Las copias de seguridad han sido durante años el último recurso cuando todo falla. Sin embargo, en la era del ransomware y del malware polimórfico, también se han convertido en un refugio silencioso: amenazas que no fueron detectadas a tiempo pueden permanecer ocultas en datos históricos y reaparecer justo en el momento en que una organización intenta restaurar sistemas críticos. Esa es la “zona ciega” que Cohesity busca cerrar con su última actualización.
El 5 de febrero de 2026, Cohesity anunció una significativa ampliación de sus capacidades de protección dentro de Cohesity Data Cloud, incorporando información contextual de Google Threat Intelligence y añadiendo Análisis en Sandbox apoyado en Google Private Scanning. El objetivo declarado es que los equipos puedan identificar, analizar y erradicar malware antes de restaurar, evitando reinfecciones y mitigando el riesgo de volver a introducir archivos maliciosos en producción en el momento más crítico: la recuperación.
¿Por qué las copias de seguridad se han convertido en un problema de seguridad (además de una solución)?
El cambio de paradigma es profundo.Tradicionalmente, la seguridad de los backups se sustentaba en escaneos “posteriores”, herramientas externas, firmas estáticas y procesos manuales. Sin embargo, según Cohesity, ese enfoque resulta insuficiente cuando el atacante actúa a largo plazo: campañas “low-and-slow”, intrusiones persistentes, compromisos en la cadena de suministro y malware que muta lo suficiente para evadir firmas convencionales.
En la práctica, el riesgo es doble. Por un lado, un archivo infectado restaurado desde una copia histórica puede volver a infectar sistemas ya saneados. Por otro, el backup puede contener evidencias valiosas de una intrusión prolongada que pasó desapercibida en su momento. La propuesta de Cohesity es que esas evidencias no deberían estar “fuera de radar” para los equipos de seguridad durante un incidente.
Inteligencia de amenazas integrada en la consola: contexto sin cambiar de herramientas
La primera novedad es la integración de Google Threat Intelligence en la interfaz de Cohesity Data Cloud. El mensaje es claro: menos transferencias, menos pantallas, más contexto en el mismo lugar donde se toman decisiones de recuperación.
Según explica la compañía, las capacidades incorporadas permiten consultar Indicadores de Compromiso (IOCs), datos reputacionales y detalles de amenazas sin cambiar de plataforma. Además, Cohesity destaca que estos análisis incluyen aprendizajes de Mandiant, la unidad de respuesta e inteligencia de incidentes integrada en el ecosistema de Google, lo que aporta “contexto investigativo” a los hallazgos.
En palabras del director de productos de Cohesity, Vasu Murthy, el problema esencial es que el malware oculto en backups no solo puede reinfectar: también puede revelar ataques “que evaden la detección tradicional” si se analizan con las herramientas apropiadas en el momento oportuno.
El diferencial: activar archivos sospechosos en un sandbox privado antes de restaurar
La segunda innovación —y quizás la más impactante— es el Análisis Seguro en Sandbox habilitado por Google Private Scanning. La idea: cuando un archivo es sospechoso, el equipo puede ejecutar una copia en un entorno aislado y observar su comportamiento sin poner en riesgo la infraestructura de producción ni el entorno de recuperación.
Cohesity señala que este enfoque permite obtener un análisis conductual detallado: cambios en sistema, actividad de red, modificaciones en el registro y otros indicadores de comportamiento del payload. La promesa es ofrecer a los responsables de recuperación una base sólida para decidir si restauran, bloquean o aíslan un conjunto de datos. Además, se destaca que todo esto se realiza con un énfasis repetido en la privacidad y soberanía de los datos, ya que el análisis se efectúa en un esquema de escaneo “privado”.
El aspecto operativo importante es que Cohesity sitúa esta funcionalidad en la capa de ciberresiliencia, en lugar de como un servicio aparte exclusivo para el SOC. En otras palabras, acerca “herramientas de primera línea”, habituales en respuesta a incidentes, al lugar donde se decide si un negocio puede restaurar sus sistemas… o si debe hacerlo con un riesgo latente.
Beneficios prometidos: mayor velocidad, mejor coordinación y resiliencia “sin añadir complejidad”
El comunicado resume el impacto en cuatro aspectos fundamentales: identificación y remediación más rápidas; insights accionables gracias al análisis en sandbox; colaboración mejorada entre los equipos de IT y seguridad con una vista compartida de inteligencia; y una ciberresiliencia reforzada al disminuir el riesgo de restauraciones contaminadas.
Más allá de la lista, el mensaje subyacente en incidentes graves siempre es el mismo: el tiempo de recuperación no solo se mide en RTO y RPO, sino también en confianza. Restaurar rápido no sirve de mucho si se hace mal.
Desde Google Cloud, Miton Adhikari (el responsable de alianzas OEM en seguridad) enfatiza precisamente ese punto ciego: los atacantes esconden cargas maliciosas en lugares donde las herramientas tradicionales no miran, incluidos los backups. La integración busca que las organizaciones “detecten lo que otros no ven” y puedan recuperarse de manera más rápida y segura.
FortKnox y la lógica del “cyber vault”: una copia aislada para el peor día
Estas mejoras encajan en una hoja de ruta más amplia entre Cohesity y Google Cloud. Cohesity recuerda que su colaboración con Google se amplió a mediados de diciembre pasado, abarcando iniciativas de resiliencia y disponibilidad en Google Cloud.
En ese marco aparece Cohesity FortKnox, descrito como una solución de “cyber vault” gestionada que mantiene una copia aislada (air-gapped) de los datos críticos para garantizar recuperaciones limpias incluso si el atacante compromete sistemas primarios y backups tradicionales. Cohesity indica que FortKnox está disponible en Google Cloud, alineándose con escenarios donde el aislamiento y la inmutabilidad son los últimos cortafuegos cuando todo lo demás ha fallado.
Disponibilidad: ya en producción y también en Marketplace
Cohesity asegura que tanto la integración de Google Threat Intelligence como el análisis en sandbox están disponibles en general en Cohesity Data Cloud. Además, la oferta puede encontrarse en el Google Cloud Marketplace, facilitando su adopción para organizaciones que ya gestionan cargas y resiliencia en ese entorno.
Preguntas frecuentes
¿Por qué puede haber malware oculto en copias de seguridad históricas, incluso cuando el sistema está limpio?
Porque los backups almacenan “instantáneas” del pasado. Si la infección existía en el momento en que se tomó la copia, puede permanecer almacenada y reaparecer al restaurarla, especialmente en ataques persistentes y “low-and-slow”.
¿Qué aporta un sandbox privado para analizar malware antes de restaurar una copia?
Permite activar una copia sospechosa en un entorno aislado y observar su comportamiento —actividad en red, cambios en el sistema, etc.— antes de reintroducirla en producción, aumentando la confianza en la recuperación.
¿Cómo ayuda Google Threat Intelligence (incluyendo Mandiant) en Cohesity Data Cloud?
Proporciona contexto e inteligencia de amenazas en la misma consola: IOCs, datos reputacionales y detalles de investigaciones que aceleran la toma de decisiones entre los equipos de TI y seguridad, sin depender de flujos manuales.
¿Qué es un “cyber vault” air-gapped como FortKnox y cuándo tiene sentido?
Es una bóveda de datos aislada que mantiene una copia inmutable y separada de sistemas comprometidos. Se usa para garantizar recuperaciones limpias en escenarios extremos, como ataques de ransomware que afectan tanto a los sistemas primarios como a las copias tradicionales.
vía: cohesity