Qué es WebDAV: protocolo, usos reales y alternativas

Si llevas tiempo viendo la palabra WebDAV y no terminas de entender qué narices es, tranquilo, no eres el único. Mucha gente lo confunde con un servicio tipo Dropbox o Google Drive, cuando en realidad se trata de otra cosa: un protocolo que usan muchos servicios de almacenamiento, nubes privadas y servidores para permitir que gestiones archivos a distancia como si estuvieran en tu propio ordenador.

La idea clave de WebDAV es que puedas abrir, editar, mover y borrar ficheros en un servidor remoto igual que lo harías en una carpeta local. Da igual si estás en casa, en la oficina o conectado a un NAS en la otra punta del mundo: si el servidor y tu dispositivo soportan WebDAV, verás esos archivos como una unidad de red o un directorio más en tu sistema operativo.

Qué es WebDAV exactamente

WebDAV son las siglas de Web-based Distributed Authoring and Versioning, que podríamos traducir como “creación y control de versiones distribuidos en la web”. Es una extensión del protocolo HTTP desarrollada dentro del IETF (el organismo que estandariza muchos protocolos de Internet) para que la web no sea solo de lectura, sino también de edición.

En lugar de limitarse a mostrar páginas web como hace HTTP normal, WebDAV añade funciones de gestión de archivos: creación de directorios, copia, movimiento, bloqueo de ficheros, modificación de propiedades, etc. Todo esto se hace mediante nuevos métodos HTTP y cabeceras adicionales, utilizando XML para describir metadatos y estructuras.

La visión inicial de la web de Tim Berners-Lee incluía poder editar contenidos directamente desde el navegador. El primer navegador WorldWideWeb permitía tanto leer como modificar páginas remotas, pero la web real evolucionó hacia un entorno prácticamente de solo lectura. WebDAV nació precisamente para intentar recuperar esa capacidad de edición distribuida sobre HTTP.

El trabajo formal sobre WebDAV se encauzó en un grupo de trabajo del IETF, que con el tiempo ha ido publicando varias RFC (documentos estándar) que definen el protocolo y sus extensiones: requisitos funcionales, protocolo base, colecciones ordenadas, control de acceso, mejoras del método MKCOL, etc. Entre las más importantes están las RFC 2518 (ya obsoleta) y 4918, que definen el núcleo del protocolo.

Cómo funciona WebDAV a nivel de protocolo

WebDAV se monta literalmente sobre HTTP o HTTPS; es decir, se sigue usando el mismo puerto 80 o 443 y las mismas conexiones que para navegar por la web, pero añadiendo métodos específicos. Esto tiene una consecuencia muy práctica: suele atravesar sin problemas firewalls, NAT y proxies, porque a ojos de la red es “simple tráfico web” (aunque haga bastante más).

El protocolo introduce una serie de métodos nuevos sobre HTTP, que permiten manipular los llamados recursos (ficheros o directorios identificados por una URL o URI):

• PROPFIND: recupera las propiedades de un recurso (en XML) y también puede listar la estructura de colecciones, es decir, la “jerarquía de directorios” remota.
• PROPPATCH: cambia o borra varias propiedades de un recurso en una sola operación atómica.
• MKCOL: crea nuevas colecciones, lo que en la práctica equivale a crear directorios o carpetas.
• COPY: copia un recurso de una URL a otra dentro del mismo servidor o a otro servidor compatible.
• MOVE: mueve o renombra un recurso, cambiando su ubicación o ruta.
• LOCK: bloquea un recurso para evitar modificaciones simultáneas no controladas; puede haber bloqueos compartidos o exclusivos.
• UNLOCK: elimina un bloqueo previamente establecido sobre un recurso.
• SEARCH: en algunas extensiones, permite realizar búsquedas sobre los recursos del servidor WebDAV.

Todos estos métodos trabajan sobre “recursos” identificados por una URI. Desde el punto de vista del usuario final, esos recursos suelen presentarse como archivos y carpetas que ves en tu explorador de archivos, pero a nivel de red siguen siendo URLs servidas por HTTP/HTTPS.

El uso de XML es una característica distintiva de WebDAV: se utiliza para representar propiedades, estructuras de directorios, resultados de búsqueda y otra metainformación. Esto hace el protocolo bastante flexible, aunque también introduce cierto sobrecoste (overhead) en términos de tamaño de cabeceras y procesamiento.

Qué permite hacer WebDAV en la práctica

Desde el punto de vista del usuario, WebDAV sirve para manejar archivos en un servidor remoto como si fueran locales. En sistemas como Windows, macOS o Linux, un recurso WebDAV puede montarse como una unidad de red o un punto de montaje, de forma que cualquier programa puede abrir y guardar documentos en él sin saber que está trabajando contra Internet.

Entre las operaciones típicas que habilita WebDAV están:

• Copiar y mover archivos dentro del servidor sin necesidad de descargarlos primero al equipo del usuario.
• Crear, renombrar y eliminar directorios (colecciones) directamente en el servidor remoto.
• Modificar propiedades de archivos y otros recursos, como metadatos adicionales que el servidor o la aplicación utilice.
• Establecer bloqueos para que muchos usuarios puedan leer un fichero muy concurrido, pero solo uno lo edite en un momento dado.
• Buscar contenidos en estructuras grandes de directorios, apoyándose en las capacidades de PROPFIND y extensiones de búsqueda.

Para el administrador, habilitar un directorio WebDAV convierte un servidor web en un entorno de publicación colaborativo. Basta con definir las carpetas que se van a exponer, asignar permisos a usuarios o grupos (solo lectura, lectura/escritura, etc.) y, si se quiere, añadir capas extra de seguridad como autenticación básica, autenticación digest o acceso anónimo controlado.

Una característica interesante es que WebDAV puede trabajar cifrado usando HTTPS. Si se configura un certificado SSL/TLS en el servidor, toda la comunicación (incluidas credenciales y datos) viaja protegida, normalmente con cifrados robustos como AES de 256 bits, dependiendo de la configuración del servidor.

Ventajas y desventajas de WebDAV

Al estar basado en HTTP, WebDAV utiliza puertos estándar muy conocidos (80 para HTTP y 443 para HTTPS). Esto facilita muchísimo su uso a través de redes con políticas de seguridad estrictas, porque raramente se bloquean esos puertos sin una razón muy concreta.

Otra ventaja potente es la compatibilidad amplia con servidores web y sistemas operativos. Servidores como Apache, Nginx, lighttpd, Microsoft IIS, SabreDAV (en PHP), o soluciones en la nube como ownCloud y Nextcloud ofrecen soporte WebDAV nativo o mediante módulos y complementos.

A nivel de administración, WebDAV simplifica bastante la configuración de accesos remotos. A diferencia de otros protocolos de compartición (FTP, algunos modos de SMB, etc.), no suele requerir abrir puertos raros ni configurar rangos de puertos pasivos complejos, lo que reduce el riesgo de errores y huecos en el firewall.

Sin embargo, no todo es perfecto. Uno de los puntos débiles de WebDAV es que solo muestra la versión actual del documento. El control de versiones avanzado (históricos, comentarios de revisión, etc.) no forma parte del protocolo base, por lo que hay que apoyarse en aplicaciones externas o soluciones de colaboración que lo implementen por su cuenta.

También hay algunas desventajas prácticas:

• Complejidad de instalación y ajuste fino: para un usuario sin nociones mínimas de servidores web, la configuración correcta de WebDAV puede ser algo enrevesada.
• Riesgos de seguridad si se configura mal: exponer un WebDAV a Internet sin HTTPS ni controles de acceso adecuados puede abrir la puerta a robo de datos, subida de ficheros maliciosos o incluso ejecución de código.
• Rendimiento limitado en escenarios de muchos archivos o enlaces lentos: con grandes volúmenes de datos o redes con latencia alta, otros protocolos pueden ir más finos.
• Ciertos problemas de compatibilidad con aplicaciones concretas: aunque el sistema operativo soporte WebDAV, no todos los programas se llevan igual de bien con unidades montadas mediante este protocolo.

Rendimiento y factores que influyen en WebDAV

El rendimiento de WebDAV depende mucho de la calidad de la conexión y de cómo esté implementado en el servidor y en el cliente. Al usar HTTP, se ve muy afectado por la latencia de red: cuanto más tarde en responder el servidor, peor sensación de fluidez al abrir y guardar ficheros.

Como referencia aproximada, para editar documentos cómodamente suele bastar con 1-5 Mbps de ancho de banda, mientras que para manejar multimedia o grandes transferencias conviene moverse en el rango de 10-25 Mbps o más. Una latencia por debajo de 50 ms suele dar una experiencia razonablemente fluida.

El propio diseño del protocolo introduce cierto overhead, sobre todo con archivos pequeños, porque cada operación implica cabeceras HTTP y estructuras XML adicionales. En cambio, enviar un archivo grande de una sola vez suele ser más eficiente que manejar miles de ficheros minúsculos.

La implementación concreta del servidor WebDAV y del cliente también marca diferencias. No todos los módulos de Apache, Nginx, IIS o las diferentes bibliotecas cliente están igual de optimizados, y eso se nota en la velocidad de listado, copia o sincronización.

Si se utiliza HTTPS, el cifrado SSL/TLS añade trabajo extra a nivel de CPU. En hardware actual, este coste suele ser mínimo, pero en dispositivos con pocos recursos (NAS antiguos, routers con funciones de almacenamiento, etc.) puede tener impacto visible.

Robustez y tolerancia a fallos

Aunque WebDAV no es por sí mismo un sistema de alta disponibilidad, muchos despliegues se integran en infraestructuras con redundancia, replicación y copias de seguridad, lo que se traslada al acceso vía WebDAV.

En entornos bien montados, los datos pueden almacenarse en varios servidores o ubicaciones, de manera que si uno falla, las aplicaciones siguen viendo los recursos WebDAV disponibles mediante mecanismos de balanceo o failover que funcionan por debajo.

El uso de códigos de estado HTTP detallados ayuda a detectar problemas y manejarlos mejor. Cuando una operación falla (por permisos, espacio en disco, bloqueo activo, etc.), el servidor responde con un código claro que el cliente puede interpretar para informar al usuario.

En muchas implementaciones se añaden funciones de control de versiones y recuperación, de modo que si se produce un error o se sobrescribe un documento por accidente, sea posible volver a una versión estable anterior, aunque esto ya depende de la aplicación concreta que use WebDAV como transporte.

Compatibilidad de WebDAV con sistemas operativos

Una de las grandes bazas de WebDAV es que está soportado de forma nativa por los tres grandes sistemas de escritorio: Windows (desde XP), macOS y la mayoría de distribuciones Linux. Eso significa que en muchos casos no necesitas instalar nada extra para empezar a usarlo.

En Windows, el cliente WebDAV está integrado en el Explorador de archivos a través del servicio WebClient. Puedes “agregar una ubicación de red” o “conectar unidad” apuntando a una URL WebDAV, y verás el recurso remoto como si fuera otro disco más del sistema.

En macOS, el Finder permite conectarse a servidores WebDAV desde el menú “Ir > Conectar al servidor…”, introduciendo la dirección correspondiente. Una vez autenticado, el volumen se monta y aparece tanto en el escritorio como en la sección de recursos compartidos.

En entornos Linux de escritorio, gestores de archivos como Nautilus (Files), Nemo, Dolphin, Thunar o PCManFM soportan WebDAV. Normalmente basta con usar URLs del tipo davs://servidor o webdav://servidor/ruta para que se monten como sistemas de archivos remotos.

Para usos más avanzados en Linux, se puede recurrir al sistema de archivos davfs2, que permite montar un recurso WebDAV vía fstab como si fuera cualquier otro sistema remoto, de forma que se integre en el arranque y quede disponible en un directorio concreto del usuario.

Ejemplos de servidores y servicios que usan WebDAV

Muchos servidores web populares incorporan módulos WebDAV o pueden añadirlos:

• Microsoft IIS: incluye un módulo WebDAV propio, muy usado en entornos Windows corporativos.
• Apache HTTP Server: dispone de varios módulos (como mod_dav, mod_dav_fs) y herramientas vinculadas como davfs2 o Subversion, que aprovechan WebDAV para ciertas operaciones.
• Nginx: puede integrarse con soluciones en PHP o terceros como SabreDAV para ofrecer capacidades WebDAV.
• SabreDAV: marco en PHP que añade soporte WebDAV a servidores Apache o Nginx.
• Nextcloud y ownCloud: plataformas de nube privada que exponen sus datos vía WebDAV, permitiendo montarlas como unidades remotas.

En el mundo de los NAS (almacenamiento en red), fabricantes como QNAP o Synology también ofrecen soporte WebDAV de serie mediante aplicaciones o módulos específicos, que permiten exponer carpetas compartidas a Internet o a la red local sin recurrir a SMB o FTP.

Incluso algunos servicios comerciales de almacenamiento en la nube, como pCloud, ofrecen acceso vía WebDAV. En el caso de pCloud, por ejemplo, se usa una URL específica (como https://ewebdav.pcloud.com para el centro de datos europeo), junto con el correo y la contraseña de la cuenta, para montar el almacenamiento como si fuera una carpeta compartida más, incluso desde un NAS.

Configuración de WebDAV en NAS como QNAP y Synology

En un NAS QNAP, habilitar WebDAV suele reducirse a unos pocos pasos en el panel de control. Normalmente se accede a la sección de servidores de aplicaciones y, dentro del servidor web, se activa el servicio WebDAV, que viene desactivado por defecto.

Una vez encendido el servicio, se eligen los puertos HTTP y HTTPS a usar (se pueden dejar los predeterminados o asignar otros específicos para WebDAV) y se decide si se heredan los permisos de las carpetas compartidas o se definen permisos propios para el acceso vía WebDAV.

Si optas por permisos específicos, hay que ir al apartado de carpetas compartidas del NAS, editar cada una y seleccionar el tipo de permiso “Acceso WebDAV”, asignando derechos de lectura/escritura a los usuarios o grupos que interese. A partir de ahí, esos recursos estarán listos para ser montados desde clientes compatibles.

En Synology, el proceso pasa por instalar el paquete “WebDAV Server” desde el Centro de paquetes. Una vez abierto, se marcan las casillas para habilitar HTTP y HTTPS (este último es el recomendable) y se configuran los puertos. En las opciones avanzadas se puede activar acceso anónimo bajo ciertas condiciones, gestionar la profundidad de acceso (DavDepthInfinity) y habilitar el registro detallado de eventos WebDAV.

En ambos casos (QNAP y Synology), lo habitual es combinar WebDAV sobre HTTPS con buenas políticas de permisos y, si se expone a Internet, apoyarse en VPN o en un reverse proxy con autenticación adicional para reducir la superficie de ataque.

Conexión a WebDAV desde Windows, macOS y Linux

En Windows 10 y 11, el cliente WebDAV se basa en el servicio WebClient. Antes de nada, conviene revisar ciertos parámetros en el registro, como BasicAuthLevel, que controla cuándo se permite autenticación básica (solo sobre SSL, sobre SSL y no SSL, o desactivada).

Para agregar una ubicación de red WebDAV en Windows se suele hacer desde “Este equipo”: clic derecho en un área vacía, “Agregar una ubicación de red”, elegir una ubicación personalizada y especificar la URL del servidor (con HTTP o HTTPS, siendo este último lo recomendable siempre que el servidor tenga un certificado válido).

Durante el asistente se introducen las credenciales de usuario y se asigna un nombre a la conexión. A partir de ahí, la ubicación de red aparecerá en el Explorador y podrás arrastrar, abrir y guardar archivos como si se tratara de una carpeta compartida normal.

En macOS, el procedimiento es aún más directo: se abre el Finder, se va al menú “Ir > Conectar al servidor…”, se introduce la URL WebDAV y, tras introducir usuario y contraseña, la unidad aparece montada en el escritorio y en la barra lateral como recurso compartido.

En Ubuntu y otras distros con GNOME, se puede usar la opción “Conectar al servidor…” del menú de lugares, seleccionando tipo de servicio WebDAV (HTTP o HTTPS), indicando la URL, el usuario (a menudo con formato de correo electrónico) y la contraseña. El gestor de archivos montará entonces la carpeta WebDAV y permitirá gestionar los archivos cómodamente.

Para entornos de consola, herramientas como Cadaver funcionan como un “cliente WebDAV por terminal”. Se conecta a una URL remota, pide usuario y contraseña y ofrece comandos tipo shell (ls, get, put, mv, etc.) para manejar los recursos, de forma similar a cómo smbclient hace con comparticiones SMB.

Uso de WebDAV con herramientas especializadas (rclone, davfs2, etc.)

Además de los clientes integrados en el sistema, existen herramientas específicas que sacan muchísimo partido a WebDAV. Una de las más conocidas es rclone, que actúa como “navaja suiza” para sincronizar y servir sistemas de archivos remotos.

Con rclone se puede exponer un backend de almacenamiento como servidor WebDAV mediante comandos del estilo rclone serve webdav remote:path, ajustando parámetros como puerto, certificados TLS, autenticación con fichero htpasswd (normalmente con contraseñas cifradas con BCrypt), tamaño y política de caché, etc.

En Linux, davfs2 permite montar recursos WebDAV como sistemas de archivos normales a través de /etc/fstab o comandos mount/umount, guardando credenciales en ficheros de configuración seguros (~/.davfs2/secrets) y permitiendo que las unidades se monten automáticamente al iniciar sesión.

Estas herramientas son especialmente útiles para integrar servicios como Nextcloud, ownCloud, pCloud o incluso backends de rclone en scripts de copias de seguridad, sincronizaciones programadas o montajes permanentes que se comporten como discos locales aunque en realidad estén tirando de WebDAV.

Riesgos de seguridad y ataques sobre WebDAV

Precisamente porque es tan cómodo y atraviesa firewalls con facilidad, WebDAV es un objetivo interesante para atacantes cuando está expuesto a Internet sin protección adecuada. Extender HTTP para permitir subida y edición de archivos implica que, si se configura mal, se puede terminar ofreciendo a cualquiera la posibilidad de depositar ficheros peligrosos en el servidor.

Una fase típica de ataque contra un servidor WebDAV es la enumeración, es decir, averiguar qué recursos expone, qué extensiones de archivo están permitidas, qué métodos están habilitados y qué configuraciones de seguridad se han aplicado (o no).

Herramientas como Davtest son muy usadas en auditorías y pruebas de penetración. En esencia, Davtest sube gran cantidad de archivos con distintas extensiones para ver cuáles son aceptadas y, eventualmente, ejecutadas por el servidor, lo que ayuda a detectar vectores para ejecución remota de código.

Cadaver, además de servir como cliente legítimo, también se utiliza en pruebas ofensivas para navegar por el árbol de recursos, subir “webshells” o ficheros maliciosos allí donde la configuración lo permita, y comprobar la robustez de la autorización y autenticación.

Para minimizar estos riesgos, es fundamental aplicar buenas prácticas: limitar qué rutas se exponen vía WebDAV, deshabilitar métodos innecesarios, filtrar extensiones peligrosas, usar HTTPS con certificados actuales, forzar contraseñas robustas y renovar con frecuencia, restringir el acceso a redes confiables o a través de VPN, y monitorizar logs en busca de comportamientos anómalos.

Relación de WebDAV con el almacenamiento en la nube

WebDAV no es “otra Dropbox”, sino un protocolo que muchos servicios de almacenamiento usan por debajo para darte acceso remoto a tus ficheros desde distintos dispositivos. La diferencia es que, en vez de depender siempre del cliente oficial de cada marca, puedes tirar de WebDAV para integrar esos datos con tu sistema operativo de forma estándar.

Si lo que buscas es acceder a tus documentos desde casa y desde el trabajo, WebDAV puede ser una pieza clave: puedes montar tu servidor (o el de tu empresa, o un NAS, o un servicio en la nube compatible) como una unidad en ambos ordenadores y trabajar con los mismos archivos sin andar copiando cosas en USB o enviándolas por correo.

En nubes privadas tipo Nextcloud u ownCloud, WebDAV es el mecanismo principal para exponer archivos a clientes externos. Los clientes de escritorio suelen usarlo internamente, pero tú también puedes montarlo directamente en el sistema operativo o en un NAS para, por ejemplo, hacer copias de seguridad automáticas desde tus carpetas locales a la nube.

Servicios como pCloud, integrados vía WebDAV en un NAS QNAP, Synology o similar, permiten tratar la nube como una carpeta compartida más. Desde ahí se pueden lanzar backups de grandes volúmenes de datos, scripts programados o simplemente utilizarlo como “disco duro externo” accesible desde cualquier lugar.

En ese sentido, WebDAV es más bien una alternativa o complemento técnico a protocolos como SMB, FTP o SFTP, más que un competidor directo de una marca concreta de “nube”. Te da el mecanismo estándar; el “servicio de almacenamiento” puede estar en tu casa, en tu empresa o en un proveedor remoto.

Alternativas a WebDAV para compartir archivos

Dependiendo del escenario, puede interesarte usar otros protocolos en lugar de WebDAV. Cada uno tiene sus pros y contras, así que conviene tenerlos en el radar.

SMB/CIFS (las “Redes de Microsoft” clásicas) es el rey de las redes locales en entornos Windows. En sus versiones modernas (como SMB 3.0) ofrece autenticación sólida y cifrado de datos con AES, lo que lo convierte en una opción muy segura dentro de una LAN.

Eso sí, SMB no está pensado para exponerse directamente a Internet. Abrir sus puertos hacia fuera supone un riesgo muy serio para la privacidad y la seguridad, por lo que si se necesita acceso remoto, se suele encapsular dentro de una VPN en lugar de abrirlo tal cual.

FTP es otro clásico para transferir archivos tanto en redes locales como a través de Internet. Permite subir y bajar ficheros de forma sencilla, pero el FTP tradicional no cifra ni la autenticación ni los datos, lo que lo hace muy inseguro en redes no confiables.

Para añadir seguridad a FTP hay variantes como FTPS o FTPES, que encapsulan las conexiones en SSL/TLS y permiten usar cifrados fuertes como AES-128-GCM, mitigando los problemas del FTP plano.

SFTP, por su parte, se basa en el protocolo SSH y sí cifra tanto credenciales como datos de principio a fin. Es una de las opciones más recomendables cuando la prioridad absoluta es la seguridad en entornos remotos, aunque su semántica y uso se parecen más a SSH que a HTTP.

También existen soluciones y protocolos orientados a sincronización y gestión de contenidos, como:

• rsync: herramienta centrada en sincronizar directorios, muy eficiente para copias de seguridad incrementales.
• AtomPub: protocolo HTTP para creación y actualización de recursos web, usado en algunos CMS.
• CMIS (Content Management Interoperability Services): estándar abierto para que distintos sistemas de gestión documental puedan intercambiar información.
• Syncthing: sincronización peer-to-peer, descentralizada y segura entre dispositivos, muy orientada a trabajo en tiempo real sin pasar por un servidor central clásico.

La elección entre WebDAV y estas alternativas depende del caso concreto: tipo de red (local o Internet), necesidades de seguridad, facilidad de configuración, requisitos de colaboración, tamaño de los ficheros y herramientas disponibles en tu entorno.

Al final, WebDAV se ha quedado como una pieza muy versátil para acceder a archivos remotos usando HTTP/HTTPS, especialmente útil cuando quieres tratar un servidor, un NAS o una nube privada como si fuera una carpeta local accesible desde cualquier sistema operativo moderno, combinando bastante comodidad con opciones razonables de seguridad si se configura bien.