IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Rollback tras un ataque: qué puede y qué no puede revertir un EDR

13/07/2026 4 min de lectura Rubén Espinoza

Entre las funciones que más se lucen en una demo de EDR está el rollback: el equipo se infecta con ransomware, alguien hace clic, y en segundos los archivos vuelven a estar como antes. Parece un botón de "deshacer" para ataques, y la reacción natural es pensar "entonces ya no necesito respaldos". Ahí es donde conviene entender qué hace realmente esa función —y, sobre todo, qué no hace—.

Qué es y cómo funciona el rollback

El rollback de un EDR revierte los cambios que un proceso malicioso hizo en un endpoint. Para lograrlo, la herramienta va registrando las modificaciones del sistema (y se apoya en mecanismos como las copias de sombra del sistema operativo). Cuando detecta que un proceso fue dañino, puede deshacer lo que tocó: restaurar archivos que cifró, revertir cambios de configuración, eliminar lo que dejó. En un ataque de ransomware detectado a tiempo en una estación, es genuinamente valioso: convierte horas de reinstalación en un clic.

Lo que NO puede revertir (y aquí importa la honestidad)

  • No des-roba lo que se exfiltró. Si el ataque incluyó doble extorsión, el rollback restaura tus archivos pero el atacante ya tiene su copia. Deshacer el cifrado no deshace el robo.
  • Solo revierte lo que registró. El rollback depende de lo que la herramienta alcanzó a rastrear y del espacio/retención disponible. Cambios fuera de su alcance, o un equipo donde el agente no estaba bien puesto, quedan fuera.
  • Es local al endpoint. No es un mecanismo pensado para reconstruir un servidor de base de datos corrupto ni un sistema entero; opera sobre la máquina protegida, no sobre toda tu infraestructura.
  • No sustituye la recuperación ante desastres. Si el ataque tumba varios servidores a la vez, cifra los respaldos en línea o el daño va más allá de lo que un agente puede deshacer, lo que te salva es un respaldo inmutable y un plan de recuperación —no el botón de rollback—.

Un ejemplo aclara el límite: si el ransomware se detecta en la estación de un usuario apenas empieza a cifrar, el rollback la deja como nueva en minutos —brillante—. Pero si el mismo ataque alcanzó primero un servidor de archivos compartido y cifró documentos que decenas de personas usaban, más los respaldos que estaban montados en línea, el rollback del endpoint no reconstruye ese servidor: ahí lo que te salva es la copia inmutable y el plan de recuperación. Misma herramienta, dos desenlaces según dónde y cuándo pegó el ataque.

Rollback y backup no compiten: se cubren distinto

La forma sana de verlo: el rollback es recuperación rápida y quirúrgica de un endpoint tras un ataque detectado; el backup es tu red de seguridad cuando lo demás falla. Uno resuelve el incidente acotado en minutos; el otro resuelve el desastre amplio. Confiar solo en el rollback es asumir que siempre detectarás a tiempo, que el daño siempre estará dentro de su alcance y que nunca perderás el equipo entero —tres apuestas que el peor día no vas a querer haber hecho—.

La pregunta que conviene hacerse

La pregunta no es "¿mi EDR tiene rollback?", sino ¿qué escenarios cubre ese rollback, y qué me queda para todo lo que no cubre —el dato robado, el servidor caído, el respaldo que necesito igual—? Diseñar las dos capas juntas, detección con rollback en el endpoint y recuperación de verdad detrás, es parte de cómo combinamos SentinelOne con un plan de recuperación ante desastres.

#edr #rollback #ransomware #backup #sentinelone #ciberseguridad

Preguntas frecuentes

¿Qué es la función de rollback de un EDR?

Es la capacidad de revertir en un endpoint los cambios que hizo un proceso malicioso: restaurar archivos que cifró un ransomware, deshacer cambios de configuración y eliminar lo que dejó. Se apoya en el registro de cambios que hace la herramienta y en mecanismos del sistema como las copias de sombra. Detectado a tiempo, convierte horas de reinstalación en un clic.

¿El rollback de un EDR reemplaza a los backups?

No. El rollback es recuperación rápida y local de un endpoint tras un ataque detectado; el backup es la red de seguridad para cuando el daño es amplio: varios servidores caídos, respaldos en línea cifrados, o daño fuera del alcance del agente. Uno resuelve el incidente acotado; el otro, el desastre. Se complementan, no se sustituyen.

¿El rollback deshace el robo de datos en un ataque de doble extorsión?

No. El rollback puede restaurar los archivos cifrados en el equipo, pero si el atacante exfiltró una copia antes de cifrar, esa copia sigue en su poder. Deshacer el cifrado no deshace el robo, y por eso la defensa contra el ransomware moderno no puede depender solo de poder restaurar.

¿Qué limita lo que un rollback puede recuperar?

Solo revierte lo que la herramienta alcanzó a registrar, y está acotado por el espacio y la retención disponibles. Es local al endpoint, así que no está pensado para reconstruir un servidor de base de datos corrupto ni una infraestructura entera. Si el agente no estaba bien desplegado o el cambio quedó fuera de su alcance, el rollback no lo cubre.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

El parche que rompió todo: parchar rápido no es parchar a ciegas (sandbox, anillos y madurez)
Cómo evaluar una solución de endpoint sin caer en el "cuadrante mágico"
EDR en servidores críticos: cuando el falso positivo es peor que el malware