Tener un backup ya no alcanza: el dato que define si una empresa sobrevive a un ciberataque

La ciberresiliencia pone a prueba la capacidad real de las empresas para volver a operar, advierte Javier Castrillón, Territory Sales Manager de Veeam.
Javier Castrillón, Territory Sales Manager de Veeam
Javier Castrillón, Territory Sales Manager de Veeam

La ciberresiliencia se ha convertido en una prueba decisiva para las empresas: no basta con invertir en tecnología, almacenar copias de seguridad o tener un plan de recuperación cuidadosamente escrito. Cuando un ransomware, un error humano o incluso una decisión equivocada de un sistema de inteligencia artificial golpea la operación, la verdadera pregunta es mucho más incómoda: ¿puede la organización recuperar sus datos y volver a funcionar en el tiempo que el negocio necesita?

Ese es uno de los principales desafíos que identifica Javier Castrillón, Territory Sales Manager de Veeam, quien advierte que Colombia ha avanzado en inversión, tecnología y conciencia frente al riesgo digital, pero todavía existe una distancia importante entre sentirse preparado y demostrar que realmente se puede responder ante una crisis.

“Existe una brecha muy importante entre sentirse preparado y demostrar en el día que toca poderse recuperar”, afirma Castrillón.

La diferencia parece sutil, pero puede definir la continuidad de una compañía. Muchas organizaciones cuentan con respaldos y estrategias documentadas, pero nunca han probado si esas copias funcionan bajo presión, cuánto tardarían en restaurar sus sistemas críticos o si los datos disponibles para la recuperación están realmente limpios.

Ciberresiliencia: el respaldo debe probarse antes de la crisis

Durante años, el backup empresarial fue tratado como una tarea silenciosa que ocurría durante la noche. Si el sistema indicaba que la copia se había completado, la organización asumió que estaba protegida. El problema es que guardar información y ser capaz de recuperarla son dos cosas diferentes.

“Yo debo estar probando y testeando todo el tiempo esa estrategia de recuperación que es lo último que me va a salvar en el momento de un desastre”, explica Castrillón.

El ransomware cambió además las reglas del juego. Los ciberdelincuentes entendieron que, si el respaldo es el último recurso de una empresa para evitar el pago de un rescate y reconstruir su operación, entonces ese respaldo también se convierte en un objetivo.

Por eso, Castrillón plantea un cambio de mentalidad: dejar de considerar la copia de seguridad como una rutina técnica y comenzar a tratarla como un activo crítico del negocio.

“El respaldo se vuelve la última línea de defensa”, sostiene.

Esto implica proteger las copias con estrategias de datos inmutables, diseñadas para impedir que un atacante pueda modificarlas o eliminarlas. Sin embargo, la inmutabilidad por sí sola tampoco resuelve todo el problema. Una copia intacta puede contener datos comprometidos o incluso re-introducir una amenaza en un entorno que acaba de ser restaurado.

La recuperación, por tanto, debe ser verificable: los datos tienen que estar disponibles, protegidos y limpios.

En la multinube, más herramientas no significan más resiliencia

La infraestructura empresarial es cada vez más compleja. Una misma organización puede operar simultáneamente con centros de datos propios, nubes públicas, aplicaciones SaaS y diferentes proveedores de servicios cloud.

La reacción habitual ante esa complejidad suele ser sumar herramientas: una para cada nube, otra para determinados servicios y otras para cargas específicas. El resultado puede ser una estrategia fragmentada, difícil de administrar y potencialmente más costosa.

“La estrategia no es sobre herramientas sino sobre políticas y sobre los datos”, señala Castrillón.

La propuesta es comenzar por una pregunta más básica: ¿qué datos tiene la empresa y cuáles son realmente críticos?

A partir de esa clasificación, la organización puede definir dónde debe guardar la información, quién puede acceder a ella, cuánto tiempo puede permanecer una aplicación fuera de servicio y con qué rapidez necesita recuperarla.

No todos los datos requieren volver a estar disponibles en segundos. Algunos procesos pueden tolerar seis horas de interrupción y otros incluso 24 horas. Identificar esas diferencias permite asignar recursos de manera más eficiente y construir una política de protección de datos basada en el valor real de la información.

El punto de partida, entonces, no debería ser comprar otra herramienta. Primero hay que entender el dato.

La protección de los datos se convirtió en un factor clave para garantizar la continuidad de las empresas ante ciberataques, errores humanos y nuevos riesgos asociados a la inteligencia artificial.
La protección de los datos se convirtió en un factor clave para garantizar la continuidad de las empresas ante ciberataques, errores humanos y nuevos riesgos asociados a la inteligencia artificial.

La inteligencia artificial también puede acelerar el riesgo

La carrera empresarial por adoptar inteligencia artificial está añadiendo una nueva dimensión al problema. Las compañías quieren automatizar procesos, desplegar agentes, analizar grandes volúmenes de información y tomar decisiones con mayor velocidad. Pero ningún modelo de IA puede escapar de una realidad básica: depende de los datos que recibe.

“Si yo alimento mi modelo con basura, ¿qué me va a resultar? Basura”, resume Castrillón.

El desafío ya no consiste únicamente en evitar que un atacante robe información. Si los datos están mal clasificados, carecen de trazabilidad o no existe claridad sobre quién los creó y modificó, pueden alimentar sistemas capaces de tomar decisiones incorrectas a escala y a gran velocidad.

Aquí el gobierno del dato deja de ser un asunto exclusivamente técnico para convertirse en una condición para escalar la inteligencia artificial de manera responsable.

Una organización necesita saber de dónde proviene la información, quién tiene acceso, qué modelo la está utilizando y qué nuevos datos genera ese sistema. La velocidad de la IA puede convertirse en una ventaja competitiva, pero también puede multiplicar errores y riesgos.

“Los riesgos de construir IA es acelerar el riesgo. Hoy en día el riesgo se acelera porque pues todo va a velocidad de IA”, advierte Castrillón.

La conclusión es clara: antes de escalar la inteligencia artificial, las empresas necesitan fortalecer los cimientos sobre los que esta tecnología opera.

Shadow AI: prohibir puede llevar el problema a la clandestinidad

Otro fenómeno está creciendo dentro de las organizaciones: el Shadow AI, es decir, el uso de herramientas de inteligencia artificial no aprobadas por la empresa.

Un empleado recibe un documento legal que debe analizar rápidamente, necesita resumir un informe financiero o procesar información y decide utilizar una plataforma pública de IA para ahorrar tiempo. En muchos casos no existe una intención maliciosa. La persona simplemente intenta ser más productiva.

“El Shadow IA es utilizar esas herramientas de inteligencia artificial no aprobadas por la organización. Aparece por una buena razón y es entender que la gente lo hace porque quiere trabajar mejor o lo quiere hacer más rápido”, explica Castrillón.

El riesgo aparece cuando documentos confidenciales, datos personales, información de clientes o propiedad intelectual terminan en plataformas externas sin que la organización tenga visibilidad sobre su tratamiento.

Pero prohibir toda herramienta de IA tampoco parece una solución sostenible.

“Entonces la respuesta es dar un carril seguro, ofrecer alternativas aprobadas y funcionales”, sostiene.

Para las empresas, el desafío consiste en combinar productividad y control. Eso significa proporcionar herramientas adecuadas, establecer políticas claras y ampliar el concepto tradicional de acceso a los datos. Ya no solo importa saber qué personas pueden consultar determinada información; también será necesario definir qué agentes de IA pueden acceder a ella, qué pueden hacer y qué nuevos datos están autorizados a generar.

Tres prioridades para una empresa que quiera estar preparada

De acuerdo con Castrillón, una estrategia de ciberresiliencia debería concentrarse en tres frentes.

El primero es demostrar la capacidad real de recuperación mediante ejercicios periódicos, restauraciones completas y medición de tiempos. El segundo es blindar la última línea de defensa con copias protegidas, limpias e inmutables. En este punto, Veeam plantea la estrategia 3-2-1: mantener tres copias de los datos, almacenadas en dos medios diferentes y una de ellas fuera de la organización.

El tercer frente es fortalecer la visibilidad y el gobierno de la información: saber dónde están los datos, cómo están clasificados, quién puede modificarlos y qué ocurrió con ellos ante un incidente.

El error que las organizaciones ya no deberían permitir es confundir inversión tecnológica con resiliencia.

“La resiliencia se demuestra cuando podemos recuperarnos en tiempo y forma”, enfatiza Castrillón.

Esta visión también abre oportunidades para los canales tecnológicos y partners, cuyo conocimiento de cada cliente y de las particularidades de las diferentes industrias puede ayudar a convertir las estrategias globales en soluciones ajustadas a necesidades concretas.

Recuperar los datos es, en realidad, recuperar el negocio

La conversación sobre ciberseguridad está cambiando. El objetivo final ya no puede limitarse a bloquear todos los ataques, porque ninguna organización puede garantizar un entorno libre de incidentes. La pregunta estratégica es qué ocurrirá cuando una amenaza logre atravesar las defensas, cuando alguien elimine información por error o cuando un sistema automatizado tome una decisión equivocada.

En ese escenario, la verdadera medida de la resiliencia no está en el número de herramientas instaladas, sino en la capacidad de mantener o recuperar la operación.

Las empresas que entiendan dónde viven sus datos, quién puede utilizarlos, cómo protegerlos y cuánto tardarían en recuperarlos estarán mejor preparadas no solo para enfrentar un ransomware, sino también para aprovechar tecnologías como la inteligencia artificial con mayor velocidad y confianza.

Porque en una economía cada vez más dependiente de los datos, tener una copia no significa estar preparado. La ciberresiliencia comienza cuando una empresa puede demostrar, antes de la crisis, que será capaz de volver a operar después de ella.

Preguntas frecuentes

¿Qué es la ciberresiliencia?
Es la capacidad de una organización para mantener o recuperar su operación después de un incidente tecnológico, un ciberataque o una pérdida de datos.

¿Por qué un backup no garantiza la recuperación de una empresa?
Porque una copia puede estar comprometida, contener información infectada o no haber sido probada para determinar cuánto tiempo requiere su restauración.

¿Qué es el Shadow AI?
Es el uso de herramientas de inteligencia artificial no aprobadas por una organización, muchas veces por empleados que buscan trabajar de manera más rápida o productiva.

Publicaciones Relacionadas

Scroll to Top