Una pregunta que deberían hacerse todas las organizaciones que "ya tienen backup": si un atacante obtiene acceso de administrador a su red hoy, ¿podría también eliminar o cifrar sus copias de respaldo? Para la mayoría de los entornos que hemos evaluado, la respuesta honesta es sí — y ese es exactamente el punto donde el ransomware moderno concentra su ataque.
El ransomware ya no solo cifra: primero busca destruir el backup
Los grupos de ransomware actuales incluyen, como parte estándar de su ataque, un paso dedicado a localizar y eliminar copias de seguridad accesibles desde la red comprometida — snapshots de máquinas virtuales, repositorios de backup en red, e incluso integraciones con proveedores cloud si las credenciales lo permiten. Si lo logran, la organización se queda sin opción de restaurar y la presión para pagar el rescate se vuelve total.
Qué significa cada número en 3-2-1-1-0
- 3 copias de los datos en total (la producción cuenta como una copia).
- 2 medios de almacenamiento distintos — por ejemplo, disco en un servidor y un repositorio separado.
- 1 copia offsite, fuera del sitio físico principal.
- 1 copia offline o inmutable, sin conexión de red activa que un atacante pueda alcanzar.
- 0 errores — validados mediante pruebas reales de restauración, no asumidos.
El quinto elemento (el "0") es el que más organizaciones omiten: tener una copia no sirve de nada si nunca se probó que efectivamente puede restaurarse.
La pieza que rompe la cadena de ataque: inmutabilidad
Un repositorio inmutable —por ejemplo, un Linux Hardened Repository con object lock— hace que los datos escritos no puedan modificarse ni eliminarse durante el período de retención, incluso si el atacante obtiene credenciales de administrador. Es la diferencia entre "tenemos backup" y "tenemos backup que sobrevive a un atacante con acceso total a la red".
La copia offline: la última línea de defensa
En entornos de alto riesgo —particularmente industriales, donde un incidente en la red corporativa puede propagarse hacia sistemas de control—, incluso un repositorio inmutable en red puede no ser suficiente. Una copia genuinamente desconectada, como una librería LTO, es el único control que ningún ataque basado en red puede alcanzar por definición.
Cómo saber si su estrategia actual cumple 3-2-1-1-0
La forma más directa de saberlo es hacerse tres preguntas: ¿tiene una copia que un administrador de red comprometido no podría eliminar? ¿Se ha probado una restauración real en los últimos meses, con resultado documentado? ¿Sabe con certeza cuántas horas de datos perdería (RPO) y cuánto tiempo tardaría en recuperar operación (RTO) si ocurriera un incidente hoy?
Si alguna de esas respuestas es "no estoy seguro", esa incertidumbre es, en sí misma, el hallazgo más importante de una evaluación de resiliencia.