximadamente un 40%. La disminución es notable, pero sigue tratándose de una infraestructura gigantesca que permanece expuesta en Internet.
El problema no es la mera existencia de FTP. La cuestión principal es cómo están configurados esos servidores. Casi el 59% de los nodos admite cifrado mediante TLS, mientras que alrededor de 2,45 millones no mostraron señales de conexión segura. Parte de ellos puede soportar cifrado, pero el hecho es que para millones de servidores no hay confirmación de que los datos se transmitan de forma segura.
La situación varía mucho según la región. En la China continental y en Corea del Sur la proporción de servidores FTP protegidos es extremadamente baja: alrededor del 18% y el 14,5% respectivamente. Al mismo tiempo, en Estados Unidos el índice alcanza el 74% y en Hong Kong el 87%. Japón destaca por otra razón: concentra el 71% de todos los servidores con versiones obsoletas de TLS.
Caso aparte son los servidores basados en Microsoft IIS. Más de 150.000 de esos servicios responden con el código 534, que significa que TLS no está configurado de forma efectiva. Al mismo tiempo, la configuración puede aparentar que el cifrado está activado. La razón es sencilla: el sistema exige TLS por defecto, pero no se ha asignado un certificado, por lo que no se establece una conexión protegida y el servidor acepta los datos sin cifrar.
En general, el panorama es bastante prosaico. La mayoría de los servidores FTP no son sistemas expresamente configurados para la transferencia de archivos, sino un efecto secundario de configuraciones típicas. FTP suele activarse junto con alojamiento, correo o bases de datos y puede permanecer sin atención durante años.
Si se observa el software utilizado, lidera Pure-FTPd: alrededor de un tercio de todos los servicios. Luego siguen ProFTPD y vsftpd, que aparece frecuentemente simplemente porque está instalado por defecto en el sistema operativo. También hay versiones obsoletas: por ejemplo, casi 1.700 servidores todavía usan vsftpd 2.3.4, una versión conocida por una vulneración de la cadena de suministro en 2011.
Es interesante que no todo FTP funcione en los puertos estándar. Aunque aproximadamente el 95% de los servicios usan los puertos habituales 21, 20 y 990, el resto se distribuye entre decenas de puertos no estándar. A menudo estos casos están relacionados con proveedores concretos, dispositivos domésticos o plantillas preconfiguradas de servidores virtuales.
A pesar del descenso gradual en la popularidad de FTP, el protocolo no está dispuesto a desaparecer por completo. Alternativas modernas como SFTP ya se han convertido en norma, pero los sistemas antiguos siguen funcionando por inercia. En muchos casos FTP permanece simplemente porque se activó una vez y no se volvió a tocar.
Por eso la pregunta principal para cualquier empresa no es «cómo proteger FTP», sino «para qué se necesita en absoluto». En la mayoría de los casos es más seguro sustituirlo por soluciones más modernas o, al menos, activar el cifrado. Mientras eso no ocurra, millones de servidores seguirán siendo un punto potencial de riesgo.