El ransomware de hace unos años era torpe: cifraba lo que encontraba y pedía rescate. El de hoy es metódico. Antes de cifrar nada, se mueve por la red buscando una cosa en particular: tus respaldos. Porque quien programa esos ataques entiende algo que muchas empresas aprenden tarde —si puedes restaurar, no pagas. Destruir el backup es, para el atacante, el paso más importante.
Por qué el backup normal ya no basta
Un respaldo tradicional vive en un servidor accesible desde la red, gestionado con credenciales de administrador. Eso es exactamente lo que un atacante busca comprometer. Si logra privilegios suficientes —y con frecuencia los consigue—, borra o cifra las copias con la misma facilidad con que tú las restaurarías. En ese escenario, tener backup no te salva: solo cambia el orden en que caen las cosas.
De ahí surge la inmutabilidad: hacer que las copias, una vez escritas, no se puedan modificar ni borrar durante un periodo definido. Por nadie. Ni por un administrador con todas las llaves. Ni por el atacante que robó esas llaves.
Cómo funciona un Hardened Repository
El Veeam Hardened Repository es un ejemplo concreto y bien documentado del concepto. En esencia es un servidor Linux endurecido donde los archivos de respaldo reciben, a nivel del sistema de archivos, una marca de inmutabilidad que los vuelve de solo lectura hasta que expira su retención. Sobre eso se añaden varias decisiones de diseño que cierran las puertas habituales:
- Sin acceso root remoto: no hay una sesión privilegiada que secuestrar.
- Credenciales de un solo uso durante la configuración, que después dejan de ser válidas.
- El flag de inmutabilidad lo impone el sistema operativo, no la aplicación de backup, así que comprometer el software de respaldo no alcanza para borrar los datos.
El resultado: aunque un atacante penetre la red y tome control del entorno de respaldo, se topa con copias que el propio sistema se niega a borrar hasta que pase el tiempo de retención. El vector "destruir los backups" simplemente deja de funcionar.
Los trade-offs, dichos de frente
La inmutabilidad es potente, pero no es gratis y no es mágica:
- No puedes borrar aunque quieras. Durante la retención, esos datos ocupan espacio sí o sí. Hay que dimensionar la capacidad contando con ello —para eso ayuda una calculadora de repositorios de backup.
- No es un air-gap total. Protege contra borrado y cifrado, pero un repositorio inmutable sigue estando en línea. Es una capa, no la única.
- No reemplaza tener copias en más de un lugar ni la disciplina de probar restauraciones. Un backup inmutable que nunca verificaste sigue siendo una suposición.
Dónde encaja
La inmutabilidad se ha vuelto, con razón, una pieza casi obligada de cualquier estrategia seria contra ransomware: es lo que convierte "tenemos backup" en "tenemos backup que el atacante no puede tocar". Combinada con copias externas, cifrado y pruebas de recuperación, es el núcleo de una protección de datos pensada para el escenario que hoy es el más probable, no el más improbable.