¿Qué es la inmutabilidad de los datos? Una guía completa

En febrero de 2024, atacantes utilizaron credenciales robadas para acceder a Change Healthcare, una filial de procesamiento de pagos de UnitedHealth Group, a través de un portal de acceso remoto que carecía de autenticación multifactor. 

Durante semanas, las farmacias de todo EE. UU. no pudieron tramitar recetas, y los proveedores sanitarios perdieron el acceso a datos críticos de reclamaciones. A más de 100 millones de estadounidenses se les expusieron sus historiales médicos, la mayor brecha jamás notificada al Departamento de Salud y Servicios Humanos de EE. UU. ^[1] 

Según el testimonio ante el Congreso del director general, la interrupción duró meses porque el ataque había bloqueado los distintos sistemas de copia de seguridad. Esta es una táctica de ransomware mucho más común de lo que mucha gente cree. Las investigaciones muestran que, en el 96% de los ataques, los atacantes se dirigen específicamente a los datos de copia de seguridad para eliminar las opciones de recuperación. ^[2] Cuando lo consiguen, pagar el rescate se convierte en la única salida, y ni siquiera eso garantiza la recuperación. 

La inmutabilidad de datos Backup es la respuesta técnica: una propiedad del almacenamiento que hace que los datos de copia de seguridad no se puedan alterar desde el momento en que se escriben. Esta guía explica qué es, cómo funciona y por qué está cambiando el estándar de protección de copias de seguridad. 

Puntos clave 

• La inmutabilidad de datos significa que los datos almacenados no pueden modificarse ni eliminarse durante un periodo de retención definido; es la base técnica de cualquier plan de recuperación ante ransomware. 
• Las soluciones Backup con «inmutabilidad estándar» suelen tener excepciones y lagunas ocultas que podrían permitir que las copias de seguridad se eliminen, mientras que la Inmutabilidad Absoluta impone Acceso Cero a acciones destructivas, para que tus datos permanezcan seguros. 
• Solo el 58% de las organizaciones utiliza actualmente almacenamiento inmutable en todos sus datos, pese a que el 89% de los líderes de TI afirma que los ataques impulsados por IA les han hecho estar más preocupados por la seguridad de los datos de su organización. ^[3] 

¿Qué es la inmutabilidad de los datos de copia de seguridad? 

La inmutabilidad es una propiedad del almacenamiento que impide que los datos se modifiquen, eliminen o sobrescriban después de escribirse. Una vez que una copia de seguridad queda confirmada bajo controles de inmutabilidad, ningún proceso, usuario ni comando del sistema puede alterarla antes de que expire el periodo de retención. 

Esa propiedad hace que el almacenamiento inmutable sea categóricamente distinto del almacenamiento de copias de seguridad estándar, donde los datos podrían eliminarse, cifrarse o sobrescribirse por cualquiera con acceso suficiente.  

El 94% de los responsables de decisión en TI afirma que las copias de seguridad inmutables son esenciales para una protección ante ransomware integral protección ante ransomware. [2] Sin esa protección, las copias de seguridad tienen la misma vulnerabilidad que los datos de producción que pretenden proteger. 

¿Cómo funciona la inmutabilidad? 

El mecanismo central para los datos de copia de seguridad inmutables es el almacenamiento WORM (Write Once, Read Many). Los datos se escriben una vez y quedan bloqueados. Las lecturas no tienen restricciones; se puede acceder a los datos y restaurarlos en cualquier momento durante la ventana de retención. Las escrituras sobre datos existentes se bloquean en la capa de almacenamiento. 

La inmutabilidad de datos en almacenamiento de objetos se implementa principalmente mediante Bloqueo de objetos de S3. Cuando se escribe un objeto en un bucket compatible con S3 con Object Lock habilitado, una política de retención impide que el objeto se elimine o se sobrescriba hasta que dicha política expire. Bloqueo de objetos de S3 opera en dos modos: 

• Modo de gobernanza: protege frente a modificaciones no intencionadas por parte de usuarios estándar. Un usuario con permisos específicos de anulación aún puede retirar el bloqueo. Esto es adecuado para la gestión operativa de datos, pero no para la protección de copias de seguridad cuando el modelo de amenaza incluye credenciales de administrador comprometidas. 
• Modo de cumplimiento: ningún usuario, independientemente de sus permisos, puede acortar el periodo de retención ni eliminar el objeto antes de que expire. El bloqueo no puede anularse mediante ninguna interfaz de gestión.

Otros mecanismos de inmutabilidad incluyen la verificación por hash, donde se almacena una suma de comprobación criptográfica en el momento de escritura y se verifica en cada lectura, y el versionado, donde cada modificación crea una nueva versión del objeto en lugar de sobrescribirlo, preservando un historial completo de todos los estados. 

Inmutabilidad Absoluta: el estándar moderno 

 La protección WORM en modo de gobernanza depende de credenciales de administrador. Un ciberdelincuente que obtenga esas credenciales hereda la misma capacidad de modificar o desactivar las políticas de retención que un administrador legítimo. 

Inmutabilidad Absoluta es la respuesta a ese escenario específico. Garantiza Acceso Cero a acciones destructivas. Nadie, incluido el administrador con más privilegios o un atacante, puede modificar o eliminar los datos de copia de seguridad. ^[4] La aplicación se sitúa en la capa de almacenamiento, no en una política de software, por lo que no puede deshabilitarse mediante credenciales, cambios de configuración o comandos remotos. 

La protección se aplica en cuatro capas independientes: 

1. Bloqueo de objetos de S3 en modo de cumplimiento: bloquea los objetos a nivel de protocolo de almacenamiento. Ninguna llamada a la API ni permiso de usuario puede acortar el periodo de retención. 
2. Aplicación de almacenamiento con acceso de administrador restringido: las acciones destructivas se eliminan por completo de la interfaz administrativa, no solo se limitan por permisos. 
3. Sistema operativo con acceso root bloqueado: sin SSH, sin inicio de sesión como root, sin acceso por línea de comandos al sistema subyacente. 
4. Restricción del acceso a la BIOS a modificaciones solo físicas: evita la manipulación de los procesos de arranque o de los ajustes de seguridad.  

«A medida que las amenazas de ransomware se vuelven más sofisticadas y costosas, la única vía garantizada de recuperación es mediante copias de seguridad fiables y absolutamente inmutables», afirmó David Bennett, director general de Object First. ^[5] 

La diferencia práctica entre la inmutabilidad estándar y la Inmutabilidad Absoluta se aprecia con mayor claridad cuando se comprometen las credenciales de administrador. La protección en modo de gobernanza falla en ese escenario, mientras que la protección en modo de cumplimiento de S3 con Acceso Cero a acciones destructivas no falla. 

¿Quién necesita inmutabilidad de datos? 

El 89% de los líderes de TI afirma que los ciberataques impulsados por IA les han hecho estar más preocupados por la seguridad de los datos de su organización, y el 73% ha identificado el aumento de la seguridad de las copias de seguridad como su principal defensa. [3] Sin embargo, solo el 58% de las organizaciones utiliza copias de seguridad inmutables en todos sus datos, por lo que la concienciación no siempre se traduce en despliegue.  

Las consecuencias se están sintiendo en todos los sectores, incluidos: 

1. Sanidad. Los ataques de ransomware contra organizaciones sanitarias no solo cifran datos; también interrumpen la atención al paciente. La brecha de Change Healthcare en 2024 dejó a las farmacias sin poder tramitar recetas durante semanas. En virtud de la normativa HIPAA §164.312(c)(1), las entidades cubiertas deben implementar controles para proteger la integridad de los datos. El almacenamiento de copias de seguridad inmutable cumple ese requisito de forma estructural y garantiza que los datos de los pacientes puedan restaurarse sin pagar rescate. 
2. Servicios financieros. La norma SEC 17a-4(f) exige a los intermediarios bursátiles mantener los registros en un formato no reescribible y no borrable. Lo mismo aplica en virtud del reglamento DORA de la UE, que cubre a una amplia gama de organizaciones de servicios financieros. Cualquier modificación de los registros financieros genera tanto exposición regulatoria como responsabilidad legal. El almacenamiento inmutable cumple este requisito en la capa de almacenamiento, no mediante una política de acceso que un administrador podría cambiar accidental o deliberadamente. 
3. Proveedores de servicios gestionados. Los MSP gestionan entornos de copia de seguridad para decenas o cientos de clientes simultáneamente, lo que los convierte en un objetivo de alto valor. Un único entorno de MSP comprometido puede propagarse en cascada a todos los clientes a los que presta servicio. Implementar una solución de almacenamiento backup inmutable garantiza que, incluso si un atacante obtiene acceso a la plataforma de gestión del MSP, no podrá alcanzar los datos de los clientes. 
4. Manufactura. El 65% de las organizaciones manufactureras sufrió ransomware el año pasado, y en el 93% de esos casos se atacó específicamente su infraestructura de copias de seguridad. ^[6] La interrupción de la línea de producción tiene un impacto directo en los ingresos desde la primera hora. Los datos limpios backup inmutable son lo que determina la rapidez con la que pueden restablecerse las operaciones frente al tiempo que permanecen fuera de servicio. 
5. Educación. El 95% de las organizaciones educativas afectadas por ransomware tuvo sus copias de seguridad específicamente atacadas, y el 71% de esos intentos tuvo éxito. ^[9] Los expedientes de estudiantes, los datos de ayuda financiera y los datos de investigación son objetivos de alto valor. Los requisitos de cumplimiento en virtud de FERPA generan exposición adicional si no puede demostrarse que los datos no han sido modificados y son recuperables. 

Los beneficios de la inmutabilidad de los datos de copia de seguridad 

Copia de seguridad Resistente al ransomware y recuperación más rápida 

La única vía de recuperación tras un ataque de ransomware es restaurar los sistemas de producción cifrados desde copias de seguridad. Incluso pagar el rescate no garantiza que se recupere toda la información —o siquiera alguna—. En la mayoría de los casos, los atacantes se dirigen específicamente a la infraestructura de copias de seguridad. Las copias de seguridad mutables estándar pueden cifrarse junto con los datos de producción, dejando nada desde lo que restaurar. 

Con almacenamiento de copia de seguridad a prueba de ransomware, la recuperación comienza desde un estado de datos limpio y verificado. Una investigación de ESG encontró que el 49% de las organizaciones sin copias de seguridad inmutables probadas tardó hasta cinco días laborables en recuperarse de un ataque. ^[2] Las organizaciones con copias de seguridad verificadas, intactas e inmutables miden la recuperación en horas, no en días. La diferencia está en si los datos de copia de seguridad fueron vulnerables durante el ataque. 

Defendibilidad del cumplimiento normativo 

El almacenamiento inmutable satisface directamente los requisitos de integridad de retención en virtud de, entre otras normativas, SEC 17a-4(f), HIPAA §164.312(c)(1), RGPD Artículo 32, NIS2 Artículo 21 y DORA Artículo 12. Cada marco exige almacenamiento no reescribible y con evidencia de manipulación para las categorías de datos cubiertas. El almacenamiento inmutable de S3 en modo de cumplimiento satisface estos requisitos a nivel de arquitectura, no mediante políticas que requieren supervisión continua para confirmar que no se han cambiado. 

Contención de amenazas internas 

El 35% de las brechas de datos involucra a un actor interno. [8] Las amenazas internas van desde el sabotaje deliberado hasta una configuración incorrecta de retención durante el mantenimiento rutinario. Como ningún usuario, incluidos los administradores root, puede alterar los datos bloqueados durante la ventana de retención, la pérdida de datos provocada por insiders se elimina por diseño dentro del periodo protegido. Con la protección de datos inmutables, la protección es estructural, no dependiente de políticas. 

Historial de datos auditable 

Cada escritura en S3 almacenamiento inmutable crea un registro versionado y a prueba de manipulación. La informática forense posterior al incidente es directa: el estado de los datos en cualquier punto de la ventana de retención se conserva y es verificable de forma independiente. Para sectores regulados en los que demostrar la integridad de los datos a auditores o reguladores es un requisito, almacenamiento inmutable aporta esa evidencia sin un sistema de trazabilidad de auditoría independiente. 

Datos mutables vs. inmutables 

La diferencia fundamental entre los datos mutables y almacenamiento inmutable es lo que ocurre después de la escritura inicial. Los datos mutables pueden editarse, eliminarse o sobrescribirse por cualquier usuario o proceso autorizado. Cuando la inmutabilidad se implementa correctamente con Acceso Cero a acciones destructivas, el resultado es la Inmutabilidad Absoluta. Los datos Backup con Inmutabilidad Absoluta no pueden modificarse ni eliminarse, independientemente de los niveles de autorización. 

Los operadores de ransomware con credenciales de administrador pueden eliminar o cifrar copias de seguridad mutables antes de desencadenar el ataque visible sobre los sistemas de producción, eliminando la opción de recuperación antes de que la organización sepa que hay un ataque en curso. 

El mejor almacenamiento para Veeam con Inmutabilidad Absoluta 

Resistente al ransomware con Inmutabilidad Absoluta, Object First almacenamiento de copias de seguridad on-premises para Veeam elimina el riesgo de la recuperación de datos, para que siempre seas Simplemente Resiliente. 

Object First: 

• Aprovecha Almacenamiento de objetos S3: Basado en un estándar abierto, completamente documentado, con inmutabilidad nativa, lo que permite pruebas de penetración independientes y verificación por terceros.   
• Impone Inmutabilidad instantanea: Los datos Backup se vuelven inmutables en el momento en que se escriben: sin brechas, sin zonas de aterrizaje. 
• Se ejecuta en un appliance de almacenamiento de destino: Separa el almacenamiento del software de copias de seguridad, eliminando los riesgos del “hazlo tú mismo” y trasladando la seguridad operativa al proveedor; no se requiere experiencia en seguridad.   

Descarga nuestro libro blanco sobre Inmutabilidad Absoluta y descubre por qué es la defensa definitiva contra el ransomware.  

References 

[1] U.S. Department of Health and Human Services, Office for Civil Rights. "Change Healthcare Cybersecurity Incident." 2024. https://www.hhs.gov/hipaa/for-professionals/special-topics/change-healthcare-cybersecurity-incident/index.html 

[2] Object First. "ESG Research Finds Immutable Backup Storage Following Zero Trust as the Best Defense Against Ransomware." 2025. https://objectfirst.com/newsroom/press-releases/esg-research-finds-immutable-backup-storage-following-zero-trust-as-the-best-defense-against-ransomware/ 

[3] Object First. "Object First Survey: 89% of IT Leaders Fear AI-Powered Cyberattacks Will Cost Them Their Data." 2026. https://objectfirst.com/newsroom/press-releases/object-first-survey-89-percent-of-it-leaders-fear-ai-powered-cyberattacks-will-cost-them-their-data/ 

[4] Object First. "What is Absolute Immutability?" https://objectfirst.com/guides/immutability/absolute-immutability/ 

[5] Object First. "Object First Named Global InfoSec Award Winner by Cyber Defense Magazine at RSAC Conference 2026." 2026. https://objectfirst.com/newsroom/press-releases/object-first-named-global-infosec-award-winner-by-cyber-defense-magazine-at-rsac-conference-2026/ 

[6] Sophos. "The State of Ransomware in Manufacturing and Production 2024." 2024. https://www.sophos.com/en-us/blog/the-state-of-ransomware-in-manufacturing-and-production-2024/ 

[7] Verizon. "2024 Data Breach Investigations Report." 2024. https://www.verizon.com/business/resources/reports/dbir/ 

[8] Sophos. "The State of Ransomware in Education 2024." 2024. https://www.sophos.com/en-us/blog/the-state-of-ransomware-in-education-2024/