Volver al blog Ciberseguridad

¿Qué es una copia de seguridad inmutable y por qué frena el ransomware?

26 de junio de 2026 3L Systems

Contenido del artículo

Una copia de seguridad inmutable es una copia de tus datos que, una vez creada, no se puede modificar ni borrar durante el periodo de retención que tú definas: queda en modo de solo lectura aunque alguien tenga permisos de administrador o haya robado credenciales. Y frena el ransomware precisamente por eso: cuando un ataque cifra tus archivos y trata de destruir las copias para forzarte a pagar el rescate, la copia inmutable sigue intacta y te permite recuperarte sin negociar con nadie. En este artículo te explicamos qué significa esto en la práctica, por qué el ransomware persigue tus backups y cómo encajar la inmutabilidad en una estrategia de copias seria.

Qué es exactamente una copia inmutable

«Inmutable» significa que no cambia. Aplicado a las copias de seguridad, quiere decir que cuando se escribe una copia se le asigna un periodo durante el cual el propio sistema de almacenamiento impide cualquier modificación o eliminación. No es una cuestión de contraseñas ni de buena voluntad: es el almacenamiento el que se niega, por diseño, a sobrescribir o borrar esos datos hasta que vence la retención.

Esto se consigue con tecnologías de tipo WORM (escribir una vez, leer muchas) o con bloqueos de objeto en almacenamiento en la nube y en cabinas locales compatibles. La diferencia con una copia normal es importante: una copia convencional existe, sí, pero también se puede sobrescribir, cifrar o eliminar. La inmutable, durante su ventana de retención, no. Esa es la propiedad que la convierte en la última línea de defensa cuando todo lo demás ha fallado.

Por qué el ransomware va directo a por tus copias

El ransomware ha dejado de ser «un virus que cifra archivos». Hoy es una operación planificada: los atacantes entran, se mueven por la red durante días o semanas, identifican dónde están los datos críticos y, muy especialmente, dónde están las copias de seguridad. Y antes de lanzar el cifrado, intentan destruirlas.

La lógica es brutal pero sencilla. Si tú puedes restaurar tus datos desde una copia, no tienes ningún motivo para pagar el rescate. Por eso el atacante sabe que su negocio depende de dejarte sin alternativa: localiza los repositorios de backup, borra las copias, vacía las papeleras de retención y, si puede, ataca también las copias conectadas en red o en la nube que estén accesibles con las credenciales que ha comprometido.

La clave que muchos pasan por alto: de poco sirve hacer copias todos los días si el atacante puede borrarlas con las mismas credenciales con las que cifra los datos. Una copia que se puede eliminar no es un seguro frente al ransomware; es solo una copia. La inmutabilidad rompe esa cadena: aunque el atacante tenga el control, no puede tocar lo que es inmutable.

La regla 3-2-1, reforzada para la era del ransomware

La regla 3-2-1 es el punto de partida clásico de cualquier estrategia de copias, y sigue siendo válida:

  • 3 copias de tus datos (el original más dos copias).
  • 2 soportes distintos (por ejemplo, disco y nube, o disco y otro sistema).
  • 1 copia fuera de las instalaciones, para sobrevivir a un incendio, un robo o una inundación.

El problema es que la 3-2-1 nació pensando en fallos de hardware y desastres físicos, no en un atacante humano que persigue activamente tus backups. Por eso hoy se habla de reforzarla, en una idea que suele resumirse como 3-2-1-1-0:

  • 1 copia aislada o inmutable: al menos una copia debe estar fuera del alcance de la red, sin conexión (air gap) o protegida por inmutabilidad, de modo que un ataque que comprometa tus sistemas no pueda alcanzarla.
  • 0 errores en la verificación: las copias deben comprobarse y probarse de forma regular. Una copia que nunca se ha restaurado es una promesa, no una garantía.

La inmutabilidad encaja justo en ese «1» añadido: es la forma práctica de tener una copia que el atacante no puede destruir aunque entre con todas las llaves. Si quieres ver cómo automatizamos este esquema sin que dependa de que alguien se acuerde de hacerlo, échale un vistazo a nuestra página de copias automáticas.

La copia es el medio; recuperar es el objetivo

Es fácil obsesionarse con «hacer copias» y olvidar lo único que de verdad importa el día del incidente: volver a trabajar. Tener una copia inmutable es necesario, pero no suficiente si no sabes cuánto tardarías en restaurar, en qué orden, con qué prioridades y quién hace cada cosa.

Por eso la inmutabilidad debe formar parte de un plan de recuperación más amplio, que defina cuánta información puedes permitirte perder (el punto de recuperación) y en cuánto tiempo necesitas estar operativo de nuevo (el tiempo de recuperación). Estos objetivos no son los mismos para una asesoría que para una fábrica que para en seco si su sistema cae, y conviene fijarlos con cabeza. Lo desarrollamos en nuestra página de recuperación ante desastres.

Y hay un matiz honesto que conviene decir claro: una copia inmutable no te hace invulnerable. Protege la integridad de la copia, pero la prevención sigue siendo esencial. Por eso la inmutabilidad funciona mejor acompañada de buenas prácticas de acceso y de vigilancia continua, como las que abordamos en otros artículos del blog sobre cómo los sistemas protegen la integridad de los datos. La copia inmutable es el paracaídas; el objetivo es no tener que usarlo, y que funcione si toca.

Qué hay que tener en cuenta al implantarla

La inmutabilidad no es un interruptor mágico. Para que aporte valor real hay que pensar varias cosas:

  • El periodo de retención: debe cubrir el tiempo que un ataque puede pasar inadvertido. Si un atacante lleva semanas dentro, una retención demasiado corta podría no protegerte. Conviene dimensionarla con criterio.
  • Dónde aplicarla: puede ser en almacenamiento local compatible, en repositorios específicos o en la nube. Lo sensato es analizar lo que ya tienes y añadir la capa donde más aporte, sin rehacer todo.
  • Capacidad y coste: guardar copias que no se pueden borrar consume espacio de forma previsible; hay que planificarlo para que la política sea sostenible.
  • La verificación: probar las restauraciones periódicamente. La inmutabilidad garantiza que la copia está; las pruebas garantizan que sirve.

Aquí es donde el acompañamiento profesional marca la diferencia. Configurar mal una retención, dejar un repositorio accesible que se creía aislado o no probar nunca una restauración son errores frecuentes que solo se descubren el peor día. En 3L Systems diseñamos e implantamos estrategias de copias y continuidad adaptadas a cada empresa, integrándolas con la recuperación ante desastres y con el resto de medidas de ciberseguridad.

Preguntas frecuentes

¿Qué diferencia hay entre una copia de seguridad normal y una inmutable?

Una copia normal se puede modificar o borrar mientras existe; una copia inmutable no se puede alterar ni eliminar durante el periodo de retención que fijes, ni siquiera por un administrador o por un atacante con credenciales. Esa propiedad de solo lectura temporal es justo lo que evita que el ransomware destruya tus copias junto con los datos originales.

¿Una copia inmutable me protege al 100 % frente al ransomware?

Ninguna medida ofrece protección absoluta. La inmutabilidad protege la integridad de la copia, pero sigue siendo imprescindible combinarla con prevención, control de accesos, monitorización y un plan de recuperación probado. Es una pieza muy importante, no una bala de plata: su valor real depende de cómo se configure y se verifique.

¿Qué es la regla 3-2-1 y por qué se habla de reforzarla?

La regla 3-2-1 propone mantener 3 copias de los datos, en 2 tipos de soporte distintos y con 1 copia fuera de las instalaciones. La versión reforzada añade que al menos una copia esté aislada o sin conexión y otra sea inmutable, para que un ataque que comprometa la red no pueda alcanzar todas las copias a la vez.

¿Cuánto tiempo deben mantenerse las copias inmutables?

No hay una cifra única: depende de tu actividad, de cuánto tardarías en detectar un incidente y de los requisitos que te apliquen. Conviene fijar un periodo de retención suficiente para cubrir el tiempo que un ataque puede pasar inadvertido, y revisarlo periódicamente. Lo recomendable es definirlo dentro de tu política de copias, con asesoramiento.

¿Tener copias inmutables me obliga a cambiar toda mi infraestructura?

No necesariamente. La inmutabilidad puede aplicarse en almacenamiento local compatible, en repositorios específicos o en la nube, según tu caso. Lo habitual es analizar lo que ya tienes y añadir la capa de inmutabilidad donde aporte más, sin rehacer todo. Lo sensato es valorar tu situación concreta antes de decidir.

¿Tus copias sobrevivirían
a un ataque de ransomware?

Revisamos cómo haces copias hoy y te decimos dónde añadir inmutabilidad y aislamiento para recuperarte sin pagar rescates. Primera consultoría gratuita y sin compromiso.

Habla con un experto Ver más artículos
info@3lsystems.es · Edificio Algón, Burjassot (Valencia)