Entre las funciones que más se lucen en una demo de EDR está el rollback: el equipo se infecta con ransomware, alguien hace clic, y en segundos los archivos vuelven a estar como antes. Parece un botón de "deshacer" para ataques, y la reacción natural es pensar "entonces ya no necesito respaldos". Ahí es donde conviene entender qué hace realmente esa función —y, sobre todo, qué no hace—.
Qué es y cómo funciona el rollback
El rollback de un EDR revierte los cambios que un proceso malicioso hizo en un endpoint. Para lograrlo, la herramienta va registrando las modificaciones del sistema (y se apoya en mecanismos como las copias de sombra del sistema operativo). Cuando detecta que un proceso fue dañino, puede deshacer lo que tocó: restaurar archivos que cifró, revertir cambios de configuración, eliminar lo que dejó. En un ataque de ransomware detectado a tiempo en una estación, es genuinamente valioso: convierte horas de reinstalación en un clic.
Lo que NO puede revertir (y aquí importa la honestidad)
- No des-roba lo que se exfiltró. Si el ataque incluyó doble extorsión, el rollback restaura tus archivos pero el atacante ya tiene su copia. Deshacer el cifrado no deshace el robo.
- Solo revierte lo que registró. El rollback depende de lo que la herramienta alcanzó a rastrear y del espacio/retención disponible. Cambios fuera de su alcance, o un equipo donde el agente no estaba bien puesto, quedan fuera.
- Es local al endpoint. No es un mecanismo pensado para reconstruir un servidor de base de datos corrupto ni un sistema entero; opera sobre la máquina protegida, no sobre toda tu infraestructura.
- No sustituye la recuperación ante desastres. Si el ataque tumba varios servidores a la vez, cifra los respaldos en línea o el daño va más allá de lo que un agente puede deshacer, lo que te salva es un respaldo inmutable y un plan de recuperación —no el botón de rollback—.
Un ejemplo aclara el límite: si el ransomware se detecta en la estación de un usuario apenas empieza a cifrar, el rollback la deja como nueva en minutos —brillante—. Pero si el mismo ataque alcanzó primero un servidor de archivos compartido y cifró documentos que decenas de personas usaban, más los respaldos que estaban montados en línea, el rollback del endpoint no reconstruye ese servidor: ahí lo que te salva es la copia inmutable y el plan de recuperación. Misma herramienta, dos desenlaces según dónde y cuándo pegó el ataque.
Rollback y backup no compiten: se cubren distinto
La forma sana de verlo: el rollback es recuperación rápida y quirúrgica de un endpoint tras un ataque detectado; el backup es tu red de seguridad cuando lo demás falla. Uno resuelve el incidente acotado en minutos; el otro resuelve el desastre amplio. Confiar solo en el rollback es asumir que siempre detectarás a tiempo, que el daño siempre estará dentro de su alcance y que nunca perderás el equipo entero —tres apuestas que el peor día no vas a querer haber hecho—.
La pregunta que conviene hacerse
La pregunta no es "¿mi EDR tiene rollback?", sino ¿qué escenarios cubre ese rollback, y qué me queda para todo lo que no cubre —el dato robado, el servidor caído, el respaldo que necesito igual—? Diseñar las dos capas juntas, detección con rollback en el endpoint y recuperación de verdad detrás, es parte de cómo combinamos SentinelOne con un plan de recuperación ante desastres.