Si transfereixes fitxers via FTP, hi ha una cosa que hauries de saber: el FTP estàndard envia el teu nom d'usuari, contrasenya i cada fitxer completament sense xifrar. Qualsevol persona a la mateixa xarxa pot veure-ho tot amb eines bàsiques de captura de paquets. Això no és un risc teòric. Les vulnerabilitats en la transferència de fitxers han causat algunes de les bretxes de dades més grans dels últims anys.
La bona notícia: protegir les teves transferències no és complicat. Només cal que facis servir el protocol adequat i segueixis unes quantes pràctiques.
Per què el FTP pla és un problema
El FTP es va dissenyar el 1971, molt abans que la seguretat a internet fos una preocupació. Transmet tot en text clar, incloent les credencials d'inici de sessió. En un Wi-Fi de cafeteria, un router compromès, o fins i tot una xarxa corporativa amb un actor maliciós, els teus fitxers i contrasenyes estan completament exposats.
No es tracta només de fitxers personals. El 2023, una vulnerabilitat a la plataforma de transferència de fitxers MOVEit va afectar més de 3.000 organitzacions i uns 100 milions d'usuaris estimats. El 2024, la firma de serveis financers Finastra va veure compromesa la seva plataforma SFTP, potencialment exposant dades de bancs de tot el món. El 2025, vulnerabilitats crítiques a Wing FTP Server i CrushFTP van ser explotades activament.
El patró és clar: la transferència de fitxers és un objectiu d'alt valor, i fer servir protocols sense xifrar ho fa trivialment fàcil d'explotar.
SFTP vs FTPS vs FTP: quin fer servir
SFTP (SSH File Transfer Protocol) és la millor opció per a la majoria d'usuaris. Xifra tot sobre una única connexió SSH al port 22. Suporta autenticació basada en claus (sense contrasenyes enviades per la xarxa), i la seva arquitectura de port únic fa que la configuració del tallafocs sigui senzilla. Si tens opció, fes servir SFTP.
FTPS (FTP over TLS) afegeix xifrat SSL/TLS al protocol FTP original. És segur quan es configura correctament, però hereta l'arquitectura de doble canal del FTP (connexions de control i dades separades), que complica les regles del tallafocs i el NAT traversal. També requereix gestió de certificats SSL. Fes servir FTPS quan el teu servidor no ofereixi SFTP.
FTP pla s'hauria de fer servir només en xarxes internes aïllades on el tràfic mai toca internet. Fins i tot aleshores, considera si SFTP seria igual de fàcil de configurar.
Fes servir autenticació amb clau SSH
Les contrasenyes es poden endevinar, robar per phishing o interceptar. Les claus SSH són criptogràficament fortes i pràcticament impossibles de forçar per força bruta. Una clau RSA de 4096 bits o una clau Ed25519 proporciona una seguretat que cap contrasenya pot igualar.
Per generar una clau al teu Mac, obre Terminal i executa:
ssh-keygen -t ed25519 -C "el-teu-email@example.com"
Això crea un parell de claus a ~/.ssh/. Afegeix la clau pública a les claus autoritzades del teu servidor. Després configura el teu client FTP (o FTPull/FTPush) per fer servir la clau privada en lloc d'una contrasenya.
Per emmagatzemar la frase de pas de la clau al Clauer de macOS perquè no l'hagis d'escriure cada vegada:
ssh-add --apple-use-keychain ~/.ssh/id_ed25519
Emmagatzematge de credencials al Mac
On s'emmagatzemen les teves credencials FTP importa. Algunes apps emmagatzemen contrasenyes en fitxers de configuració en text pla o plists de preferències al disc. Si un malware o un usuari no autoritzat accedeix al teu Mac, aquestes credencials queden immediatament compromeses.
L'enfocament segur és fer servir el Clauer de macOS, que xifra les credencials i les protegeix amb la contrasenya d'inici de sessió del teu Mac. FTPSuite emmagatzema totes les credencials de connexió al Clauer en lloc de fitxers específics de l'app. Això aprofita el xifrat integrat d'Apple i els controls d'accés.
Tingues en compte que els infostealers de Mac (com Atomic Stealer i Banshee) apunten específicament a les dades del Clauer. Per protegir-te: mantén macOS actualitzat, activa el xifrat FileVault, fes servir una contrasenya d'inici de sessió forta, i sigues cautelós amb les descàrregues de fonts desconegudes.
Llista de bones pràctiques
- Mai facis servir FTP pla per a res sensible o per internet.
- Prefereix SFTP sobre FTPS quan tots dos estiguin disponibles.
- Fes servir autenticació amb clau SSH en lloc de contrasenyes quan sigui possible.
- Si fas servir contrasenyes, fes-les llargues (16+ caràcters), úniques i emmagatzemades en un gestor de contrasenyes o al Clauer.
- Fes servir només TLS 1.2 o 1.3 per a connexions FTPS. Desactiva versions antigues de SSL/TLS.
- Verifica els certificats del servidor per a FTPS. No saltis la validació de certificats.
- Restringeix l'accés al servidor per adreça IP quan sigui possible.
- Monitoritza els logs de transferència per detectar horaris d'inici de sessió inusuals, intents d'autenticació fallits o adreces IP inesperades.
- Mantén el software actualitzat. Les vulnerabilitats zero-day en servidors FTP s'exploten ràpidament.
- Activa FileVault al teu Mac per xifrar tot el disc, protegint els fitxers descarregats en repòs.
Com FTPSuite gestiona la seguretat
FTPSuite (FTPull i FTPush) està dissenyat amb aquestes pràctiques en ment:
- Suporta FTP, SFTP i FTPS (Explícit i Implícit).
- Emmagatzema totes les credencials al Clauer de macOS.
- Suporta autenticació amb clau SSH per a connexions SFTP.
- S'executa com a app nativa de macOS sense dependències externes ni dimonis en segon pla.
La seguretat de les teves transferències de fitxers depèn del protocol que triïs i de com gestionis les credencials. Les eines existeixen. Fes-les servir.