IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Cloud Operations

Inmutabilidad de respaldos: cómo funciona un repositorio que el ransomware no puede borrar

08/07/2026 3 min de lectura Rubén Espinoza

El ransomware de hace unos años era torpe: cifraba lo que encontraba y pedía rescate. El de hoy es metódico. Antes de cifrar nada, se mueve por la red buscando una cosa en particular: tus respaldos. Porque quien programa esos ataques entiende algo que muchas empresas aprenden tarde —si puedes restaurar, no pagas. Destruir el backup es, para el atacante, el paso más importante.

Por qué el backup normal ya no basta

Un respaldo tradicional vive en un servidor accesible desde la red, gestionado con credenciales de administrador. Eso es exactamente lo que un atacante busca comprometer. Si logra privilegios suficientes —y con frecuencia los consigue—, borra o cifra las copias con la misma facilidad con que tú las restaurarías. En ese escenario, tener backup no te salva: solo cambia el orden en que caen las cosas.

De ahí surge la inmutabilidad: hacer que las copias, una vez escritas, no se puedan modificar ni borrar durante un periodo definido. Por nadie. Ni por un administrador con todas las llaves. Ni por el atacante que robó esas llaves.

Cómo funciona un Hardened Repository

El Veeam Hardened Repository es un ejemplo concreto y bien documentado del concepto. En esencia es un servidor Linux endurecido donde los archivos de respaldo reciben, a nivel del sistema de archivos, una marca de inmutabilidad que los vuelve de solo lectura hasta que expira su retención. Sobre eso se añaden varias decisiones de diseño que cierran las puertas habituales:

  1. Sin acceso root remoto: no hay una sesión privilegiada que secuestrar.
  2. Credenciales de un solo uso durante la configuración, que después dejan de ser válidas.
  3. El flag de inmutabilidad lo impone el sistema operativo, no la aplicación de backup, así que comprometer el software de respaldo no alcanza para borrar los datos.

El resultado: aunque un atacante penetre la red y tome control del entorno de respaldo, se topa con copias que el propio sistema se niega a borrar hasta que pase el tiempo de retención. El vector "destruir los backups" simplemente deja de funcionar.

Los trade-offs, dichos de frente

La inmutabilidad es potente, pero no es gratis y no es mágica:

  1. No puedes borrar aunque quieras. Durante la retención, esos datos ocupan espacio sí o sí. Hay que dimensionar la capacidad contando con ello —para eso ayuda una calculadora de repositorios de backup.
  2. No es un air-gap total. Protege contra borrado y cifrado, pero un repositorio inmutable sigue estando en línea. Es una capa, no la única.
  3. No reemplaza tener copias en más de un lugar ni la disciplina de probar restauraciones. Un backup inmutable que nunca verificaste sigue siendo una suposición.

Dónde encaja

La inmutabilidad se ha vuelto, con razón, una pieza casi obligada de cualquier estrategia seria contra ransomware: es lo que convierte "tenemos backup" en "tenemos backup que el atacante no puede tocar". Combinada con copias externas, cifrado y pruebas de recuperación, es el núcleo de una protección de datos pensada para el escenario que hoy es el más probable, no el más improbable.

#inmutabilidad #ransomware #veeam #hardened repository #backup #proteccion de datos

Preguntas frecuentes

¿Qué es un respaldo inmutable?

Es una copia que no se puede modificar, cifrar ni borrar durante un periodo definido, ni siquiera por un administrador con todas las credenciales. Se apoya en mecanismos del sistema de archivos o del almacenamiento que hacen los datos de solo lectura hasta que expira la retención, de modo que un atacante que compromete la red igual no puede destruir esas copias.

¿Cómo funciona el Hardened Repository de Veeam?

Es un servidor Linux endurecido donde los archivos de respaldo reciben una marca de inmutabilidad a nivel del sistema de archivos durante el periodo de retención. Se configura sin acceso root remoto, con credenciales de un solo uso y sin las vías habituales que un atacante usaría para borrar datos. Aunque comprometa el entorno Veeam, no puede eliminar las copias inmutables antes de que expiren.

¿La inmutabilidad reemplaza tener una copia fuera de sitio?

No. La inmutabilidad protege contra el borrado y el cifrado malicioso, pero no es lo mismo que un air-gap total ni sustituye la regla de tener copias en más de un lugar. Es una capa muy potente contra ransomware que se combina con copias externas o en la nube y con pruebas de restauración; no las reemplaza.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Cloud Operations

RPO y RTO en cristiano: cuánto puedes perder y cuánto puedes esperar
El backup que nunca se probó no es un backup: cómo verificar una restauración
DRaaS vs backup: la diferencia que se descubre el peor día