Por Qué los Backups Solos No Son Suficientes

El consejo convencional — "mantén buenos backups y te recuperarás del ransomware" — era válido en 2015. En 2025 es peligrosamente incompleto. Los operadores modernos de ransomware se han adaptado: antes de activar el cifrado, pasan semanas dentro de tu red mapeando tus sistemas de backup, identificando y corrompiendo destinos de respaldo, y exfiltrando datos sensibles para aprovechar la doble extorsión.

Cuando comienza el cifrado, tus backups pueden ya estar comprometidos. La recuperación desde backup no aborda la exfiltración de datos. Y en industrias reguladas, la obligación de notificación de brecha persiste independientemente de si pagas el rescate o te recuperas desde backup.

La Cadena de Ataque

  • Acceso inicial: Phishing, RDP expuesto, vulnerabilidad de VPN o credencial comprometida
  • Persistencia: El atacante establece múltiples puntos de apoyo
  • Movimiento lateral: Usando herramientas administrativas legítimas para moverse por la red
  • Exfiltración de datos: Datos sensibles copiados antes de que comience el cifrado
  • Destrucción de backups: Copias de sombra eliminadas, agentes de backup deshabilitados
  • Activación del cifrado: Ransomware desplegado simultáneamente en todos los hosts comprometidos

La Arquitectura de Defensa

Capa 1 — Segmentación de Red

Las redes planas son el mejor aliado del ransomware. La segmentación adecuada usando VLANs, políticas de firewall y micro-segmentación limita el movimiento lateral.

Capa 2 — Gestión de Acceso Privilegiado

Implementar una solución PAM con acceso just-in-time, MFA para todas las acciones administrativas y grabación de sesiones eleva drásticamente el costo del movimiento lateral para los atacantes.

Capa 3 — Detección y Respuesta en Endpoints

El antivirus basado en firmas es ineficaz contra el ransomware moderno. Las soluciones EDR con detección de comportamiento son necesarias.

Capa 4 — Arquitectura de Backup Inmutable

Tu sistema de backup debe estar aislado arquitectónicamente de tu red de producción: red de backup separada, almacenamiento inmutable (Veeam con repositorio endurecido, Wasabi Object Lock o cinta con rotación air-gap) y copias fuera del sitio.

Capa 5 — Detección y Respuesta

La preparación para ransomware significa tener un plan de respuesta a incidentes probado antes de necesitarlo: árboles de decisión definidos para aislamiento vs. continuidad, seguro cibernético negociado previamente y asesoría legal informada sobre obligaciones de notificación.

La Regla de Backup 3-2-1-1-0

  • 3 copias de tus datos
  • 2 tipos de medios de almacenamiento diferentes
  • 1 copia fuera del sitio
  • 1 copia sin conexión o inmutable
  • 0 errores verificados en pruebas de restauración