Con dos tercios de las organizaciones que han sufrido un ataque de ransomware en los últimos dos años, los backups se han convertido en el objetivo principal de los atacantes de ransomware. Las consecuencias para las empresas son significativas: el 45% de las organizaciones afectadas sufrió múltiples ataques, y el 49% tardó hasta cinco días laborables en recuperarse.
¿Por qué van los atacantes a por los backups? ¿Qué los convierte en un objetivo tan apetecible? ¿Y cómo pueden las estrategias de almacenamiento de backup más resilientes dar respuesta a esto?
¿Por qué los atacantes van a por los backups?
Los atacantes ya no cifran los sistemas de producción de inmediato al obtener acceso: primero van a por los repositorios de backup, eliminando la vía de recuperación antes de que se active la carga maliciosa principal. La razón es sencilla: una organización sin backups utilizables no tiene más alternativa que pagar el rescate, que es exactamente lo que buscan los atacantes. No se trata de una acción oportunista, sino de una estrategia deliberada y metódica. Antes de activar su carga maliciosa, los atacantes pasan tiempo dentro de la red comprometida cartografiando el entorno, localizando la infraestructura de backup y verificando si los datos de backup pueden modificarse o eliminarse. Si pueden, los neutralizan primero. Para cuando el ataque se hace visible, la vía de recuperación ya ha desaparecido.
Por qué las estrategias de almacenamiento no suelen ser resilientes
Existen tres problemas diferenciados que hacen vulnerables a la mayoría de las soluciones de backup.
En primer lugar, el alcance de la protección es demasiado limitado. Muchos proveedores afirman ofrecer almacenamiento de backup inmutable, pero lo que realmente proporcionan es una configuración basada en políticas que aún puede ser modificada, eludida o deshabilitada por administradores o atacantes con privilegios elevados. La inmutabilidad estándar suele limitarse a la configuración de S3 Object Lock o a la configuración del software de backup. No se extiende al sistema operativo, al hardware, al BIOS ni a la capa de la aplicación de almacenamiento. Un atacante o un usuario interno que opere en cualquiera de esas capas elude la inmutabilidad por completo: la capa de datos está bloqueada, pero las capas superior e inferior no lo están.
En segundo lugar, se asume la confianza en el administrador. Los controles basados en políticas dependen de cuentas con privilegios para su cumplimiento. Si un administrador conserva el acceso root o la capacidad de modificar la configuración de retención, una cuenta de administrador comprometida ostenta el mismo poder. El sistema de almacenamiento no puede distinguir una acción administrativa legítima de un atacante que utiliza credenciales robadas: ejecuta ambas. Una inmutabilidad que depende de la confianza en el administrador es tan sólida como la cuenta con acceso más débil.
En tercer lugar, rara vez se verifica de forma independiente. La inmutabilidad estándar se afirma mediante configuración, no se demuestra en condiciones adversariales. Sin pruebas de penetración de terceros, no hay forma de confirmar que las protecciones se mantienen cuando se someten a prueba activamente. Una afirmación de inmutabilidad y una garantía verificada de inmutabilidad no son lo mismo.
Los controles a nivel de arquitectura abordan los tres problemas. Cuando la inmutabilidad se aplica en todas las capas —buckets de S3, aplicación de almacenamiento, sistema operativo y hardware— y se verifica mediante pruebas de seguridad independientes, ninguna credencial, ninguna acción administrativa y ningún comando externo puede alterar o eliminar los datos protegidos.

La clave del almacenamiento resiliente: la Inmutabilidad Absoluta
El objetivo del almacenamiento de backup resiliente es la Inmutabilidad Absoluta, que implica acceso cero a acciones destructivas. Nadie —ni siquiera el administrador con más privilegios ni un atacante con acceso total al sistema— puede modificar ni eliminar los datos de backup. En su base, la Inmutabilidad Absoluta se construye sobre una mentalidad de «asumir la brecha». Aunque te roben las credenciales, se comprometa tu infraestructura o un usuario interno actúe de forma maliciosa, tus datos de backup absolutamente inmutables permanecen intocables.
Alcanzar la Inmutabilidad Absoluta requiere tres elementos:
Almacenamiento de objetos nativo de S3
La inmutabilidad debe integrarse en el propio protocolo de almacenamiento, no añadirse como una política por encima de él. Los sistemas de ficheros creados para uso genérico y posteriormente adaptados para cargas de trabajo de backup admiten la modificación in situ, lo que significa que los datos subyacentes siguen siendo estructuralmente modificables aunque se apliquen políticas de inmutabilidad en una capa superior. El almacenamiento de objetos nativo de S3 elimina este problema: los objetos se escriben una sola vez y reciben una clave única, y cualquier actualización crea una nueva versión en lugar de modificar el original. Solo el almacenamiento de objetos S3 ofrece una inmutabilidad nativa integrada directamente en su protocolo y APIs, garantizando que, una vez escritos, los datos no pueden alterarse ni eliminarse.
Tiempo Cero hasta la Inmutabilidad
Garantizar que los datos de backup son inmutables desde el momento en que se escriben es fundamental. Cualquier intervalo entre la llegada de los datos y la aplicación de la inmutabilidad es una ventana que un atacante puede explotar. El enfoque probado es combinar el versionado de S3 con Object Lock, que aplica la inmutabilidad en el momento en que se crea un objeto: sin zona de aterrizaje, sin demora, sin exposición.
Un dispositivo de destino de uso específico
Solo un dispositivo de destino de uso específico ofrece Zero Trust Data Resilience separando correctamente el software de backup del almacenamiento de backup. Esta separación permite realizar pruebas de seguridad independientes, aplica el acceso de mínimo privilegio y elimina los riesgos que conlleva la infraestructura de uso general. Además, significa que la inmutabilidad se extiende más allá de la capa S3 hasta la aplicación de almacenamiento, el sistema operativo y el hardware, cerrando la brecha de alcance que dejan abiertas las soluciones basadas en políticas.
La importancia de la verificación independiente
Una afirmación de inmutabilidad y una garantía verificada de inmutabilidad absoluta no son lo mismo. Muchos proveedores ofrecen inmutabilidad estándar que rara vez se valida mediante auditorías de seguridad externas, lo que significa que nunca se ha puesto a prueba en condiciones de ataque real.
La Inmutabilidad Absoluta debe verificarse de forma independiente mediante pruebas de penetración de terceros, confirmando que el Acceso Cero se mantiene en condiciones adversariales, no solo durante la operación normal. Los marcos de cumplimiento siguen la misma lógica: NIS2, GDPR, HIPAA y las normativas sectoriales específicas exigen a las organizaciones demostrar la integridad de los datos, no simplemente afirmarla. Si una solución de almacenamiento aplica verdaderamente el Acceso Cero, las pruebas independientes lo confirmarán.
Si una solución no puede verificarse de forma independiente, no es absolutamente inmutable, y tu almacenamiento de backup no es resiliente.
Conclusión
Las empresas modernas necesitan estrategias de almacenamiento más resilientes porque los datos de backup son la última línea de defensa contra el ransomware: un componente crítico de la estrategia de ciberdefensa. Un error en este punto puede significar perder la capacidad de recuperarse por completo de un ciberataque. La inmutabilidad basada en políticas deja tres brechas abiertas: una protección que no alcanza todas las capas del stack, una confianza en el administrador que puede ser explotada mediante credenciales comprometidas, y afirmaciones que nunca se han puesto a prueba en condiciones adversariales. Cerrar las tres requiere almacenamiento de objetos nativo de S3, Tiempo Cero hasta la Inmutabilidad, un dispositivo de destino de uso específico y verificación independiente: juntos, la arquitectura que garantiza la Inmutabilidad Absoluta.
Cuando —no si— el ransomware ataque, tu futuro dependerá de la resiliencia cibernética. Object First es tu defensa definitiva: almacenamiento para Veeam con Inmutabilidad Absoluta, diseñado específicamente para Veeam. Basado en Zero Trust y probado y verificado por terceros, Object First no requiere conocimientos de seguridad y escala con tu negocio. Cuando el almacenamiento de backup es así de seguro, sencillo y potente, tú y tu organización sois Simply Resilient.
