Novedad

Backup para IA: estrategias clave

Copia de seguridad de datos
Andrew Simmonds fotoAS
Andrew Simmonds

Content Writer

Geoff Burke fotoGB
Geoff Burke

IT Infrastructure & Data Protection Expert


Introducción 

La IA ha entrado en el centro de datos—y con ella, una nueva clase de datos que exige un nuevo enfoque de protección. Los conjuntos de datos de entrenamiento, los modelos de lenguaje, las bases de datos vectoriales, los registros de experimentos y la automatización impulsada por agentes son ahora activos operativos centrales en muchas organizaciones. Pero con los costes globales del ransomware proyectados para superar los 265.000 millones de dólares para 2031,1 y con la IA siendo utilizada también por los atacantes para automatizar y acelerar múltiples etapas de la cadena de ataque, ¿están las estrategias de copia de seguridad manteniendo el ritmo? 

Esta guía analiza qué hace diferente la copia de seguridad de datos de IA, desde qué debe respaldarse hasta las estrategias que proporcionan verdadera resiliencia frente a amenazas como el ransomware y el envenenamiento de datos. 

Qué hace diferentes a los datos de IA 

Los datos tradicionales de TI—bases de datos, sistemas de archivos, archivos de correo electrónico—son en gran medida estáticos entre transacciones: cambian cuando un usuario actúa sobre ellos. Los datos de IA tienen necesidades de protección específicas que los diferencian en tres aspectos importantes. 

Primero, son acumulativos y caros de recrear. Un modelo de lenguaje entrenado con petabytes de datos depurados, anotados con un coste significativo, representa una inversión en una entidad única que, si se pierde, por lo general debe reconstruirse desde el principio, repitiendo prácticamente el mismo proceso y costes. Los ciclos de entrenamiento que consumen semanas de cómputo en GPU tienen un valor monetario real tanto en coste de infraestructura como en el conocimiento institucional codificado en el modelo resultante. 

Segundo, los datos de IA abarcan múltiples capas que requieren protección. Estas incluyen los propios datos de entrenamiento, los artefactos del modelo y los checkpoints que capturan el progreso del entrenamiento, las bases de datos de Retrieval-Augmented Generation (RAG), los pipelines de Machine Learning Operations (MLOps) que orquestan el flujo de trabajo de entrenamiento y despliegue, y los repositorios de código que definen cómo se ejecutan estos pipelines. 

De forma más amplia, los sistemas de IA actúan de manera autónoma y pueden ejecutar comandos rápidamente. Si ese agente alucina, se ve comprometido u opera a partir de instrucciones erróneas, puede causar daños generalizados en los datos antes de que cualquier persona pueda responder.  Así que, además de considerar la amenaza para los datos de IA, debemos considerar los posibles riesgos que la IA introduce para los datos en otros sistemas dentro de una organización.  

Por qué son esenciales las estrategias de IA Backup 

Los sistemas de IA ya no son infraestructura experimental. Están integrados en productos orientados al cliente, flujos de trabajo internos, detección de fraude, monitorización de cumplimiento normativo y toma de decisiones operativas. Esto significa que cuando un sistema de IA falla, impacta a todas las funciones del negocio que dependen de ese sistema. El fallo también puede acarrear graves consecuencias regulatorias y reputacionales que van mucho más allá del propio incidente. Además, los proyectos de IA representan meses de depuración de datos, anotación, ajuste fino y validación—una inversión que puede quedar inutilizada de la noche a la mañana en un ataque exitoso. La única salvaguarda fiable frente a esa pérdida es una estrategia de copia de seguridad diseñada para igualar la amenaza. 

Por qué los proyectos de IA son objetivos de pérdida de datos y ciberataques 

Los sistemas de IA son objetivos atractivos por dos razones convergentes: novedad y escala. En muchos casos, la infraestructura de IA es más reciente que los marcos de seguridad diseñados para defenderla. Los modelos interactúan con fuentes de datos externas, herramientas y API de formas que introducen superficies de ataque sin precedentes claros en la TI tradicional, y los pipelines de entrenamiento ingieren datos de fuentes que pueden estar comprometidas. 

Al mismo tiempo, los agentes de IA operan de forma continua, ejecutan decisiones de manera autónoma y tienen acceso a sistemas de producción. Un atacante que comprometa un agente de IA dentro de una organización puede obtener acceso a todo lo que ese agente esté autorizado a tocar. Pero un ataque de compromiso de IA no solo desbloquea el acceso del atacante a posibles secretos como lo hace el compromiso de credenciales—también puede apropiarse de la propia IA de una organización para ayudar activamente a extraer, contextualizar o corromper la información más valiosa, o incluso ayudar a ocultar su actividad en nombre de los atacantes. Funciona más rápido y de forma más continua de lo que puede hacerlo un atacante humano de ransomware, y el compromiso puede no quedar registrado ni ser auditable de manera tan completa como un acceso típico mediante credenciales. Los actores de amenazas ya están desplegando IA para llevar a cabo intrusiones: múltiples agentes coordinados pueden escanear entornos, identificar puntos débiles y ejecutar ataques con una dirección humana mínima, adaptándose cuando se bloquean los vectores iniciales. Pero el compromiso silencioso de la propia IA de una organización por parte de atacantes representa una nueva amenaza en el horizonte que combina los peores atributos de los ataques internos con los impactos dañinos asociados a un largo tiempo de permanencia de atacantes externos.    

Por qué los datos de entrenamiento y los modelos de IA son objetivos de alto valor 

Un modelo entrenado no es solo software—es el resultado de un proceso que puede haber consumido meses de tiempo de cómputo, terabytes de datos depurados y una inversión significativa en anotación. A diferencia del código de aplicación, no puede recrearse rápidamente a partir del código fuente. Esto crea palanca para los atacantes: no solo los datos son extremadamente valiosos, sino que cifrar o corromper los datos de entrenamiento de un modelo coloca a una organización en una situación en la que pagar un rescate puede ser más barato que reentrenar. 

Alternativamente, y de forma más perniciosa, un atacante que pueda corromper silenciosamente un modelo durante el entrenamiento puede alterar su comportamiento en el despliegue—desplazando las salidas de maneras dirigidas mientras la organización cree que el sistema sigue funcionando correctamente. Las bases de datos RAG que amplían el conocimiento de un modelo desplegado en tiempo de ejecución son un punto de entrada especialmente accesible: se actualizan con más frecuencia que los modelos base, están conectadas a fuentes de datos en vivo y se consultan dinámicamente, lo que significa que corromper una no requiere acceso a los pesos del modelo—solo acceso a los datos en los que el modelo confía. Aunque este es un ataque mucho más sutil, el impacto a lo largo del tiempo puede ser muy significativo si el modelo desempeña un papel importante en los procesos de decisión de una organización, especialmente si sigue siendo confiable mientras está bajo el control del atacante. 

Por qué los entornos de IA y ML son especialmente vulnerables 

Los entornos de IA a menudo requieren permisos elevados por diseño. Los pipelines de entrenamiento necesitan acceso de lectura a grandes conjuntos de datos, acceso de escritura a checkpoints y derechos de ejecución en toda la infraestructura de cómputo, lo que hace que el principio de mínimo privilegio sea realmente más difícil de aplicar que en un entorno de aplicaciones estándar. 

La superficie de integración también es más amplia: los sistemas de IA se conectan a fuentes de datos externas, registros de modelos, plataformas de seguimiento de experimentos, feature stores y API de herramientas, cada una un posible punto de entrada. Los modelos y conjuntos de datos de código abierto introducen riesgo en la cadena de suministro—un modelo descargado de un registro público puede haber sido manipulado antes de llegar. El daño también se propaga más en entornos de IA: los datos de entrenamiento corruptos afectan a cada modelo entrenado con ellos, a cada despliegue derivado de ese modelo y a cada decisión posterior que ese modelo influye. El alcance de un único punto de corrupción es mucho mayor que en la TI tradicional, y el daño a menudo no es visible hasta que el modelo está en producción. 

Amenazas de ransomware en entornos de IA y ML 

El ransomware sigue siendo la principal amenaza para los datos de IA. Los operadores modernos de ransomware ya no se limitan a cifrar los datos de producción—primero atacan la infraestructura de copias de seguridad, eliminando la vía de recuperación antes de que llegue la exigencia de extorsión. En entornos de entrenamiento de IA en particular, la palanca es significativa: el coste de reentrenar un modelo comprometido significa que, para los modelos fundacionales más grandes, pagar un rescate puede ser más barato que empezar de cero. 

Esa amenaza se ve agravada por un subconjunto creciente de ataques que ahora utilizan la IA como mecanismo de entrega. Los atacantes están empezando a usarla para paralelizar intrusiones iniciales, automatizar el escaneo de vulnerabilidades y ocultar la actividad una vez dentro. La IA agéntica—sistemas compuestos por múltiples agentes coordinados—puede ejecutar de forma autónoma reconocimiento y llevar a cabo intrusiones con una supervisión humana mínima, tomando decisiones contextuales y adaptándose cuando se bloquean los vectores iniciales. El malware polimórfico impulsado por IA reescribe continuamente su propio código para evadir defensas basadas en firmas, y algunas variantes permanecen inactivas dentro de sandboxes de seguridad hasta que alcanzan un sistema en vivo. CrowdStrike ha informado de un aumento del 442% en el phishing de voz entre la primera y la segunda mitad de 2024—un indicador de lo rápido que la IA está amplificando la escala de la ingeniería social junto con la intrusión técnica.

Sin embargo, no todos los incidentes de datos de IA son maliciosos. En julio de 2025, un asistente de IA en Replit malinterpretó una consulta durante una congelación de código y eliminó toda la base de datos de producción—registros de más de 1.200 ejecutivos y 1.200 empresas. Luego intentó ocultar la acción y no pudo recuperar los datos. No había copias de seguridad inmutables, y la pérdida fue permanente.3 Los agentes de IA a los que se les concede acceso administrativo a sistemas de producción o de copias de seguridad pueden causar daños significativos por alucinación o mala interpretación de instrucciones—sin que intervenga ningún atacante, y a una velocidad que ningún operador humano podría igualar. 

El papel de las copias de seguridad inmutables en la protección de datos de IA 

Las copias de seguridad inmutables son copias de datos de escritura única y lectura múltiple (WORM) que no pueden ser modificadas, cifradas ni eliminadas—independientemente de quién o qué lo intente. No dependen de la detección ni de la contención. Garantizan que exista una versión limpia y restaurable de los datos independientemente de cómo se desarrolle un ataque—ya sea un operador de ransomware que haya eliminado la vía de recuperación, una amenaza impulsada por IA que haya evadido todas las herramientas de detección o un agente que haya actuado a partir de instrucciones erróneas. 

En entornos de IA específicamente, donde las amenazas operan a velocidad de máquina y los agentes pueden disponer de credenciales elevadas, el argumento a favor de la inmutabilidad es más urgente que en la TI tradicional. Un entorno de copias de seguridad al que se pueda acceder, modificar o eliminar desde un entorno de entrenamiento comprometido no ofrece ninguna protección. 

Envenenamiento de datos y corrupción silenciosa—el riesgo de IA que se pasa por alto 

El envenenamiento de datos es una forma de ataque adversarial en la que actores maliciosos corrompen intencionalmente los datos de entrenamiento utilizados para construir modelos de aprendizaje automático. Dado que los modelos de IA dependen de la calidad y la precisión de sus datos de entrenamiento, incluso pequeñas manipulaciones pueden alterar significativamente su comportamiento. El objetivo es degradar el rendimiento del modelo, introducir sesgo o crear vulnerabilidades ocultas que puedan explotarse más adelante. 

Los métodos de ataque específicos incluyen: 

  • Inversión de etiquetas: cambiar etiquetas correctas por incorrectas, provocando una clasificación errónea. 

  • Inyección de datos: añadir puntos de datos fabricados o engañosos para orientar el comportamiento del modelo en una dirección específica. 

  • Ataques de puerta trasera: incrustar desencadenantes ocultos que hacen que el modelo se comporte de forma maliciosa solo bajo determinadas condiciones. 

  • Ataques de etiqueta limpia: modificaciones que parecen completamente legítimas, lo que las hace difíciles de detectar con herramientas de validación estándar. 

La investigación ha demostrado que alterar tan solo el 0,1% de los datos de entrenamiento puede provocar una clasificación errónea dirigida en contextos específicos mientras el modelo sigue funcionando con normalidad en todos los demás. El envenenamiento que ocurrió semanas o meses antes de su descubrimiento no puede remediarse sin revertir a un conjunto de datos limpio y reentrenar desde ese punto. 

Cómo ayudan los sistemas inmutables 

Dado que los datos envenenados pueden pasar desapercibidos durante periodos prolongados, la capacidad de revertir a un estado limpio verificado es la única vía de remediación fiable. Las copias de seguridad inmutables de los datos de entrenamiento, tomadas en cada etapa del proceso de entrenamiento, preservan ese estado limpio independientemente de cuándo se descubra el envenenamiento. Las políticas de retención deben extenderse lo suficiente hacia atrás como para anteceder a cualquier corrupción que pueda haber pasado desapercibida—y las versiones retenidas deben ser inmutables en sí mismas, para que las copias históricas no puedan ser eliminadas ni sobrescritas para eliminar evidencias de un ataque. 

Qué debe respaldarse en proyectos de IA 

Los entornos de IA abarcan una gama más amplia de tipos de datos que la infraestructura de TI tradicional. Una estrategia de copias de seguridad completa debe cubrir cada una de las siguientes categorías: 

  • Conjuntos de datos de entrenamiento de modelos de IA (sin procesar y procesados): tanto los datos fuente sin procesar como las versiones depuradas, etiquetadas y procesadas. Los datos sin procesar aportan trazabilidad; los datos procesados contienen el trabajo de anotación. La pérdida de cualquiera de los dos puede exigir meses de rehacer trabajo. Deben realizarse copias de seguridad en cada etapa de procesamiento para permitir la reversión al punto inmediatamente anterior a cualquier envenenamiento o corrupción. 

  • Artefactos del modelo y checkpoints: instantáneas incrementales de los pesos del modelo guardadas durante el entrenamiento, que sirven como puntos de recuperación si el entrenamiento se interrumpe o si es necesario revertir un modelo. Los artefactos finales entrenados —pesos, definiciones de arquitectura y archivos de configuración— también deben respaldarse y protegerse frente a manipulaciones. 

  • Bases de datos RAG y almacenes vectoriales: bases de conocimiento externas conectadas a modelos desplegados, que pueden contener documentación propietaria o conocimiento del dominio codificado como embeddings vectoriales. Las copias de seguridad deben capturar la base de datos a intervalos regulares con suficiente historial de versiones para poder volver a un estado limpio. 

  • Feature stores y metadatos: representaciones de características preprocesadas listas para ML y los registros de linaje de datos, la información de versionado y los logs de transformación que proporcionan la pista de auditoría para cumplimiento y depuración. La pérdida de cualquiera de los dos puede hacer imposible diagnosticar fallos del modelo. 

  • Registros de experimentos y datos de linaje: configuraciones de hiperparámetros, métricas de ejecuciones de entrenamiento, resultados de evaluación y registros de linaje que mapean conjuntos de datos a versiones de modelos. La pérdida de datos de linaje puede hacer imposible determinar si un modelo en producción se entrenó con datos comprometidos. 

  • Pipelines de MLOps y scripts de automatización: el código y la configuración que orquestan el flujo de trabajo de ML. La pérdida de definiciones de pipeline puede hacer imposible reproducir una ejecución de entrenamiento incluso cuando los datos subyacentes están intactos. 

  • Sistemas downstream a los que acceden agentes de IA: cuando los agentes de IA tienen acceso operativo a bases de datos, repositorios de documentos o interfaces de gestión de copias de seguridad, la cobertura de backup debe extenderse a todo lo que esté dentro del perímetro operativo del agente, no solo a la propia infraestructura de IA. 

Backup Estrategias para datos de proyectos de IA 

Aunque los principios estándar de las copias de seguridad empresariales siguen aplicándose a los entornos de IA, lo que está en juego es mayor, los volúmenes de datos son más grandes y la superficie de amenaza es más amplia. Las siguientes estrategias abordan las decisiones organizativas y operativas que recaen en el equipo responsable de la protección de datos de IA. Los requisitos de la propia solución de almacenamiento de copias de seguridad se tratan en la siguiente sección. 

  1. Versionado integral de datos y modelos: cada revisión significativa de un conjunto de datos, checkpoint de modelo y actualización de base de datos RAG debe versionarse y conservarse. En sistemas RAG, esto incluye versionar índices de documentos, modelos de embeddings y configuraciones de chunking. Las políticas de retención de versiones deben retroceder lo suficiente como para anteceder a cualquier envenenamiento de datos que pudiera haber pasado desapercibido durante un periodo prolongado. 
  2. Copias de seguridad incrementales para grandes conjuntos de datos de IA: las copias completas de conjuntos de datos de entrenamiento a escala de petabytes son impracticables con frecuencia. Los enfoques de copia de seguridad incremental capturan solo los datos modificados, reduciendo las ventanas de backup y la sobrecarga de almacenamiento, a la vez que mantienen la granularidad de recuperación. La compresión delta y la deduplicación pueden reducir de forma significativa los requisitos de almacenamiento. 
  3. Seguimiento automatizado del linaje de datos: el seguimiento del linaje, mantenido como parte del flujo de trabajo de MLOps, crea un registro auditable de dónde provienen los datos, qué transformaciones se aplicaron y qué versiones de modelos se entrenaron con ellos, lo que permite identificar exactamente cuándo y dónde se introdujo la corrupción. 
  4. Definición de RPO y RTO para cargas de trabajo de IA: el Objetivo de Punto de Recuperación (RPO) y el Objetivo de Tiempo de Recuperación (RTO) deben definirse específicamente para cargas de trabajo de IA, teniendo en cuenta los costes de reentrenamiento. Una base de datos RAG que da servicio a un sistema en producción puede requerir un RPO mucho más corto que un conjunto de datos de entrenamiento offline. Los objetivos de RTO deben contemplar el tiempo necesario para validar que un modelo restaurado no ha sido corrompido de forma silenciosa antes de devolverlo a producción. 

Elegir una solución Backup para datos de IA y ML 

No todas las soluciones de copias de seguridad se adaptan a las exigencias específicas de los entornos de IA. Las siguientes capacidades son esenciales para cualquier solución evaluada para la protección de cargas de trabajo de IA. 

Inmutabilidad absoluta 

Muchos proveedores afirman ofrecer almacenamiento backup inmutable, pero lo que normalmente proporcionan es inmutabilidad basada en políticas: un ajuste de configuración que aún puede ser cambiado, eludido o deshabilitado por administradores o atacantes con privilegios elevados. 

La Inmutabilidad absoluta es diferente. Significa Acceso Cero a acciones destructivas. Nadie —ni siquiera el administrador con más privilegios o un atacante con acceso al almacenamiento de copias de seguridad— puede modificar o eliminar datos.  

La implementación práctica de la Inmutabilidad absoluta requiere adherirse a tres principios fundamentales:  

  • Almacenamiento de objetos S3: Un estándar abierto, completamente documentado, con inmutabilidad nativa integrada que permite pruebas de penetración y verificación independientes.  

  • Inmutabilidad instantanea: los datos Backup deben ser inmutables en el mismo momento en que se escriben.  

  • Appliance de almacenamiento de destino: un appliance dedicado de almacenamiento de destino segmenta de forma segura el almacenamiento del software de copias de seguridad y elimina los riesgos asociados al almacenamiento de copias de seguridad autogestionado tipo “hazlo tú mismo” durante las operaciones, especialmente durante la configuración, las actualizaciones y el mantenimiento. Requiere poca o ninguna experiencia en seguridad por parte del cliente y traslada toda la responsabilidad al proveedor. 

Las afirmaciones de inmutabilidad no son suficientes: todos los pilares de la Inmutabilidad absoluta deben verificarse de forma independiente mediante pruebas de seguridad de terceros. 

En entornos de IA en particular, la Inmutabilidad absoluta es esencial. Los agentes de IA pueden disponer de credenciales elevadas que les dan acceso a datos sensibles. Si se ven comprometidos, el envenenamiento de datos resultante puede pasar desapercibido durante meses. Una solución que ofrece inmutabilidad de nombre pero no en la práctica fallará precisamente cuando lo que está en juego sea máximo. 

Escalabilidad y rendimiento 

El almacenamiento Backup para cargas de trabajo de IA debe escalar para igualar los volúmenes de datos sin convertirse en un cuello de botella para el backup o la recuperación. El almacenamiento de objetos nativo de S3 proporciona una base arquitectónica con la que las herramientas de IA se integran fácilmente, gestionando ingestas de alto rendimiento durante el backup y una recuperación rápida cuando más importa. A medida que crecen las cargas de trabajo de IA, esa arquitectura escala con el negocio sin requerir una re-arquitectura ni complejidad adicional. 

Arquitectura Zero Trust 

El almacenamiento Backup debe construirse sobre una arquitectura Zero Trust: sin confianza implícita, verificación continua y la suposición de que la brecha ya ha ocurrido. En la práctica, esto significa que la infraestructura de copias de seguridad opera en aislamiento de red, accesible solo a través de interfaces estrictamente controladas e inalcanzable desde los entornos que protege. Un agente de IA comprometido o con comportamiento anómalo no debería tener ninguna vía hacia la infraestructura de copias de seguridad, independientemente del acceso que tenga en otros ámbitos. “Asumir brecha” no es una contingencia: es el principio de diseño. La resiliencia debe incorporarse desde el inicio, no añadirse a posteriori. 

Simplicidad y Seguridad por defecto 

La complejidad en las herramientas de seguridad es, por sí misma, un riesgo. Una solución que requiera una profunda experiencia en Linux, configuración manual continua o conocimientos especializados de seguridad para operar correctamente introducirá inconsistencia y errores con el tiempo. La solución adecuada de almacenamiento de copias de seguridad debe ser segura por defecto desde el momento en que se despliega: lo bastante simple como para que la protección sea automática e inmutable desde el primer día, sin depender de la experiencia de quien la administre en ese momento. La seguridad probada y verificada por terceros aporta la garantía de que la protección se mantiene independientemente de las afirmaciones del propio proveedor. 

¿Por qué Object First? 

Mayores volúmenes de datos, requisitos de retención más largos y una superficie de ataque ampliada que incluye desde modelos hasta pipelines y agentes exigen estrategias que tengan en cuenta cómo se propaga la corrupción, cuánto tiempo puede pasar desapercibida y cuánto puede costar una recuperación, además de un almacenamiento de copias de seguridad que garantice que los datos sean absolutamente inmutables durante todo su ciclo de vida. 

Cuando —no si— el ransomware ataque, el futuro de tu negocio pende de un hilo. En ese momento, la recuperación es lo más importante: volver a estar operativo lo antes posible, sin complejidad innecesaria.   

Hacemos que la resiliencia cibernética sea simple con almacenamiento de copias de seguridad que es absolutamente inmutable y diseñado específicamente para Veeam. Es tu defensa definitiva contra el ransomware.   

Object First está construido sobre las mejores prácticas Zero Trust y ha sido probado y verificado por terceros para ser seguro. Es simple de desplegar y gestionar sin necesidad de experiencia en seguridad, y es lo suficientemente potente como para copias de seguridad ultrarrápidas y una Instant Recovery superpotenciada que escala con tu negocio. 

 

Cuando el almacenamiento de copias de seguridad es así de seguro, simple y potente, tú y tu organización sois Simply Resilient.