Sí: el backup es uno de los primeros objetivos
Los grupos de ransomware saben que los backups son la principal alternativa al pago. Por eso, los ransomware modernos están diseñados específicamente para alcanzar y cifrar los backups antes o durante el cifrado de los datos principales.
Cómo el ransomware afecta los diferentes tipos de backup
Backups en unidades de red mapeadas (letras de unidad)
Si el backup está en una carpeta mapeada como unidad de red (por ejemplo, Z:\backup), el ransomware la ve como cualquier otra unidad y cifra su contenido. Esta es la situación más frecuente y la más vulnerable.
Backups en NAS accesibles desde la red local
Si el NAS tiene permisos de escritura desde los equipos de la red, el ransomware puede alcanzar los archivos del NAS y cifrarlos. Algunos NAS con protección Snapshots pueden recuperarse si los snapshots sobrevivieron al ataque.
Backups sincronizados en la nube (OneDrive Sync, Google Drive for Desktop)
Los clientes de sincronización detectan que los archivos “cambiaron” (fueron cifrados) y sincronizan la versión cifrada a la nube. En minutos, el backup en la nube queda cifrado también.
Shadow copies de Windows
Los ransomware modernos eliminan activamente las Volume Shadow Copies usando comandos de administración (vssadmin delete shadows). Esta es una de las primeras acciones que ejecutan. En muchos ataques recientes, las shadow copies ya no son una opción.
Qué backups generalmente SÍ sobreviven
Backup offsite sin conexión activa al momento del ataque
Un disco externo desconectado, una cinta física no montada en el servidor, un backup en nube sin cliente de sincronización corriendo: cualquier copia que no estaba accesible desde el equipo infectado sobrevive el ataque.
Cloud con versiones anteriores habilitadas y retención suficiente
Si el historial de versiones del servicio cloud está habilitado y el ransomware no tuvo acceso a la consola de administración de la plataforma, puede ser posible restaurar versiones anteriores al cifrado —siempre que se actúe antes de que expiren.
Regla 3-2-1 con la copia verdaderamente aislada
La única garantía real es tener una copia que no esté reachable desde ningún sistema comprometido. La regla 3-2-1 solo protege si la tercera copia (offsite) está genuinamente aislada.
Cómo verificar si el backup está cifrado
Intentar abrir un archivo de backup en otro sistema limpio. Si el archivo tiene una extensión rara o no abre con la aplicación correcta, está cifrado. Los archivos de backup de Veeam, Acronis o Backup Exec tendrán extensiones modificadas si el ransomware los alcanzó.
