Para los flujos de trabajo de alojamiento modernos, SFTP debería ser el predeterminado. El FTP tradicional a menudo está deshabilitado o bloqueado porque transmite las credenciales de manera insegura a menos que se use con controles adicionales.
Crear un usuario dedicado para acceso a archivos
Asigna a cada desarrollador o proceso de implementación su propia cuenta. Las credenciales compartidas hacen que la auditoría sea imposible y ralentizan la respuesta ante incidentes.
- Una cuenta por persona o herramienta de automatización.
- Autenticación mediante contraseña fuerte o clave SSH.
- Revocación inmediata cuando el acceso ya no sea necesario.
Restringir el alcance del directorio
Usa restricciones en el directorio personal para que los usuarios solo vean las rutas de proyecto necesarias. Esto sigue los principios de menor privilegio y reduce las ediciones accidentales.
Endurecer el flujo de trabajo de transferencia
Desactive los protocolos de texto plano cuando sea posible. Haga cumplir el uso de SFTP, verifique las huellas digitales del host en las herramientas del cliente y mantenga los registros de transferencias habilitados.
- Prefiere SFTP en el puerto 22 con autenticación basada en clave.
- Evita operaciones de archivos a nivel de raíz para cargas rutinarias.
- Usa rutas de implementación versionadas para simplificar la reversión.
Lista de verificación operativa
Después de crear la cuenta, realiza una prueba de carga controlada y confirma la propiedad del archivo, los permisos y la capacidad de lectura del servidor web.
El acceso seguro a archivos es una decisión de proceso: identidades separadas, alcance restringido, transporte encriptado y reversión predecible.
Gobernanza de Accesos
La creación de cuentas SFTP debería estar vinculada al proceso de incorporación y baja de personal. Una configuración segura incluye propiedad explícita, política de caducidad para accesos temporales y revisión periódica de cuentas.
- Utiliza credenciales de corta duración para contratistas y tareas específicas de la campaña.
- Revisa las cuentas inactivas mensualmente y elimina el acceso no utilizado.
- Mantenga las credenciales de automatización de despliegue separadas de los accesos de los usuarios.
Verificaciones de Integridad Posteriores al Despliegue
Después de la transferencia de archivos, verifica las sumas de verificación de los archivos críticos cuando sea posible y confirma el comportamiento de la aplicación en entornos de prueba o en ventanas de bajo tráfico. Esto reduce el riesgo de corrupción oculta y los incidentes de sobrescritura accidental.
Actualización 2026: cree una cuenta SFTP separada por desarrollador o integración, limite cada cuenta a un único directorio objetivo y desactive cuentas inactivas de forma periódica. Esta segmentación mejora trazabilidad y reduce superficie de ataque.
