Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticas
Cybersecurity 101/Ciberseguridad/Copias de seguridad air gapped

¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticas

Las copias de seguridad air gapped mantienen al menos una copia de recuperación fuera del alcance de los atacantes. Descubra cómo funcionan, tipos, ejemplos y mejores prácticas para la recuperación ante ransomware.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué son las copias de seguridad air gapped?
Copias de seguridad air gapped como control de ciberseguridad
Componentes principales de las copias de seguridad air gapped
Cómo funcionan las copias de seguridad air gapped
Tipos de arquitecturas de copias de seguridad air gapped
Ejemplos prácticos de copias de seguridad air gapped
Air gap físico basado en cinta
Air gap lógico segmentado en red
Air gap lógico en bóveda en la nube
Beneficios clave de las copias de seguridad air gapped
Quién necesita copias de seguridad air gapped
Desafíos y limitaciones de las copias de seguridad air gapped
Errores comunes en copias de seguridad air gapped
Mejores prácticas para copias de seguridad air gapped
Incidentes reales de ransomware y lecciones sobre copias de seguridad
Conclusiones clave

Entradas relacionadas

  • Seguridad IT vs. OT: Diferencias clave y mejores prácticas
  • ¿Qué es la seguridad OT? Definición, desafíos y mejores prácticas
  • ¿Qué es el Análisis de Composición de Software (SCA)?
  • ¿Qué es un ataque Golden Ticket?
Autor: SentinelOne
Actualizado: April 21, 2026

¿Qué son las copias de seguridad air gapped?

Los operadores de ransomware ahora apuntan a la infraestructura de copias de seguridad antes de cifrar los datos de producción. Según el estudio de costos de incidentes cibernéticos de CISA, el costo promedio por incidente de brecha alcanza los $5.9 millones, por lo que su última línea de defensa solo es útil si los atacantes no pueden alcanzarla.

Las copias de seguridad air gapped son copias aisladas de datos críticos que están separadas física o lógicamente de las redes de producción. Crean una barrera protectora al establecer entornos con acceso controlado que los ataques basados en red no pueden alcanzar. Ya sea mediante medios de cinta físicamente desconectados, almacenamiento segmentado en red con controles de acceso estrictos o bóvedas en la nube lógicamente aisladas, las copias de seguridad air gapped ayudan a garantizar que al menos una copia de recuperación sea más difícil de alcanzar para los atacantes cuando se desplazan lateralmente por su entorno.

La NIST SP 800-209 establece que las operaciones de copia de seguridad pueden incluir dispositivos de almacenamiento que estén fuera de línea, mientras que la guía de ransomware de CISA indica a las organizaciones mantener copias de seguridad fuera de línea porque el ransomware a menudo intenta eliminar o cifrar los datos de respaldo accesibles.

Copias de seguridad air gapped como control de ciberseguridad

Las copias de seguridad air gapped se sitúan en la intersección de la protección de datos y la resiliencia ante ransomware. Las familias modernas de ransomware realizan reconocimiento específicamente para localizar servidores de respaldo, eliminar copias sombra y cifrar repositorios de respaldo antes de activar el cifrado de producción. La guía de respuesta de ransomware de CISA indica a las organizaciones "mantener copias de seguridad fuera de línea y cifradas de los datos críticos" porque las variantes modernas de ransomware "intentan encontrar y posteriormente eliminar o cifrar las copias de seguridad accesibles".

Cuando su protección de endpoints detecta y detiene un intento de ransomware mediante Behavioral AI, la amenaza termina ahí. Pero cuando las defensas son superadas o eludidas, las copias de seguridad air gapped pueden proporcionar una vía de recuperación fuera del radio inmediato de un ataque basado en red. Para entender cómo funciona esa protección en la práctica, es necesario desglosar la arquitectura en sus componentes principales.

Componentes principales de las copias de seguridad air gapped

Toda arquitectura de copia de seguridad air gapped, independientemente del tipo, se construye a partir de las mismas seis capas. Cada una debe mantenerse para que el aislamiento sea significativo.

  • Capa de almacenamiento aislado. El entorno físico o lógico donde residen las copias de seguridad, incluyendo bibliotecas de cintas, arreglos de discos extraíbles, sistemas segmentados en red o dominios de seguridad en la nube aislados con autenticación separada.
  • Mecanismos de transferencia. Los datos se trasladan de producción a la capa de almacenamiento aislado a través de rutas controladas, ya sea transporte manual o robótico de medios, o replicación programada con flujos de datos unidireccionales que evitan la contaminación inversa.
  • Capa de inmutabilidad. Una vez que los datos llegan al entorno air gapped, deben resistir la modificación o eliminación mediante hardware de cinta de escritura única, bloqueos de retención por software o modos de cumplimiento en almacenamiento de objetos.
  • Controles de acceso. Las implementaciones físicas dependen de acceso por llave o combinación con registro de entradas. Las implementaciones lógicas requieren control de acceso basado en roles, autenticación multifactor, aplicación de privilegios mínimos y registro de auditoría. La guía de protección de datos de CISA requiere MFA para acceso administrativo y acceso basado en roles con principios de privilegio mínimo en los sistemas protegidos.
  • Cifrado. Los datos de respaldo deben estar cifrados en reposo y en tránsito. La guía de estándares de cifrado de CISA especifica FIPS 140-2 para datos en tránsito y en reposo, o mecanismos de cifrado mejorados. Los sistemas de gestión de claves de cifrado deben permanecer aislados de los datos de respaldo para evitar que una sola brecha exponga ambos.
  • Infraestructura de verificación. Necesita la capacidad de confirmar la integridad de las copias de seguridad mediante verificaciones regulares de integridad, sumas de comprobación, rutinas de verificación de respaldo y pruebas de recuperación.

La debilidad en cualquier capa puede socavar toda la arquitectura. El siguiente paso es comprender cómo operan estas capas en respaldo, aislamiento, almacenamiento y recuperación.

Cómo funcionan las copias de seguridad air gapped

Las copias de seguridad air gapped siguen un ciclo de cuatro fases: captura, aislamiento, almacenamiento seguro y recuperación controlada. Cada fase tiene requisitos específicos que determinan cuán sólida es la arquitectura cuando un atacante accede a su entorno.

  • Fase 1: Respaldo y captura. Los datos de producción se copian al destino de respaldo mediante sus procesos estándar. Antes de que los datos ingresen al entorno air gapped, un escaneo antimalware valida la integridad. El escaneo previo al aislamiento es esencial porque respaldar datos comprometidos en un entorno inmutable y air gapped crea una copia contaminada que podría provocar reinfección durante la recuperación.
  • Fase 2: Aislamiento. Para air gaps físicos, esto significa retirar cartuchos de cinta o desconectar arreglos de discos extraíbles de todos los sistemas y redes. Para air gaps lógicos, la conectividad de red se deshabilita entre ciclos de respaldo, con ventanas de replicación programadas que requieren autenticación explícita por transferencia. Las bóvedas en la nube aplican el aislamiento mediante dominios de seguridad separados con acceso solo por API y autenticación independiente.
  • Fase 3: Almacenamiento seguro. Las copias aisladas permanecen en su estado protegido, con medios físicos almacenados en bóvedas seguras fuera del sitio y copias lógicas mantenidas detrás de segmentación de red, controles de acceso y bloqueos de inmutabilidad. Este aislamiento de respaldo es lo que mantiene al menos una vía de recuperación menos expuesta cuando los atacantes se desplazan por sistemas conectados.
  • Fase 4: Recuperación. Cuando necesita los datos, el proceso se invierte. Los medios físicos se recuperan del almacenamiento seguro y se conectan manualmente. Las copias lógicas se acceden mediante rutas autenticadas y controladas. Restaure en un entorno de preparación aislado para su verificación antes de reconectar a producción.

Una vez que comprende el flujo de trabajo, puede evaluar qué modelo de implementación se adapta mejor a su entorno.

Tipos de arquitecturas de copias de seguridad air gapped

Existen tres opciones principales de arquitectura, cada una con compensaciones distintas.

  1. Air gaps físicos utilizan medios de almacenamiento extraíbles con desconexión total de la red. Los cartuchos de cinta se copian, se retiran físicamente y se almacenan fuera del sitio. Este enfoque ofrece bajo costo de almacenamiento por gigabyte y el mayor aislamiento frente a ransomware. La desventaja es el acceso lento a los datos y la inadecuación para organizaciones que requieren restauraciones rápidas y frecuentes.
  2. Air gaps lógicos emplean segmentación de red, restricciones de protocolos y controles de acceso para crear aislamiento sin retirar físicamente los medios. Los componentes incluyen VLANs separadas con controles de firewall, eliminación de protocolos comúnmente atacados como CIFS, NFS y SMB, y flujos de datos unidireccionales. Los air gaps lógicos son adecuados para entornos empresariales donde la desconexión física es impráctica. Este modelo depende de una sólida identidad, segmentación y aplicación de políticas.
  3. Bóvedas air gapped basadas en la nube crean dominios de seguridad lógicamente aislados dentro de la infraestructura en la nube. Utilizan autenticación separada, inmutabilidad a nivel de objeto como S3 Object Lock, acceso solo por API y MFA. El almacenamiento en la nube por sí solo no constituye un air gap; se requieren controles de aislamiento adicionales. Si su entorno abarca infraestructura y copias de seguridad de aplicaciones en la nube, sus controles de seguridad en la nube determinan cuán fuerte es realmente esa separación lógica.

La elección de arquitectura establece sus restricciones de recuperación. Los ejemplos a continuación muestran cómo se ve cada una en un entorno real.

Ejemplos prácticos de copias de seguridad air gapped

Comprender la arquitectura en abstracto es una cosa. Verla en la práctica aclara las decisiones de implementación. Aquí hay tres escenarios que muestran cómo se ven las copias de seguridad air gapped en diferentes entornos.

Air gap físico basado en cinta

Un fabricante que opera sistemas de control industrial respalda configuraciones OT críticas y datos históricos de producción cada noche en cinta LTO. Tras completar cada trabajo, un técnico retira el cartucho, lo registra en una cadena de custodia y lo almacena en una caja fuerte ignífuga fuera del área de producción. La cinta no mantiene conexión de red en ningún momento. Cuando se necesita recuperación, la cinta se recupera, se conecta a una estación de trabajo aislada, se escanea para verificar su integridad y luego se utiliza para restaurar. La guía de seguridad ICS de CISA identifica el almacenamiento de medios fuera de línea como un control básico para entornos de tecnología operacional.

Air gap lógico segmentado en red

Una empresa ejecuta software de respaldo en un servidor reforzado ubicado en una VLAN de respaldo dedicada, separada de todos los segmentos de producción por políticas de firewall. SMB, NFS y CIFS están deshabilitados en ese segmento. Durante las ventanas de replicación programadas, un flujo de datos unidireccional copia los datos de respaldo: cada trabajo requiere autenticación protegida por MFA con una cuenta de servicio sin otros privilegios de red. Ningún endpoint de producción unido al dominio puede acceder directamente al servidor de respaldo, cortando las rutas de movimiento lateral que el ransomware utiliza para localizar y destruir la infraestructura de respaldo.

Air gap lógico en bóveda en la nube

Una empresa nativa de la nube almacena copias de seguridad en un bucket S3 de AWS con Object Lock habilitado en modo de cumplimiento, dentro de una cuenta de AWS separada e aislada de la cuenta de producción. Ningún rol IAM en el entorno de producción tiene permisos de escritura o eliminación en el bucket de respaldo. Los trabajos de respaldo se ejecutan mediante una llamada API unidireccional autenticada con un conjunto de credenciales dedicado que solo existe en la cuenta de respaldo. Incluso con una brecha total en la cuenta de producción, un atacante no puede eliminar ni sobrescribir el contenido de la bóveda durante el período de retención. Este modelo se alinea con la guía de ransomware de CISA sobre mantener copias de seguridad detrás de credenciales y controles de acceso separados.

Cada una de estas implementaciones cumple con el requisito de copia fuera de línea en la regla moderna de respaldo 3-2-1-1-0: una copia que esté fuera de línea, inmutable o air gapped, con cero errores confirmados mediante pruebas de restauración y no solo sumas de comprobación. Ese marco apunta directamente a los beneficios clave que ofrecen las copias de seguridad air gapped.

Beneficios clave de las copias de seguridad air gapped

Cuando se implementan correctamente, las copias de seguridad air gapped ofrecen cuatro ventajas de seguridad y operativas que ninguna arquitectura de respaldo siempre conectada puede igualar.

  • Aislamiento frente a ransomware. Este es el principal valor. Las copias de seguridad air gapped eliminan las rutas accesibles por red que permiten la destrucción de respaldos. El aislamiento físico o lógico significa que el  ransomware que se ejecuta en sistemas de producción no puede alcanzar fácilmente la copia de respaldo.
  • Confianza en la recuperación. Las copias de seguridad air gapped pueden preservar puntos de recuperación menos expuestos a ataques activos. Las organizaciones con respaldos comprometidos deben realizar análisis forenses para determinar qué generaciones de respaldo son confiables, un proceso que puede extender significativamente la recuperación. Las arquitecturas air gapped ayudan a reducir esa presión al limitar el acceso directo del atacante a al menos una vía de recuperación.
  • Alineación regulatoria. Las estrategias de respaldo air gapped se alinean con la NIST SP 800-209, respaldan las expectativas de planificación de contingencia en entornos federales y de salud, y generalmente apoyan los objetivos de respaldo, disponibilidad y control de acceso presentes en los principales marcos de control. Para industrias reguladas, las arquitecturas air gapped pueden proporcionar evidencia defendible de controles de ciberseguridad razonables.
  • Reducción de amenazas internas. Las arquitecturas air gapped reducen la superficie de acceso por diseño. Incluso los usuarios privilegiados no pueden acceder a los repositorios de respaldo mediante rutas de red estándar, requiriendo acceso físico o flujos de trabajo de doble aprobación para cualquier interacción con copias aisladas. Este es el control del lado de la recuperación que evita que una sola brecha se convierta en un evento que termine con el negocio.

Estos beneficios son reales, pero plantean una pregunta igualmente importante: ¿qué organizaciones realmente necesitan copias de seguridad air gapped y en qué nivel?

Quién necesita copias de seguridad air gapped

La pregunta no es si su organización es lo suficientemente grande; es si puede permitirse perder el acceso a los datos de producción sin una copia de recuperación verificada y resistente a atacantes. La siguiente tabla relaciona el tipo de organización con el enfoque de air gap más práctico y su principal impulsor.

Tipo de organizaciónEnfoque recomendadoImpulsor principal
Infraestructura crítica (energía, servicios públicos, OT)Air gap físico con cintaExposición a amenazas de estados-nación, mandato regulatorio
Redes de saludAir gap lógico o bóveda en la nubePlanificación de contingencia HIPAA, recuperación de datos de pacientes
Servicios financierosAir gap lógico con inmutabilidadFFIEC, cumplimiento PCI DSS, requisitos estrictos de RTO
Empresas medianasBóveda en la nube con Object LockEficiencia de costos, capacidad limitada de almacenamiento local
Empresas nativas de la nube y SaaSBóveda en la nube en una cuenta separadaSin infraestructura local, riesgo de alcance de producción
Agencias gubernamentalesCinta física (cifrado compatible con FIPS)FISMA, planificación de contingencia NIST SP 800-53

Las organizaciones más pequeñas suelen asumir que las copias de seguridad air gapped están fuera de su alcance operativo. En la práctica, una bóveda en la nube con Object Lock en una cuenta separada no requiere hardware local y puede configurarse en horas. Un consultorio médico de diez personas tiene tanto que proteger en recuperación como una gran empresa; la aritmética del ransomware es la misma sin importar el tamaño.

Saber qué enfoque se adapta a su entorno es esencial, pero las copias de seguridad air gapped también conllevan verdaderas compensaciones. Comprenderlas antes de la implementación evita decisiones arquitectónicas que tendrá que revertir bajo presión.

Desafíos y limitaciones de las copias de seguridad air gapped

Las copias de seguridad air gapped no son una solución llave en mano. Cuatro desafíos provocan consistentemente que los equipos configuren mal su arquitectura o sobreestimen la protección que realmente proporciona.

  • Ambigüedad en la definición genera falsa seguridad. La mayoría de los despliegues de copias de seguridad "air gapped" no son realmente air gapped. Un air gap auténtico requiere sistemas que no estén conectados físicamente y donde cualquier conexión lógica no sea autónoma sino controlada manualmente. Debe saber exactamente qué tipo ha implementado.
  • La paradoja de la automatización frente al aislamiento real. Los entornos empresariales enfrentan una tensión fundamental: el verdadero air gapping requiere intervención manual, pero los procesos manuales a escala generan costos prohibitivos. Cualquier ruta autónoma, ya sean trabajos rsync programados, llamadas API o agentes de respaldo, crea oportunidades de explotación. Esta tensión no puede resolverse completamente, solo gestionarse mediante decisiones arquitectónicas deliberadas.
  • Complejidad operativa y tiempos de recuperación extendidos. Las implementaciones air gapped generan fricción operativa que impacta directamente los objetivos de recuperación. La mayor complejidad de los procesos de respaldo y recuperación puede llevar a tiempos de recuperación más largos en comparación con soluciones siempre conectadas, una paradoja donde la mayor seguridad ralentiza la recuperación durante los mismos incidentes para los que se diseñó la arquitectura.
  • La inmutabilidad no es air gapping. Las organizaciones suelen confundir estos dos controles distintos. Un respaldo inmutable que contiene ransomware o malware es inútil durante la recuperación y podría provocar reinfección. Una copia de seguridad air gapped que nunca fue escaneada puede contener datos corruptos. Se necesitan ambos controles, con una comprensión clara de lo que aborda cada uno. Los errores de implementación más comunes aparecen cuando los equipos confunden esas distinciones en las operaciones diarias.

Por eso es útil revisar los errores que debilitan repetidamente diseños por lo demás sólidos.

Errores comunes en copias de seguridad air gapped

Incluso arquitecturas de air gap bien diseñadas fallan en la práctica cuando los mismos errores operativos no se corrigen. Estos seis errores explican la mayoría de los entornos de respaldo que parecen aislados pero siguen siendo accesibles.

  • Llamar "air gapped" al aislamiento lógico sin documentar el riesgo aceptado. Cuando implementa sistemas de respaldo segmentados en red con transferencias programadas, tiene aislamiento lógico, no un air gap real. Documente el riesgo aceptado y compense con capas adicionales: MFA, RBAC, almacenamiento inmutable con retención superior al tiempo típico de permanencia del atacante y monitoreo de anomalías.
  • Dejar la infraestructura de respaldo en la red de producción. Permitir que los sistemas de respaldo permanezcan accesibles desde los mismos segmentos de red que los sistemas de producción es un error arquitectónico significativo. Segregue la infraestructura de respaldo en segmentos dedicados. Las interfaces de gestión nunca deben ser accesibles desde redes corporativas generales.
  • Ignorar credenciales predeterminadas en el software de respaldo. Algunos programas de respaldo aún se entregan con inicios de sesión y contraseñas predeterminadas. Combinado con la falta de MFA, esto da a los atacantes un punto de entrada directo. Elimine los valores predeterminados, aplique MFA para todo acceso a respaldos e implemente flujos de trabajo de doble aprobación para operaciones destructivas como eliminar datos de respaldo antes de su vencimiento programado.
  • No probar restauraciones. Esta es la brecha más común. La guía de respuesta a ransomware de CISA enfatiza probar los procedimientos de respaldo regularmente. Debe probar la restauración completa del sistema desde medios air gapped, no solo verificar la integridad de archivos. Programe pruebas regulares de restauración completa en entornos aislados y mida los tiempos reales de recuperación frente a sus requisitos de RTO.
  • Omitir el escaneo antimalware previo al aislamiento. Respaldar datos comprometidos en un entorno inmutable y air gapped crea una copia contaminada que no puede modificar. La NIST SP 800-209 exige registrar los resultados de escaneo antimalware para las copias de respaldo utilizadas en recuperación de eventos cibernéticos. El escaneo antimalware dedicado previo al respaldo valida la integridad de los datos antes de que ingresen al entorno aislado.
  • Tratar el air gapping como defensa de una sola capa. Las copias de seguridad air gapped como única estrategia de respaldo crean un único punto de falla. Siga la regla 3-2-1-1-0 para que la brecha de una sola capa no elimine todas las capacidades de recuperación.

Una vez que evite estos errores, puede pasar a las prácticas operativas que hacen sostenible el diseño.

Mejores prácticas para copias de seguridad air gapped

Elegir el tipo de arquitectura adecuado es solo el comienzo, pero la disciplina operativa es lo que mantiene el aislamiento de las copias de seguridad efectivo a lo largo del tiempo. Estas ocho prácticas abordan las áreas donde los diseños de respaldo air gapped suelen degradarse tras la implementación inicial.

  1. Clasifique los datos antes de diseñar la arquitectura. No todos los datos requieren el mismo enfoque de air gap. Organice los requisitos de respaldo por obligación regulatoria, criticidad del negocio, RPO y cronogramas de retención.
  2. Defina RPO/RTO y pruébelos. Si su RPO es de una hora, los respaldos deben ejecutarse cada hora o más rápido. Si su RTO es de cuatro horas, su proceso de restauración air gapped debe completarse en ese plazo, incluida la recuperación de medios físicos. Documente estos números y valídelos mediante ejercicios programados.
  3. Implemente inmutabilidad en todos los repositorios de respaldo. Habilite configuraciones de solo escritura o bloqueadas que no puedan modificarse durante los períodos de retención. Esto complementa el air gapping al evitar modificaciones incluso si un atacante accede al entorno aislado. Usados juntos, los respaldos inmutables y air gapped le brindan opciones de recuperación ante ransomware más sólidas.
  4. Haga cumplir MFA y doble aprobación para todas las operaciones de respaldo. Cada ruta de acceso a la infraestructura de respaldo requiere MFA, incluido el acceso administrativo. Las operaciones destructivas como eliminación, cambios de políticas de retención y desactivación de inmutabilidad deben requerir doble aprobación de administradores distintos. Los controles sólidos de  seguridad de identidad son especialmente importantes cuando el aislamiento de respaldo depende de flujos de trabajo privilegiados.
  5. Escanee los respaldos con herramientas actualizadas antes y después del almacenamiento. Re-escanee periódicamente copias históricas de respaldo con herramientas antimalware actualizadas. Esto identifica copias contaminadas con malware que no era identificable en el momento del respaldo. Behavioral AI de su plataforma de protección de endpoints proporciona una capa de validación aquí.
  6. Monitoree comportamientos dirigidos a respaldos. CISA recomienda específicamente monitorear el uso anómalo de vssadmin.exe, bcdedit.exe, wbadmin.exe, fsutil.exe con deletejournal, y wmic.exe con los comandos shadowcopy o shadowstorage en su guía de monitoreo de ransomware de CISA. Su plataforma XDR debe marcar estos como señales de alta prioridad.
  7. Pruebe restauraciones regularmente, simule desastres anualmente. Realice pruebas completas de restauración en entornos aislados de forma regular. Realice simulaciones anuales de desastres que imiten eventos reales de pérdida de datos, no solo verificaciones a nivel de archivo. La NIST IR 8576 especifica pruebas anuales para restaurar desde procedimientos de respaldo.
  8. Restaure en entornos de preparación aislados, no en producción. Las copias de recuperación air gapped deben restaurarse en un entorno aislado dedicado donde se verifique que los sistemas estén limpios antes de devolverlos a producción. Ejecute herramientas de detección de anomalías de comportamiento en el entorno de preparación para confirmar que no ocurra reinfección antes de la reconexión.

Estas prácticas hacen que su diseño de respaldo sea más resiliente ante incidentes reales. También preparan los ejemplos de incidentes que muestran lo que sucede cuando las vías de recuperación son accesibles o no verificadas.

Incidentes reales de ransomware y lecciones sobre copias de seguridad

Los incidentes reales concretan el riesgo de respaldo.

  1. Norsk Hydro, 2019, ransomware LockerGoga. Cuando LockerGoga atacó en marzo de 2019, Norsk Hydro declaró una crisis empresarial y pasó a operaciones manuales en 40 países mientras el ransomware bloqueaba archivos en miles de servidores y PCs. Posteriormente, la empresa informó pérdidas de NOK 550–650 millones en la primera mitad de 2019. El incidente mostró cómo la disrupción operativa puede extenderse por toda la organización incluso cuando la producción continúa en modo degradado, y cómo la resiliencia de las copias de seguridad permitió a Norsk Hydro restaurar sistemas sin pagar el rescate.
  2. Colonial Pipeline, 2021, ransomware DarkSide. La empresa detuvo las operaciones del oleoducto tras el ataque, y el DOJ posteriormente recuperó $2.3 millones del pago de rescate de 75 Bitcoin. La advertencia de CISA sobre DarkSide documentó cómo el ataque a los sistemas empresariales provocó una gran disrupción operativa en infraestructura crítica.
  3. MGM Resorts, 2023, ingeniería social y disrupción vinculada a ransomware. Tras el uso de ingeniería social por parte de los atacantes para comprometer la infraestructura de identidad de MGM, la empresa cerró operaciones en hoteles y casinos para contener la brecha. MGM posteriormente informó un impacto de $100 millones en EBITDAR en septiembre de 2023. El evento mostró cómo la brecha de identidad puede desencadenar condiciones de interrupción generalizada, por lo que el aislamiento de respaldos por sí solo no es suficiente sin controles de identidad.

Estos incidentes conducen directamente a la pregunta final: ¿cómo combinar la resiliencia de recuperación con controles que detengan a los atacantes antes de que puedan contaminar, eliminar o alcanzar sus rutas de respaldo?

Ciberseguridad basada en IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Conclusiones clave

Las copias de seguridad air gapped proporcionan una forma arquitectónica de mantener al menos una copia de recuperación fuera del alcance de los ataques rutinarios basados en red. El aislamiento es una parte esencial de cualquier plan de recuperación ante ransomware defendible. 

Implemente copias de seguridad air gapped siguiendo la regla 3-2-1-1-0, pruebe restauraciones regularmente, escanee antes y después del almacenamiento y combine el aislamiento de respaldos con la prevención mediante Behavioral AI para detener amenazas antes de que alcancen su infraestructura de respaldo. Si confía en copias de seguridad fuera de línea e inmutables como parte de su plan de ciberresiliencia, aún necesita validación regular para respaldar una recuperación confiable ante ransomware.

Preguntas frecuentes

Las copias de seguridad con air gap son copias aisladas de datos críticos que están separadas física o lógicamente de las redes de producción. Los air gaps físicos utilizan medios fuera de línea como cintas que se retiran y almacenan fuera del sitio. Los air gaps lógicos emplean segmentación de red, controles de acceso estrictos e inmutabilidad para reducir el alcance de los atacantes. 

Ambos enfoques buscan mantener al menos una copia de recuperación fuera del alcance de ataques basados en red, incluido el ransomware que apunta específicamente a la infraestructura de copias de seguridad antes de activar el cifrado en producción.

Las copias de seguridad inmutables evitan la modificación o eliminación después de que los datos se escriben, pero aún pueden permanecer accesibles a través de la red. Las copias de seguridad con air gap aíslan los datos del acceso rutinario a la red, pero no garantizan que la copia estuviera limpia al momento de su captura. 

Se necesitan ambos controles para una mayor resiliencia: la inmutabilidad ayuda a bloquear la manipulación, mientras que el air gap reduce el alcance del atacante. Su plan de recuperación ante ransomware también debe incluir análisis de malware, controles de acceso y pruebas de restauración.

La  NIST SP 800-209 recomienda pruebas regulares de integridad para los datos críticos, y la  NIST IR 8576 especifica pruebas anuales para los procedimientos de restauración desde copias de seguridad. 

En la práctica, se debe validar regularmente la integridad de las copias de seguridad críticas, realizar ejercicios completos de restauración en entornos de pruebas aislados al menos una vez al año y medir el tiempo real de recuperación frente a los objetivos documentados de RTO y RPO en cada ejercicio. Tiene sentido realizar pruebas más frecuentes para los sistemas más críticos.

Las copias de seguridad en la nube pueden considerarse lógicamente air gapped cuando se aíslan mediante dominios de seguridad separados, autenticación independiente, inmutabilidad a nivel de objeto y acceso solo por API con MFA. El almacenamiento estándar en la nube por sí solo no crea un air gap. 

Debe configurar la separación de forma deliberada, documentar claramente los límites de control y verificar que sus credenciales de producción no puedan acceder, modificar ni eliminar directamente el conjunto de copias de seguridad protegidas durante las operaciones normales.

El mayor riesgo es asumir que se tiene un verdadero air gap cuando en realidad solo se cuenta con un aislamiento lógico con flujos de trabajo autónomos. Cualquier trabajo de replicación programado, llamada a API o conexión de un agente de respaldo crea una vía accesible que atacantes sofisticados pueden explotar. 

Debe auditar su arquitectura de manera honesta, clasificarla correctamente y agregar controles compensatorios como inmutabilidad, MFA, segmentación, flujos de aprobación y pruebas repetidas de restauración para que su diseño de recuperación se ajuste a su exposición real.

Las copias de seguridad aisladas se alinean con los principios de  zero trust al aplicar una verificación explícita en la capa de infraestructura de respaldo. Cada solicitud de acceso requiere autenticación, la autorización sigue el principio de mínimo privilegio mediante RBAC y toda la actividad permanece registrada y auditable. 

El aislamiento añade una restricción más estricta al eliminar el acceso rutinario a la red entre los ciclos de respaldo. Los flujos de trabajo de doble aprobación para operaciones destructivas agregan otro control, lo que ayuda a evitar que una sola cuenta comprometida destruya su capacidad de recuperación o debilite su postura de ciberresiliencia.

Descubre más sobre Ciberseguridad

Gestión de Derechos Digitales: Una Guía Práctica para CISOsCiberseguridad

Gestión de Derechos Digitales: Una Guía Práctica para CISOs

La gestión de derechos digitales empresarial aplica cifrado persistente y controles de acceso a los documentos corporativos, protegiendo los datos sensibles incluso después de que los archivos salgan de su red.

Seguir leyendo
¿Qué es la seguridad de Remote Monitoring and Management (RMM)?Ciberseguridad

¿Qué es la seguridad de Remote Monitoring and Management (RMM)?

Aprenda cómo los actores de amenazas explotan las herramientas RMM para ataques de ransomware y descubra estrategias de detección y mejores prácticas de seguridad para proteger su entorno.

Seguir leyendo
Protocolo de Resolución de Direcciones: Función, Tipos y SeguridadCiberseguridad

Protocolo de Resolución de Direcciones: Función, Tipos y Seguridad

El Protocolo de Resolución de Direcciones traduce direcciones IP a direcciones MAC sin autenticación, lo que permite ataques de suplantación. Vea cómo SentinelOne detecta y detiene el movimiento lateral basado en ARP.

Seguir leyendo
¿Qué son las copias de seguridad inmutables? Protección autónoma contra ransomwareCiberseguridad

¿Qué son las copias de seguridad inmutables? Protección autónoma contra ransomware

Las copias de seguridad inmutables utilizan tecnología WORM para crear puntos de recuperación que el ransomware no puede cifrar ni eliminar. Conozca las mejores prácticas de implementación y errores comunes.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español