Según la IEEE Computer Society, los incidentes de ransomware se han más que duplicado desde que comenzó la pandemia, y las consecuencias se han extendido mucho más allá del departamento de TI. Cuando el Banco de Inglaterra señaló el ciberataque a Jaguar Land Rover (JLR) como un factor que contribuyó directamente a la ralentización del crecimiento del Producto Interior Bruto (PIB) en el tercer trimestre de 2025, fue la primera vez que un incidente cibernético causó un perjuicio significativo a la economía británica a nivel nacional. Ese mismo año, la cadena minorista británica Marks & Spencer (M&S) estimó que el coste de la recuperación tras un ciberataque superaría los 300 millones de libras esterlinas. Al mismo tiempo, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) señaló que el número de ciberataques graves había aumentado un 130 %.
El panorama de las amenazas está evolucionando a un ritmo tal que las defensas tradicionales resultan cada vez más insuficientes. El Proyecto Glasswing de Anthropic ya ha identificado miles de vulnerabilidades de día cero hasta ahora desconocidas en todos los principales sistemas operativos y navegadores, y la inteligencia artificial ha reducido drásticamente el coste de descubrir y explotar esos fallos. Cuando se pueden generar nuevas variantes de malware más rápido de lo que tarda en actualizarse cualquier base de datos de firmas, la economía de los ataques se ha inclinado de forma permanente a favor de los atacantes.
Qué están haciendo hoy en día las empresas de servicios financieros
Las autoridades reguladoras de todas las jurisdicciones importantes han dejado de limitarse a preguntar si las organizaciones disponen de copias de seguridad y ahora se preguntan si pueden demostrar su capacidad de recuperación tras un ciberataque selectivo y hostil.
El artículo 12 de la Ley europea de resiliencia operativa digital (DORA) exige a las entidades financieras que restauren los datos utilizando sistemas que estén «segregados física y lógicamente de la fuente». El Banco de Inglaterra, la Autoridad de Regulación Prudencial (PRA) y la Autoridad de Conducta Financiera (FCA) han publicado conjuntamente unas directrices que exigen a las entidades sistémicas demostrar una mayor capacidad de respuesta y recuperación ante ciberataques.
La Comisión de Valores y Bolsa (SEC) exige ahora que se comuniquen los incidentes cibernéticos de importancia en un plazo de cuatro días hábiles.
Otros marcos normativos y sectoriales, entre los que se incluyen la Autoridad Monetaria de Hong Kong (HKMA), la Junta de Valores y Bolsa de la India (SEBI), la Directiva sobre seguridad de las redes y la información 2 (NIS2) y el Grupo de Resiliencia Operativa Intermercados del Reino Unido (CMORG) del Reino Unido, «Guía de buenas prácticas para el almacenamiento de datos en la nube», coinciden en las mismas expectativas:
Entornos de recuperación aislados
Integridad de los datos demostrable
Capacidades de respuesta documentadas
En conjunto, estos requisitos van mucho más allá de lo que las soluciones tradicionales de copias de seguridad operativas estaban diseñadas para ofrecer.
La mayoría de las empresas reguladas han respondido reforzando sus estrategias actuales de copias de seguridad y recuperación ante desastres. Han invertido en más copias de seguridad, una replicación más frecuente, una conmutación por error más rápida y mayores presupuestos para la recuperación ante desastres. Esta reacción es comprensible, ya que estas herramientas han prestado un buen servicio al sector durante décadas, tanto ante fallos de hardware como ante desastres naturales y eliminaciones accidentales.
El problema es que el ransomware no es nada de eso. Se trata de un ataque selectivo y hostil, diseñado para hacer que tus mecanismos de recuperación fallen.
Por qué la alta disponibilidad, la continuidad del negocio y la recuperación ante desastres, así como las copias de seguridad, nunca se diseñaron para esto
Los sistemas de alta disponibilidad y continuidad del negocio/recuperación ante desastres (BC/DR) replican los datos en tiempo real. Si un ransomware cifra los datos del entorno principal, ese cifrado suele replicarse en el entorno secundario antes de que se detecte el ataque. Como consecuencia, ambas copias de los datos pueden verse comprometidas.
Los sistemas de copia de seguridad tradicionales se enfrentan a un reto diferente. A menudo, los atacantes permanecen sin ser detectados en un entorno durante semanas antes de lanzar un ataque. Si un atacante lleva 30 días presente, es posible que muchas de las copias de seguridad creadas durante ese periodo ya contengan malware u otros cambios maliciosos. La restauración a partir de esas copias de seguridad puede reintroducir la amenaza junto con los datos.
Los operadores de ransomware actuales conocen a la perfección esta arquitectura. Se centran específicamente en la infraestructura de copias de seguridad: borran las copias de sombra, cifran los catálogos de copias de seguridad y comprometen las credenciales de los administradores de copias de seguridad, porque saben que, si eliminan tu capacidad de recuperación, acabarás pagando. Todo su modelo de negocio se basa en dejar a las organizaciones sin ninguna alternativa viable.
Existe una laguna estructural en la infraestructura de seguridad empresarial que ninguna de estas herramientas cubre. Los cortafuegos inspeccionan el tráfico en el perímetro. Las soluciones de detección y respuesta en terminales (EDR) inspeccionan los procesos en ejecución en los terminales. Los sistemas de gestión de información y eventos de seguridad (SIEM) analizan los registros y los patrones de tráfico. Pero ninguno de ellos revisa el contenido de los archivos que tienes almacenados, y ahí es precisamente donde el atacante lleva a cabo su labor. Cada acción posterior a la explotación, desde el despliegue del ransomware hasta la preparación de los datos y el cifrado de archivos, deja rastros en la capa de datos. Si no hay nada que inspeccione esa capa, la intrusión persiste sin ser detectada a pesar de todos los mecanismos de protección de los que dispongas.
Cómo aborda Qumulo el problema
Qumulo presenta una arquitectura moderna de ciberresiliencia que aborda las dos facetas del desafío que plantea el ransomware: prevenir la corrupción de los datos antes de que se propague y mantener un entorno de recuperación aislado y de confianza que permanezca fuera del alcance del movimiento lateral de los atacantes. Al combinar la protección activa con un entorno de recuperación arquitectónicamente aislado, Qumulo establece un nuevo estándar de resiliencia frente al ransomware, que asume la posibilidad de un ataque y garantiza la recuperabilidad.
NeuralProtect: Detección en la capa de almacenamiento
Qumulo NeuralProtect es un sistema de detección de ransomware y malware en tiempo real integrado directamente en la plataforma de almacenamiento de Qumulo. A diferencia de los enfoques que se basan en firmas conocidas o en la inferencia del comportamiento a partir del tráfico de red, NeuralProtect utiliza la «Deep File Inspection» para abrir y analizar cada archivo en el momento en que se escribe en el almacenamiento. Su motor de detección multimodal identifica tanto familias de malware conocidas como ransomware de «día cero» que nunca se ha catalogado. Cuando detecta una amenaza, actúa de inmediato cerrando la sesión maliciosa para detener el cifrado lateral de archivos, al tiempo que crea instantáneas defensivas para preservar un estado conocido como seguro y permite una rápida recuperación a partir de datos verificados como limpios. No se trata de un agente adicional ni de una integración de terceros que requiera una infraestructura independiente. Es una protección integrada en la propia capa de almacenamiento, exactamente donde el atacante causa el daño.
Qumulo Cloud Data Vault: cómo impedir el movimiento lateral
Qumulo Cloud Data Vault es un patrón arquitectónico validado basado en implementaciones de Qumulo Cloud Native, diseñado para crear un entorno de recuperación aislado e inmutable para los datos críticos para el negocio. No se trata de un producto independiente, sino de una arquitectura que aprovecha las capacidades existentes de Qumulo para ofrecer ciberresiliencia.
El almacén se encuentra en una cuenta en la nube independiente, sin conexión permanente con el entorno de producción, lo que significa que no existe ninguna vía lateral desde un sistema comprometido hasta el almacén. Las instantáneas del almacén se bloquean mediante claves criptográficas, por lo que una instantánea bloqueada no puede eliminarse ni acortarse su plazo de caducidad, ni siquiera por parte de un administrador comprometido que carezca de la clave privada. La conectividad con el almacén solo existe durante las ventanas de replicación programadas, imitando el aislamiento físico (airgap) de una cinta retirada de una biblioteca, pero implementada a través de una arquitectura nativa de la nube que cumple los requisitos normativos de DORA, CMORG y las directrices sobre buenas prácticas del Banco de Inglaterra.
El efecto compuesto
Estas dos capacidades se complementan para resolver el problema fundamental que las copias de seguridad por sí solas no pueden resolver, y abordan directamente las exigencias normativas que actualmente pesan sobre los servicios financieros. NeuralProtect inspecciona los datos en el momento de su escritura, lo que significa que los datos que fluyen hacia las capas de copia de seguridad, replicación y almacenamiento seguro se verifican en origen para garantizar que estén limpios. Sin esa inspección, cada capa de protección posterior podría estar conservando datos comprometidos y denominándolo «resiliencia».
Si NeuralProtect detecta un ataque a tiempo, tus copias de seguridad y de recuperación ante desastres existentes permanecerán intactas y se podrán seguir utilizando. Si un ataque sofisticado elude la detección inicial y se descubre más tarde, Qumulo Cloud Data Vault proporciona un punto de recuperación cuya integridad se puede demostrar, correspondiente a un momento anterior a la intrusión, almacenado en un entorno al que el atacante nunca ha tenido acceso.
El artículo 12 de la norma DORA exige que los datos restaurados se sometan a «múltiples comprobaciones y conciliaciones» para garantizar «el máximo nivel de integridad de los datos». La función Deep File Inspection de NeuralProtect ofrece precisamente esa verificación, que se aplica de forma continua y no solo en el momento de la restauración.
La Guía de buenas prácticas de CMORG sobre el almacenamiento de datos en la nube especifica que los datos almacenados deben residir en un entorno sin conectividad permanente con el entorno de producción, con inmutabilidad criptográfica y ventanas de replicación definidas. El Qumulo Cloud Data Vault se ha diseñado de acuerdo con dicha especificación.
El plazo de cuatro días de la SEC para la divulgación no comienza en el momento del ataque, sino cuando la empresa determina que el incidente es relevante, y esa determinación debe realizarse sin demoras injustificadas. La relevancia se evalúa en función de si un inversor razonable lo consideraría importante para su toma de decisiones. Las organizaciones no pueden permitirse la ambigüedad. La detección en tiempo real de NeuralProtect ofrece a los equipos de seguridad una visibilidad inmediata sobre si un ataque ha llegado a la capa de datos y si los puntos de recuperación siguen siendo viables, reduciendo así el plazo de evaluación de semanas a minutos.
Juntos, ofrecen lo que las autoridades reguladoras de todas las jurisdicciones exigen actualmente y lo que las copias de seguridad por sí solas no pueden proporcionar: la capacidad de detectar amenazas antes de que finalice el cifrado, aislar las sesiones comprometidas en tiempo real, proteger los datos críticos en un entorno segregado e inmutable, y recuperarlos sin problemas sin tener que pagar ningún rescate.
En resumen
El ransomware es un problema que pone en juego la supervivencia de las empresas, y las organizaciones que logren superarlo con éxito serán aquellas que hayan reconocido que sus herramientas actuales de resiliencia operativa se diseñaron para una era de amenazas diferente. El Banco de Inglaterra está teniendo en cuenta los ciberataques en sus previsiones del PIB. La normativa DORA es de obligado cumplimiento en toda la UE. La PRA y la FCA están publicando unas directrices conjuntas sobre cómo debe ser una recuperación cibernética «eficaz» para las entidades sistémicas. La SEC está haciendo que los consejos de administración rindan cuentas personalmente por la gobernanza en materia de ciberseguridad. Las aseguradoras se están retirando del mercado cibernético, ya que las reclamaciones superan a las primas, y aquellas que permanecen exigen pruebas de la existencia de arquitecturas de recuperación segregadas antes de suscribir pólizas.
Las copias de seguridad no son una protección contra el ransomware.
La recuperación ante desastres no es una protección contra el ransomware.
La continuidad del negocio no es una protección contra el ransomware.
Todos ellos son componentes necesarios de la resiliencia operativa, pero nunca se diseñaron para hacer frente a un adversario que actúe de forma selectiva y cuya estrategia dependa por completo de hacer que fallen. Y lo que es más importante, ya no cumplen con los requisitos normativos. Las autoridades reguladoras no solo preguntan si se puede restaurar a partir de una copia de seguridad. También preguntan si el entorno de recuperación está segregado, si se puede demostrar la integridad de los datos y si se puede demostrar que la última copia válida conocida está realmente libre de amenazas.
Qumulo NeuralProtect y Qumulo Cloud Data Vault ayudan a las organizaciones a desarrollar las capacidades que los organismos reguladores exigen cada vez más. La detección de amenazas en el momento de la escritura, la conservación de datos críticos en un entorno de recuperación aislado y la recuperación a partir de copias limpias y verificadas refuerzan la ciberresiliencia y respaldan una estrategia de recuperación demostrable frente al ransomware.
¿Estás listo para ver cómo funcionan conjuntamente Qumulo NeuralProtect y Cloud Data Vault? Solicita una demostración en qumulo.com/product/neural-protect o lee el Resumen de la solución NeuralProtect para obtener más información.
Acerca del autor
Tom Tasker es arquitecto principal de soluciones en la nube en Qumulo, donde se centra en la protección de datos en la nube y la resiliencia frente al ransomware para el sector de los servicios financieros y las industrias reguladas en las regiones de EMEA y APJ. Es coautor de la entrada del blog de AWS Storage Resiliencia desde el diseño: cómo desarrollar una estrategia eficaz de recuperación ante ataques de ransomware, y imparte clases en la Universidad de Loughborough sobre arquitectura de datos moderna.