Por Qué los Backups Solos No Son Suficientes
El consejo convencional — "mantén buenos backups y te recuperarás del ransomware" — era válido en 2015. En 2025 es peligrosamente incompleto. Los operadores modernos de ransomware se han adaptado: antes de activar el cifrado, pasan semanas dentro de tu red mapeando tus sistemas de backup, identificando y corrompiendo destinos de respaldo, y exfiltrando datos sensibles para aprovechar la doble extorsión.
Cuando comienza el cifrado, tus backups pueden ya estar comprometidos. La recuperación desde backup no aborda la exfiltración de datos. Y en industrias reguladas, la obligación de notificación de brecha persiste independientemente de si pagas el rescate o te recuperas desde backup.
La Cadena de Ataque
- Acceso inicial: Phishing, RDP expuesto, vulnerabilidad de VPN o credencial comprometida
- Persistencia: El atacante establece múltiples puntos de apoyo
- Movimiento lateral: Usando herramientas administrativas legítimas para moverse por la red
- Exfiltración de datos: Datos sensibles copiados antes de que comience el cifrado
- Destrucción de backups: Copias de sombra eliminadas, agentes de backup deshabilitados
- Activación del cifrado: Ransomware desplegado simultáneamente en todos los hosts comprometidos
La Arquitectura de Defensa
Capa 1 — Segmentación de Red
Las redes planas son el mejor aliado del ransomware. La segmentación adecuada usando VLANs, políticas de firewall y micro-segmentación limita el movimiento lateral.
Capa 2 — Gestión de Acceso Privilegiado
Implementar una solución PAM con acceso just-in-time, MFA para todas las acciones administrativas y grabación de sesiones eleva drásticamente el costo del movimiento lateral para los atacantes.
Capa 3 — Detección y Respuesta en Endpoints
El antivirus basado en firmas es ineficaz contra el ransomware moderno. Las soluciones EDR con detección de comportamiento son necesarias.
Capa 4 — Arquitectura de Backup Inmutable
Tu sistema de backup debe estar aislado arquitectónicamente de tu red de producción: red de backup separada, almacenamiento inmutable (Veeam con repositorio endurecido, Wasabi Object Lock o cinta con rotación air-gap) y copias fuera del sitio.
Capa 5 — Detección y Respuesta
La preparación para ransomware significa tener un plan de respuesta a incidentes probado antes de necesitarlo: árboles de decisión definidos para aislamiento vs. continuidad, seguro cibernético negociado previamente y asesoría legal informada sobre obligaciones de notificación.
La Regla de Backup 3-2-1-1-0
- 3 copias de tus datos
- 2 tipos de medios de almacenamiento diferentes
- 1 copia fuera del sitio
- 1 copia sin conexión o inmutable
- 0 errores verificados en pruebas de restauración