FTP vs SFTP: por qué la banca nunca transfiere por FTP

Los dos mueven archivos de un lado a otro. Solo uno cifra lo que viaja —credenciales incluidas—. Y para colmo, SFTP ni siquiera es "FTP seguro".

Transferir un archivo de una máquina a otra suena trivial. Y lo es —hasta que ese archivo es un lote de pagos, y la "máquina de al lado" está al otro extremo de una red que no controlas. Ahí la pregunta deja de ser "¿cómo muevo el archivo?" y pasa a ser "¿quién más puede leerlo por el camino?". La respuesta separa a FTP de SFTP, y explica por qué en entornos serios el primero simplemente no existe.

Qué mueve cada protocolo

Un protocolo de transferencia de archivos es solo un acuerdo: cómo un cliente y un servidor conversan para listar carpetas, subir, bajar y borrar archivos. FTP y SFTP resuelven el mismo problema —mover bytes— pero desde mundos técnicos opuestos.

Concepto clave

FTP (File Transfer Protocol) es un protocolo de 1985 que mueve archivos usando dos conexiones de red separadas y sin ningún cifrado: todo —comandos, credenciales y contenido— viaja en texto plano.

SFTP (SSH File Transfer Protocol) es un protocolo moderno que mueve archivos dentro de una conexión SSH ya cifrada. Pese al nombre, no comparte una sola línea de código ni de diseño con FTP.

Cómo funciona FTP (y por qué es de otra época)

Lo que hace a FTP peculiar es que usa dos canales: uno para dar órdenes y otro para mover el contenido.

  1. El cliente abre el canal de control hacia el servidor en el puerto 21. Por ahí viajan los comandos (USER, PASS, LIST, RETR…) y las respuestas.
  2. El cliente se autentica enviando usuario y contraseña —en texto plano— por ese mismo canal.
  3. Para transferir un archivo se abre un segundo canal, el de datos. En modo activo lo abre el servidor hacia el cliente; en modo pasivo lo abre el cliente hacia un puerto que el servidor le indica (por eso el pasivo es el que sobrevive detrás de firewalls).
  4. El contenido del archivo viaja por ese canal de datos —también sin cifrar—.

Ese diseño de dos canales era razonable en 1985. Hoy es un problema doble: complica los firewalls (hay que gestionar rangos de puertos para el canal de datos) y, sobre todo, no protege nada. Un atacante con visibilidad de la red —un Wi-Fi comprometido, un router intervenido, un vecino en el mismo segmento— lee tu contraseña y tu archivo tal cual.

Error común

"Uso FTP pero solo dentro de la red interna, así que es seguro." El perímetro no es cifrado. Un equipo comprometido o un movimiento lateral dentro de esa misma red interna ve todo el tráfico FTP en claro. Interno no significa confidencial.

Cómo funciona SFTP

SFTP no reinventa la seguridad: se apoya en SSH, el mismo protocolo con el que administras servidores de forma remota y segura. SFTP es, literalmente, un subsistema de SSH dedicado a archivos.

  1. El cliente abre una sola conexión SSH hacia el servidor, normalmente en el puerto 22.
  2. Cliente y servidor negocian el cifrado y verifican identidades antes de intercambiar nada útil. A partir de aquí, todo lo que pase por esa conexión va cifrado.
  3. El cliente se autentica por contraseña o —lo recomendable— con un par de llaves SSH: una privada que nunca sale de tu máquina y una pública que vive en el servidor.
  4. Comandos y contenido viajan por ese único canal cifrado. Un solo puerto, un solo túnel, nada legible desde fuera.

El resultado: un puerto en lugar de varios (firewall feliz), cifrado de extremo a extremo del transporte, verificación de integridad del contenido y la opción de autenticarte con llaves en vez de contraseñas. Todo lo que a FTP le falta, SFTP lo trae de fábrica porque lo hereda de SSH.

La confusión clave: SFTP no es FTPS

Aquí es donde casi todo el mundo tropieza. Existe un tercer nombre —FTPS— y no es un sinónimo de SFTP. Son cosas distintas:

Error común

"SFTP es FTP con SSL." No. Eso que describes es FTPS. La S de SFTP viene de SSH, no de "secure sockets". Son dos caminos diferentes para llegar a la misma meta —cifrar la transferencia—, pero SFTP y FTP ni siquiera hablan el mismo idioma.

Los tres, lado a lado

Comparación de protocolos de transferencia de archivos
Característica FTP FTPS SFTP
Base técnica FTP puro FTP + TLS SSH
Cifrado en tránsito No
Canales / puertos 2 canales (21 + datos) 2 canales (21/990 + datos) 1 canal (22)
Amigable con firewalls Poco Poco Mucho
Autenticación por llaves No Vía certificados Sí (llaves SSH)
Integridad del contenido No garantizada

Cuándo usar cada uno

Errores comunes

El ángulo banca: por qué SFTP y llaves

En banca, el intercambio de archivos no es una anécdota: es infraestructura. Lotes de pagos, conciliaciones, archivos de clearing, reportes regulatorios, ficheros de proveedores. Se mueven a diario entre instituciones que no comparten red, y su contenido es exactamente lo más sensible que existe.

Por eso hay tres exigencias que FTP no puede cumplir y SFTP sí:

FTP y SFTP contestan la misma pregunta —cómo mover un archivo— pero solo uno contesta la que de verdad importa: quién más puede leerlo. En un banco, esa segunda pregunta manda. Por eso el estándar no se discute: SFTP, con llaves, y FTP plano fuera de la política.

Jorel del Portal

Jorel del Portal

Ingeniero de sistemas especializado en arquitectura de software empresarial y plataformas de alta disponibilidad en banca y finanzas.