Configurar FTP en Windows: usuarios, puertos y seguridad

  • Configurar FTP en Windows pasa por instalar el rol FTP en IIS, crear usuarios específicos y definir una carpeta raíz con permisos NTFS adecuados.
  • La seguridad se basa en combinar autenticación básica o avanzada, filtrado de comandos y uso de SSL/FTPS, además de reglas de firewall y router correctas.
  • Windows ofrece varios métodos de conexión FTP (clientes dedicados, consola, Explorador) y permite gestionar múltiples cuentas con distintos niveles de acceso.
Daniel Terrasa

17 minutos

FTP en windows

Montar un servidor FTP en Windows sigue siendo una de las formas más sencillas de compartir archivos de forma rápida dentro de una red local o a través de Internet, sin depender de servicios en la nube ni de límites de tamaño. Aunque hoy en día hay alternativas más modernas como SFTP o soluciones de almacenamiento online, FTP continúa usándose muchísimo para hosting, entornos de pruebas y transferencia masiva de datos.

Ahora bien, si quieres hacerlo bien de verdad, no basta con “que funcione”: es clave configurar correctamente usuarios, puertos, permisos, firewall y medidas de seguridad, sobre todo cuando el servidor va a ser accesible desde fuera de tu red. En esta guía completa verás cómo instalar y configurar FTP basado en IIS en diferentes versiones de Windows, cómo ajustar la seguridad del servicio y qué formas tienes de conectarte, además de errores típicos y cómo evitarlos.

Qué es FTP y qué papel juega en Windows e IIS

FTP (File Transfer Protocol) es un protocolo veterano que se usa para enviar y recibir archivos entre un cliente y un servidor a través de una red TCP/IP. En la práctica, te permite conectarte a una máquina remota, ver carpetas y ficheros y subir o bajar contenido casi como si fuera un disco más de tu equipo.

En Windows Server (y también en Windows 7, 8, 8.1, 10 y posteriores) el servidor FTP suele montarse sobre IIS, el servidor web de Microsoft. A nivel interno, IIS expone un elemento <ftpServer> dentro de la configuración de sitios, y dentro de este se encuentra <security>, que es el bloque donde se controlan la autenticación, autorización, filtrado de comandos y la protección del canal de datos y de SSL.

Ese elemento <security> incluye varias secciones críticas: <authentication> (anónima, básica, certificados, personalizada), <commandFiltering> para limitar comandos peligrosos, <dataChannelSecurity> para endurecer la seguridad entre el canal de control y de datos y los bloques <ssl> y <sslClientCertificates> para definir el uso de certificados y FTPS.

En versiones modernas de IIS (7.5, 8.0, 8.5, 10.0) la sintaxis de <security> se mantiene estable, reemplazando la configuración clásica de FTP de IIS 6.0 que vivía en la metabase LM/MSFTPSVC. Desde Windows 7 / Windows Server 2008 R2 el rol FTP 7.5 ya viene integrado como característica de IIS, por lo que no hace falta descargarlo aparte.

Servidor FTP en IIS

Requisitos previos: equipo, red y planificación

Antes de tocar nada conviene asegurarse de que el entorno está preparado para alojar un servidor FTP y de que tienes claro qué usuarios se conectarán, desde dónde y qué tipo de información se va a mover. Esto condicionará desde la estructura de carpetas hasta las políticas de seguridad que actives. Estos son los requisitos:

  • Cuenta con privilegios de administrador. Para poder instalar el rol de servidor FTP, modificar la configuración de IIS y ajustar el firewall.
  • Espacio en disco suficiente para la carpeta de datos FTP y para el crecimiento esperado. Si el servidor va a manejar muchos clientes concurrentes o transferencias muy pesadas, quizá te compense mejorar RAM, CPU o la propia conexión de red.

Desde el punto de vista de red, es clave que tu firewall y tu router permitan el tráfico necesario. Por defecto, FTP usa los puertos 20 y 21 en modo no seguro, pero si utilizas variantes seguras (FTPS o FTP sobre SSH) se implican otros puertos, como el 22 en el caso de SSH. Puede que tu empresa tenga bloqueado FTP por política de seguridad, así que tendrás que coordinarte con el administrador de red o tu proveedor de Internet. Para entender mejor la asignación de direcciones y NAT, consulta cómo obtienen los dispositivos su dirección IP.

Finalmente, define si tu servidor será solo interno o accesible también desde Internet. Esta decisión impacta en la configuración de puertos, NAT, DNS, certificados SSL y el tipo de autenticación que vas a permitir. Para entornos expuestos al exterior FTPS y contraseñas fuertes son prácticamente obligatorios.

Instalación del servicio FTP basado en IIS en Windows

En Windows, el servidor FTP se instala como un servicio de rol dentro de Internet Information Services (IIS). El procedimiento exacto varía un poco según la versión del sistema operativo, pero la idea general es siempre la misma: agregar rol de servidor web y, dentro de él, el servicio FTP.

Instalar FTP en Windows Server 2012 / 2012 R2

En Windows Server 2012 y 2012 R2, el proceso se realiza desde el Administrador del servidor. Desde la barra de tareas accedes a “Administrador del servidor > Administrar > Agregar roles y características” y sigues el asistente, seleccionando una instalación basada en roles o características y el servidor de destino adecuado.

En la pantalla de Roles de servidor hay que expandir “Servidor web (IIS)” y marcar “Servidor FTP”. El propio asistente te propondrá añadir las características necesarias; lo normal es aceptarlas tal cual, incluyendo las herramientas de administración. Tras pulsar Siguiente en las pantallas intermedias, confirmas la instalación y esperas a que termine.

Instalar FTP en Windows Server 2008 / 2008 R2

En Windows Server 2008 R2, desde Inicio vas a “Herramientas administrativas > Administrador del servidor”. En el panel de roles seleccionas “Servidor web (IIS)” y haces clic en “Agregar servicios de rol”. Dentro del asistente localizas “Servidor FTP”, lo expandes y marcas “Servicio FTP”.

Una vez elegido el servicio de rol, sigues el asistente hasta la pantalla de confirmación y pulsas en “Instalar” para que se agregue el componente. Cuando el asistente muestre los resultados podrás cerrar la ventana y continuar con la configuración en IIS.

Instalar FTP en Windows 7, 8, 8.1 y 10

En sistemas de escritorio como Windows 7, 8, 8.1 y 10, el servidor FTP también se añade como componente de Windows. Desde el Panel de control entras en “Programas y características > Activar o desactivar las características de Windows” y expandes “Internet Information Services”.

Dentro de IIS encontrarás el elemento “Servidor FTP”; marca el servicio FTP (y la extensibilidad FTP si quieres funcionalidades extra) y confirma con Aceptar. En Windows 10, el flujo es muy similar: accedes al mismo cuadro de características y te aseguras de marcar tanto “Servidor FTP” como las herramientas de administración web para poder usar el Administrador de IIS cómodamente.

Instalación en Windows Server 2019

En Windows Server 2019 el procedimiento es prácticamente idéntico a 2012/2016: en el Administrador del servidor vas a “Agregar roles y características”, seleccionas “Servidor web (IIS)” y, en “Servicios de rol”, incluyes “Servidor FTP” entre los componentes a instalar. Tras la instalación podrás crear tus sitios FTP en el Administrador de IIS.

Configurar FTP en Windows: usuarios, puertos y consideraciones de seguridad

Creación de usuarios y grupos para FTP

Una buena práctica de seguridad es no reutilizar cuentas de usuario con permisos elevados para conectarse por FTP. En su lugar, conviene crear usuarios específicos (y, si procede, grupos) que solo tengan acceso a las carpetas necesarias para subir y descargar contenido.

En un servidor Windows puedes usar la consola de administración de usuarios y grupos. Desde la barra de búsqueda escribe algo como “usuarios” y accede a la opción “Agregar, editar o eliminar otros usuarios”. Desde allí, o desde la herramienta de “Usuarios y grupos locales” (o Active Directory Users and Computers en un dominio), podrás crear nuevas cuentas.

Al crear un usuario FTP defines nombre de usuario, nombre completo y descripción; lo imprescindible es el identificador de inicio de sesión. Después eliges una contraseña robusta y ajustas opciones como “el usuario no puede cambiar la contraseña” o “la contraseña nunca expira”, dependiendo del uso que vayas a darle al FTP.

Si prevés manejar varios usuarios con idénticos permisos, compensa crear un grupo específico, por ejemplo “FTP_Usuarios”. Desde la pestaña de grupos podrás crear un nuevo grupo, asignarle nombre y descripción y agregar los usuarios que vayan a compartir derechos. Más tarde este grupo se puede usar tanto en permisos NTFS como en reglas de autorización de IIS.

En entornos con Active Directory (como en muchos Windows Server 2019) es habitual crear una unidad organizativa dedicada, por ejemplo “Servicio FTP”, y dentro de ella definir las cuentas que tendrán acceso al servicio, facilitando la administración centralizada y las políticas de seguridad.

Configuración de la carpeta raíz (home) del FTP

Con el servicio FTP instalado y los usuarios creados, el siguiente paso es preparar la carpeta que actuará como directorio base del sitio FTP. Esta ubicación puede ser un simple “C:\FTP” en un entorno de pruebas o un volumen dedicado en producción.

Desde el Explorador de archivos creas la carpeta en la ruta elegida y, a continuación, te vas a sus propiedades (clic derecho > “Propiedades”). En la pestaña “Seguridad” entras en las “Opciones avanzadas” para gestionar los permisos de forma más fina y, si lo necesitas, rompes la herencia de permisos del disco.

Romper la herencia suele hacerse pulsando en “Deshabilitar herencia” y escogiendo “Convertir los permisos heredados en explícitos en este objeto”, de manera que a partir de ahí puedas editar quién accede a la carpeta sin arrastrar toda la ACL del disco o de carpetas superiores.

De vuelta en la ventana de seguridad, lo recomendable es eliminar las entradas que no necesitas (por ejemplo el grupo genérico “Usuarios”) y agregar únicamente el usuario o grupo FTP que has creado. En la edición de permisos, a ese usuario/grupo le otorgas “Control total” para garantizar que puede leer, escribir, borrar y renombrar ficheros sin problemas.

En escenarios multiusuario puedes ir un paso más allá y crear subcarpetas por usuario, configurando permisos separados para que cada uno solo vea su propio contenido, o jugar con la autorización de IIS para aislar directorios según identidad.

Configurar FTP en Windows: usuarios, puertos y consideraciones de seguridad

Crear y configurar el sitio FTP en IIS

Una vez tienes el rol FTP operativo y la carpeta base con sus permisos, toca crear el sitio FTP en el Administrador de Internet Information Services (IIS). Esta es la pieza que une IP, puerto, ruta física y políticas de autenticación/autorización. Estos son los pasos a seguir:

  1. Abre el Administrador de IIS desde el menú de herramientas administrativas (o buscándolo directamente) .
  2. En el panel de conexiones, haz clic derecho sobre “Sitios.
  3. Elige “Agregar sitio FTP”. Se abrirá un pequeño asistente guiado.
  4. En la primera pantalla del asistente define el nombre del sitio FTP y la ruta física de la carpeta base. Puedes teclear la ruta a mano o pulsar en el botón de exploración para localizar la carpeta creada antes (por ejemplo “C:\FTP”). Una vez establecido el home, avanzas con “Siguiente”.
  5. En la segunda pantalla se configura la parte de “Enlace y SSL”. Elige la dirección IP en la que escuchará el sitio (o dejas “Todo sin asignar” si solo tienes una) y especifica el puerto TCP que quieres usar (por defecto el 21 para FTP estándar, o 990 si quieres FTPS implícito).
  6. En cuanto a SSL, tienes tres opciones básicas:
    • Deshabilitarlo (“Sin SSL”).
    • Permitirlo de forma opcional (“Permitir SSL”).
    • Forzarlo (“Exigir SSL”).
  7. En la tercera pantalla del asistente se define la autenticación y la autorización. Puedes habilitar autenticación anónima, básica o ambas. En la parte de autorización eliges quién podrá conectarse y qué permisos tendrá. IIS permite especificar “Todos los usuarios”, “Usuarios anónimos”, “Usuarios especificados” o grupos integrados. Puedes, por ejemplo, seleccionar “Usuarios especificados”, indicar una cuenta o grupo y marcar permisos de lectura y escritura para habilitar la subida y descarga de ficheros.
  8. Pulsa “Finalizar” y el sitio FTP quedará creado.

Autenticación FTP: anónima, básica y avanzadas

La sección <authentication> de la configuración FTP de IIS es la que determina cómo se identifican los clientes que intentan conectarse. Desde la vista de características del sitio FTP, al hacer doble clic en “Autenticación FTP” verás varias opciones.

  • Autenticación anónima. Permite que cualquiera entre sin credenciales, útil únicamente para sitios totalmente públicos donde solo quieras exponer descargas y nada restringido. Desde la pestaña de autenticación, seleccionando “Autenticación anónima” y usando las acciones de “Habilitar” o “Deshabilitar” puedes activarla o bloquearla según te convenga.
  • Autenticación básica. Exige que el cliente envíe un usuario y contraseña válidos en el dominio o máquina. Es el modo habitual para entornos internos o de pequeño hosting, pero hay que tener presente que el usuario y la clave viajan en texto claro si no usas SSL, por lo que en Internet es muy recomendable combinarla con FTPS.
  • Autenticación mediante certificados de cliente de Active Directory (clientCertAuthentication). El cliente se identifica con un certificado digital en lugar de usuario/contraseña.
  • Autenticación personalizada (customAuthentication). Permite enchufar módulos propios o de terceros para validar credenciales de formas más avanzadas.

Si lo que quieres es cambiar el modo de autenticación por defecto, basta con que en la pantalla de “Autenticación FTP” selecciones “Autenticación básica” y uses la acción de “Habilitar”, deshabilitando la anónima. Este simple cambio reduce muchísimo la exposición del servidor, sobre todo si lo combinas con reglas de autorización restrictivas.

FTPS

Seguridad, SSL/FTPS y filtrado de comandos

A día de hoy, dejar un FTP escuchando sin cifrado en Internet no es buena idea, así que merece la pena detenerse en las opciones de seguridad avanzada que ofrece la sección <security> de FTP en IIS. Aquí entra en juego tanto el uso de SSL como la protección del canal de datos y el filtrado de comandos.

Para proteger el tráfico puedes usar certificados SSL. IIS permite crear un certificado autofirmado directamente desde “Certificados de servidor” en el Administrador de IIS, o importar uno emitido por una entidad de confianza. Una vez lo tengas, en la configuración FTP del sitio (opción “Configuración FTP SSL”) eliges ese certificado y marcas “Requerir conexión SSL” si quieres que todas las conexiones vayan cifradas (FTPS explícito o implícito, según el puerto).

El bloque <ssl> dentro de <security> permite ajustar directivas como controlChannelPolicy y dataChannelPolicy, que indican si se exige o no SSL en el canal de control y de datos.

Por otro lado, el filtrado de comandos FTP a través de <commandFiltering> te permite denegar comandos específicos que consideres peligrosos o innecesarios. P

Para la seguridad del canal de datos, <dataChannelSecurity> añade capas adicionales, como obligar a que la dirección del cliente en el canal de datos coincida con la del canal de control. Esto dificulta ciertos ataques que intentan secuestrar o redirigir la sesión FTP aprovechando la apertura dinámica de puertos.

Finalmente, <sslClientCertificates> controla la política respecto a certificados de cliente en SSL, pudiendo ignorarlos (CertIgnore), aceptarlos o requerirlos. Si trabajas en un entorno corporativo muy cerrado, pedir certificados de cliente añade una barrera de seguridad muy potente frente a accesos no autorizados.

Firewall de Windows y apertura de puertos

De nada sirve tener el servidor FTP perfecto si el firewall bloquea todo el tráfico. En Windows, la protección de Firewall de Windows con seguridad avanzada impide por defecto muchas conexiones entrantes, por lo que tendrás que crear reglas específicas o usar las predefinidas.

Desde “Panel de control > Sistema y seguridad > Firewall de Windows Defender”, puedes entrar en “Permitir una aplicación o una característica a través de Firewall de Windows”. Allí, asegúrate de que “Servidor FTP” está habilitado tanto para redes privadas como públicas, según el uso que le vayas a dar.

Para un control más detallado, abre “Firewall de Windows con seguridad avanzada” y, en “Reglas de entrada”, crea una nueva regla predefinida para “Servidor FTP” marcando todos los componentes relevantes. Esto generará automáticamente las entradas necesarias para el puerto 21 y para otros servicios asociados.

En algunos casos también necesitarás autorizar procesos como svchost.exe, que es el host de servicios donde se cuelgan muchas funcionalidades de Windows. Si detectas bloqueos, puedes usar la opción “Permitir otra aplicación” y agregar svchost a la lista de permitidos, siempre con cuidado y sabiendo lo que implica.

Si además quieres que tu servidor FTP sea accesible desde Internet, tendrás que abrir el puerto 21 (o el que uses para FTP) en tu router, creando una regla de reenvío de puertos (port forwarding) hacia la IP interna de tu servidor. Esto se hace desde la configuración WAN o NAT del router, indicando servicio, puerto externo, IP interna y puerto interno, normalmente todo a 21/TCP si usas FTP clásico.

FTP en Windows

Formas de conectarse a un servidor FTP en Windows

Una vez el servidor está operativo, tienes varias maneras de conectarte desde un cliente Windows y mover archivos. Algunas son más cómodas y gráficas, otras más técnicas pero muy útiles para diagnósticos.

La forma más típica hoy en día es emplear un cliente FTP dedicado como FileZilla, WinSCP u otros. Estos programas ofrecen una interfaz de dos paneles (local/remoto), arrastrar y soltar y gestión de colas, y solo necesitas indicar host (IP o dominio), tipo de protocolo, usuario, contraseña y puerto (ver los tres mejores clientes FTP).

Otra opción es el uso del propio navegador web, escribiendo en la barra de direcciones una URL del tipo ftp://IP-del-servidor o ftp://ftp.tudominio.com. Si el navegador todavía soporta FTP, se abrirá un prompt de usuario y contraseña y verás el contenido en formato de listado. Eso sí, los navegadores modernos han ido retirando soporte FTP por seguridad y bajo uso, así que este método ya es casi residual.

También puedes tirar de consola de comandos. Abres “cmd”, ejecutas el comando ftp para entrar en el cliente básico incorporado en Windows y luego “open IP-o-host puerto” para conectarte. Si el servidor usa el puerto 21, basta con “open 192.168.x.x”; si está en otro puerto, debes especificarlo, por ejemplo “open 192.168.0.26 214”.

Por último, el Explorador de archivos de Windows permite tratar un FTP como una ubicación de red. Desde “Este equipo” puedes elegir “Agregar una ubicación de red” y, en el asistente, seleccionar “Elegir una ubicación de red personalizada” e indicar la dirección del servidor en formato ftp://servidor-o-IP. Tras introducir credenciales y darle un nombre identificativo, esa ubicación FTP aparecerá como un icono más bajo “Este equipo”.

Gestión de múltiples cuentas y permisos en FTP

En escenarios donde varias personas van a utilizar el servidor, es normal querer crear varias cuentas FTP con permisos diferenciados, de forma que unos solo puedan leer, otros también escribir y algunos quizá se limiten a un subdirectorio concreto.

En Windows 10 y versiones modernas, puedes crear nuevas cuentas de usuario desde Configuración > Cuentas > Familia y otros usuarios, usando la opción “Agregar otra persona a este equipo” y seleccionando “Agregar un usuario sin cuenta Microsoft” para cuentas locales simples. Introduces nombre de usuario, contraseña y ya tienes un perfil adicional.

Luego, en el servidor, te vas a la carpeta FTP, entras en propiedades > Seguridad y añades esa nueva cuenta en la lista de seguridad, otorgando los permisos que quieras (por ejemplo solo “Modificar” y “Leer y ejecutar”). Esto controla lo que el usuario puede hacer a nivel de sistema de archivos, y puedes automatizar tareas con archivos con herramientas como FreeCommander XE.

Para rematar, en el Administrador de IIS, dentro del sitio FTP, abres la característica “Reglas de autorización” y creas una nueva regla de permiso indicando “Usuarios especificados” con el nombre de la cuenta o el grupo al que quieres dejar pasar. Asignas lectura y/o escritura según el rol de ese usuario, de manera que un mismo sitio FTP puede albergar cuentas con poderes muy distintos.

Si repites este proceso con diferentes usuarios, irás construyendo un entorno FTP multiusuario mucho más ordenado, en el que cada cual solo ve lo que debe y el servidor no es un cajón de sastre accesible con una única cuenta compartida.

Con todas estas piezas bien encajadas —instalación del rol FTP en IIS, creación de usuarios y grupos específicos, configuración cuidadosa de la carpeta raíz, ajuste de autenticación, uso de SSL, apertura de puertos y conocimiento de las distintas formas de conexión— es posible levantar en Windows un servidor FTP robusto, relativamente seguro y adaptado a tus necesidades, ya sea para un simple intercambio de ficheros en tu LAN o para exponer un repositorio accesible desde cualquier lugar del mundo.

Las mejores alternativas al explorador de Windows
Artículo relacionado:
Las mejores alternativas al explorador de Windows