NetApp y Elastio han anunciado una alianza para integrar capacidades de verificación continua de recuperación dentro del servicio NetApp Ransomware Resilience Service, con el objetivo de reforzar la protección contra el ransomware desde el almacenamiento de producción hasta los datos de recuperación. El movimiento se apoya en una idea que gana peso en los equipos de seguridad: la ciberresiliencia no se sostiene solo con controles perimetrales, porque el ransomware más avanzado puede permanecer en producción sin levantar alertas y, con el tiempo, contaminar snapshots y copias de seguridad.
El anuncio sitúa el foco en una zona que a menudo queda en segundo plano cuando se habla de ciberseguridad: la capa de almacenamiento. NetApp, con ONTAP como base tecnológica, y Elastio, especializada en inspección profunda orientada a “recuperación demostrable”, plantean una defensa en profundidad que no se limita a detectar actividad sospechosa, sino que intenta responder a una pregunta operativa que en un incidente deja de ser abstracta: qué punto de recuperación es realmente utilizable.
El problema que describen no es nuevo, pero sí más incómodo de lo que suele reconocerse. El ransomware avanzado está diseñado para evadir herramientas de prevención, moverse de forma sigilosa en producción, mantenerse por debajo de umbrales de detección y alcanzar los datos de respaldo antes de que se active cualquier alerta. En ese escenario, el riesgo no es únicamente la indisponibilidad del entorno productivo, sino la degradación silenciosa de la “salida de emergencia”: snapshots y backups que, en teoría, deberían permitir volver atrás.
La integración anunciada incorpora el control de recuperación verificable de Elastio (Provable Recovery Control) dentro del servicio NetApp Ransomware Resilience Service bajo la denominación “Powered by Elastio”. El elemento técnico central es la inspección profunda de archivos (Deep File Inspection) aplicada a snapshots en ONTAP. En la práctica, la propuesta conjunta combina capacidades de detección y contención en la capa de datos con un mecanismo de verificación continua de que los puntos de recuperación se mantienen limpios.
NetApp describe su NetApp Ransomware Resilience Service como un servicio que detecta y contiene ransomware en tiempo real en la capa de datos, realiza snapshots inmutables, guía la recuperación y evalúa de forma continua la postura frente al ransomware en ONTAP. Dentro de ese paquete se incluye Autonomous Ransomware Protection (ARP), un enfoque de detección basada en comportamiento. Aunque el comunicado no entra en métricas, umbrales o tasas de falsos positivos, sí deja claro el encaje: ARP y las funciones de resiliencia del servicio actúan sobre el entorno de producción y su protección inmediata, mientras que Elastio se orienta a inspeccionar el material de recuperación para reducir la probabilidad de restaurar datos ya comprometidos.
Elastio, por su parte, posiciona Provable Recovery Control como una capa capaz de detectar ransomware de día cero, malware en fases iniciales y corrupción sigilosa que ha evadido controles perimetrales. El detalle operativo relevante es que no requiere agentes, y que su inspección se realiza sobre snapshots de ONTAP, lo que evita depender de despliegues en cada sistema protegido. En entornos grandes, donde la gestión de agentes puede convertirse en un proyecto en sí mismo, esa característica suele ser un factor de adopción, aunque también desplaza el peso hacia la integración con la plataforma de almacenamiento.
El mensaje de fondo es que la continuidad operativa no debería descansar en una única barrera. Gagan Gulati, vicepresidente senior y director general de Data Services en NetApp, lo formula en términos de gobernanza de la estrategia: “El almacenamiento debe formar parte de la conversación al definir una estrategia integral de ciberseguridad”. En su lectura, proteger los datos “donde residen” convierte el almacenamiento en una prioridad frente a amenazas como el ransomware, pero la resiliencia empresarial es demasiado crítica como para depender de una sola capa de defensa. La alianza con Elastio se presenta, así, como una ampliación del perímetro de control hacia el momento de la recuperación.
Ese énfasis en la recuperación tiene un componente práctico que suele aparecer tarde, cuando el incidente ya está en marcha. Naj Husain, CEO de Elastio, apunta a una situación recurrente: “La mayoría de las organizaciones descubren que sus datos de recuperación están comprometidos en el peor momento posible: durante un incidente activo”. La frase resume una tensión habitual en los planes de continuidad: se invierte en copias, replicación y retención, pero la verificación de que esas copias son restaurables y están limpias se trata como una tarea puntual, no como un proceso continuo. La propuesta conjunta intenta convertir esa verificación en una señal permanente, no en una comprobación esporádica.
Marc Crudgington, vicepresidente de Infraestructura TI y CISO de Crane WW Logistics, afirma que, durante una migración de infraestructura, “garantizar el nivel adecuado de seguridad y fiabilidad de las copias de seguridad era innegociable” y que Elastio proporcionó “inspección continua” de los backups desde el primer día. Más allá del testimonio, el punto relevante es el momento: migraciones, consolidaciones o cambios de plataforma suelen aumentar la superficie de riesgo, porque se reconfiguran flujos de datos, políticas de retención y procedimientos de recuperación. En ese contexto, la inspección de los datos de recuperación deja de ser un control “de auditoría” y pasa a ser un requisito operativo.
Desde el punto de vista arquitectónico, la alianza se apoya en dos conceptos que conviene aterrizar. El primero son los snapshots inmutables, que, según el comunicado, forman parte del servicio de NetApp. La inmutabilidad, en este contexto, se refiere a la capacidad de impedir modificaciones o borrados durante un periodo definido, lo que busca dificultar que un atacante elimine o altere los puntos de recuperación. El segundo es la inspección profunda de archivos en snapshots: en lugar de asumir que una copia es válida por existir, se analiza su contenido para detectar señales de ransomware o malware que podrían haber quedado “congeladas” dentro de esos puntos.
Sin embargo, la integración también plantea preguntas que el anuncio deja abiertas. La primera es el alcance exacto de la inspección y su impacto en operaciones: qué cadencia de análisis se aplica, cómo se priorizan volúmenes o conjuntos de datos, y qué ocurre cuando se detecta una anomalía en un snapshot que, por políticas de retención, no puede modificarse. La segunda es el gobierno de la respuesta: si el sistema identifica el “último punto limpio conocido”, cómo se integra esa información en los procedimientos de recuperación y en la toma de decisiones durante un incidente, especialmente cuando hay presión por restaurar rápido.
Las compañías subrayan que la integración se realiza “sin necesidad de adquisiciones adicionales ni cambios en la arquitectura”. Es una formulación habitual en anuncios de alianzas, aunque en la práctica el esfuerzo suele desplazarse a la configuración, la definición de políticas y la integración con los procesos de seguridad existentes. En organizaciones grandes, el reto no suele ser solo técnico, sino de coordinación entre equipos de infraestructura, seguridad y continuidad de negocio, que a menudo operan con prioridades distintas.
En cuanto a disponibilidad, NetApp y Elastio prevén que el servicio NetApp Ransomware Resilience Service impulsado por Elastio esté disponible “próximamente”, comenzando con Amazon FSx for NetApp ONTAP y, después, en otros entornos ONTAP. Amazon FSx for NetApp ONTAP se describe como un servicio cloud totalmente gestionado que ofrece almacenamiento de archivos basado en ONTAP, con escalabilidad y funcionalidades empresariales. El orden de despliegue es significativo: empezar por un servicio gestionado en la nube puede facilitar la estandarización y acelerar la adopción, aunque también implica que, al menos en la primera fase, el alcance se concentra en quienes ya operan o planean operar ONTAP en AWS.
El anuncio se inserta en una tendencia más amplia dentro de la seguridad: desplazar parte del control hacia el dato y su infraestructura, no solo hacia el endpoint o la red. Aun así, el valor de este tipo de integraciones se termina midiendo en un terreno menos visible que el de la detección: la calidad de la recuperación bajo presión, cuando hay que decidir rápido qué restaurar, desde dónde y con qué garantías. La incógnita, a partir de aquí, es cómo evolucionará la cobertura hacia otros entornos ONTAP y qué nivel de automatización y señalización operativa ofrecerá la solución conjunta cuando el incidente ya no sea un supuesto, sino una interrupción real del negocio.
