On this day in 2026, we must acknowledge a harsh reality: "backups" are no longer a safe haven for cybersecurity, but have become the primary target for hacker attacks.
With the weaponization of generative AI (GenAI), modern ransomware (Ransomware 3.0) is demonstrating unprecedented tactical intelligence. Although the dwell time in Networking is shorter, its destructive power has multiplied. Hackers no longer just encrypt your production environment; they now prioritize seeking out and deleting backup systems, wiping out snapshots, and even poisoning backup data, leaving enterprises in a desperate situation with no way out.
In the face of such threats, traditional backup strategies have become outdated. This article will delve into the two main pillars of building modern cyber resilience: Immutable Snapshots and Physical/Logical Air-Gapped Backups.
When backup software becomes an attack surface
According to the latest market threat report, over 90% of ransomware attacks attempt to destroy backup repositories. This has driven the storage and cybersecurity market to shift their technical paradigms, moving from the traditional RTO question of “How long will it take us to recover?” to “Are we sure our data still exists?” This is because storage systems are becoming more security-focused—they are no longer just simple data repositories, but have become critical defense points with built-in ransomware detection and prevention mechanisms. On the other hand, requirements related to Networking insurance (Cyber Insurance) have already started to list “immutable backups” as a prerequisite for underwriting or claims settlement.
In the era of AI vs. AI, even if traditional perimeter defenses (Firewall/EDR) block 99% of attacks, the remaining 1% can still be fatal. Therefore, "immutable" backups data are the key advantage for enterprises to refuse to pay ransoms at the negotiation table.
Core Technology One: Immutable Snapshots
What is "immutability"?
Simply put, it means "write once, read many" (WORM - Write Once, Read Many). Once data is written and locked, within the set retention period, no one—including System Management members, Root Permission owners, or even the QES software itself—can modify or delete these data.
In recent years, due to the widespread adoption of Object Lock, Object Lock based on the S3 API has become the standard for cloud and on-premises storage objects. Many modern high-speed storage arrays (All-Flash Arrays) model now integrate this feature directly at the underlying layer, eliminating the need for additional software layers. Furthermore, the information environment has introduced multi-factor authentication (MFA) enforced deletion. Even if a hacker obtains administrator credentials and wants to modify the immutability policy or forcibly delete snapshots, the system will trigger the "Four-eyes principle," requiring multiple people and multiple factors License before approval is granted. This ensures the undeletable characteristic of data.
Technical Core II: Physical and Logical Isolation (Air-Gapped Backups, Airgap Isolation Backup)
Traditional vs. modern Air-Gap are already very different. In the past, we thought of Air-Gap as removing the tape and locking it in a safe deposit box. Although this is effective, the recovery speed (RTO) is too slow and cannot meet modern business requirements. However, it can still serve as an offsite backup node and, in the event of Networking interruption and inability to recover, act as the last line of defense.
Modern "virtual air-gap" refers more to logical isolation and Networking layer blocking, including non-routable Networking (Non-routable Networks). We can store backups in a network segment completely isolated from the production environment, and only during the scheduled backup time will a specific secure channel be opened to transfer data for backup. Once the backup is complete, this specific secure channel is immediately closed, so hackers cannot access this isolated, unreachable golden backup area.
In addition, enterprises will also implement an isolated recovery environment (Cleanroom Recovery), using cloud resources to establish a separate secure clean area. Before restoring the backup data to the production environment, AI scanning and identification are first performed in the secure area to ensure there is no hidden malicious software.
From “Manual Disconnection” to “Intelligent Isolation”: The Evolution of Airgap+ Technology in Practice
After understanding the theory behind air-gapping, the most common practical challenge enterprises face is: “Do IT staff really have to go to the server room every day to plug and unplug Networking cables?” In an era of tight manpower, this is clearly unrealistic. Therefore, a new generation of backup protection technology has introduced the concept of “Active Air-Gap,” such as QNAP’s Airgap+ technology, which automates and smartens this concept.
The core logic of this technology lies in the concept of “Disconnected by default.” Unlike traditional firewalls that rely solely on rule-based software to block traffic, the modern Airgap+ integrates backup software (such as HBS 3) with the control layer of Networkingunit (Router or Switch). Only at the moment when a backup task is initiated will the system send a command to “wake up” the specific Networking interface (Link Up); once data transmission is complete, the Networking interface will be immediately shut down at the physical or logical layer (Link Down).
When setting up HBS backup and selecting remote NAS unit, you can conveniently enable the RTRR server. Scroll down on this page to find the Airgap+ option.
In the image, you can see that we selected a QNAP Switch supporting Airgap+. In this case, we chose the QSW-M3224-24T. You can see that the actual test speed in this case reached 1.02GB per second. The environment between the two devices is connected via 10GbE Networking, which makes the backup synchronization much more efficient.
This design creates a “time window” that is difficult for hackers to cross, because for 99% of the time, the backup server is completely invisible on Networking (Invisible), making it undetectable by scanning tools and unreachable by ransomware software. By using QNAP Router or a supported QNAP switch, you can deploy this upgraded version of Airgap+ with even higher Security isolation.
The protected NAS unit will be marked as protected in HBS 3. Even if you try to connect to this IP address, the system will not succeed, because it is hidden or blocked by Switch or Router.
QNAP NAS unit protected by Airgap+ will not be visible on the internal network. As shown in the two images below, even QNAP's Qfinder Pro cannot find this NAS after the system backup has established the Airgap+ mechanism.
In addition, for environments with high Security requirements, an advanced architecture can even adopt the "Bridge Mode," which means we can add an intermediary bridge unit (Bridge NAS) that is not storagedata between the production environment and the backup vault. The production server can only access the intermediary unit, while the actual backup vault is hidden behind the intermediary unit, forming a "deep defense" that isolates the core backup area. Even if the production environment is completely compromised, attackers still cannot find a digital path to the core of the backup, which significantly enhances the ultimate data Security of the backup domain.
In this environment, the interface of the QNAP switch QSW-M3224-24T immediately displays that the NAS unit TS-855X is connected to ports 17, 19, and 23, all of which are shown as disconnected.
Practical strategy: Upgrade the 3-2-1 backup rule to the 3-2-1-1-0 rule
The previous “3-2-1 rule” (3 copies, 2 types of media, 1 offsite) has proven insufficient in the face of targeted attacks. Many enterprises, when implementing business information and Networking environments, have already begun to promote organizational upgrades to the “3-2-1-1-0 rule.” What is this?
That is, in an information environment, you should have at least:
3 copies of data.
2 different storage media.
1 copy to be stored off-site (Offsite).
1 offline or immutable (Offline / Immutable) copy, which is currently a key focus in the market.
0 errors (automated verification ensures backup is readable and restorable).
Trust is good, but verification and locking are more important
As the global cybersecurity landscape becomes increasingly blurred, identity verification may be stolen and vulnerabilities may be exploited by zero-day attacks (Zero-day). Only Immutable Snapshots and Air-Gap Backups provide the new generation of digital gold vaults, ensuring that in an era of rampant ransomware, enterprise core data remains intact and unharmed.
En este día de 2026, debemos reconocer una dura realidad: las "copias de seguridad" ya no son un refugio seguro para la ciberseguridad, sino que se han convertido en el objetivo principal de los ataques de hackers.
Con la utilización de la IA generativa (GenAI) como arma, el ransomware moderno (Ransomware 3.0) está demostrando una inteligencia táctica sin precedentes. Aunque el tiempo de permanencia en la red es más corto, su poder destructivo se ha multiplicado. Los hackers ya no solo cifran tu entorno de producción; ahora priorizan localizar y eliminar los sistemas de respaldo, borrar instantáneas e incluso contaminar los datos de las copias de seguridad, dejando a las empresas en una situación desesperada y sin salida.
Ante tales amenazas, las estrategias tradicionales de respaldo han quedado obsoletas. Este artículo profundizará en los dos pilares principales para construir una ciberresiliencia moderna: Instantáneas Inmutables y Copias de Seguridad con Aislamiento Físico/Lógico (Air-Gapped).
Cuando el software de respaldo se convierte en una superficie de ataque
Según el último informe de amenazas del mercado, más del 90% de los ataques de ransomware intentan destruir los repositorios de copias de seguridad. Esto ha llevado a los mercados de almacenamiento y ciberseguridad a cambiar sus paradigmas técnicos, pasando de la pregunta tradicional de RTO "¿Cuánto tiempo nos llevará recuperarnos?" a "¿Estamos seguros de que nuestros datos aún existen?" Esto se debe a que los sistemas de almacenamiento se están volviendo más enfocados en la seguridad: ya no son simples repositorios de datos, sino puntos críticos de defensa con mecanismos integrados de detección y prevención de ransomware. Por otro lado, los requisitos relacionados con el seguro de red (Cyber Insurance) ya han comenzado a listar las "copias de seguridad inmutables" como requisito previo para la suscripción o el pago de siniestros.
En la era de IA contra IA, incluso si las defensas perimetrales tradicionales (Firewall/EDR) bloquean el 99% de los ataques, el 1% restante aún puede ser fatal. Por lo tanto, los datos de respaldo "inmutables" son la ventaja clave para que las empresas se nieguen a pagar rescates en la mesa de negociación.
Tecnología central uno: Instantáneas inmutables
¿Qué es la "inmutabilidad"?
En pocas palabras, significa "escribir una vez, leer muchas" (WORM - Write Once, Read Many). Una vez que los datos se escriben y bloquean, dentro del período de retención establecido, nadie—incluidos los miembros de la administración del sistema, propietarios de permisos root o incluso el propio software QES—puede modificar o eliminar estos datos.
En los últimos años, debido a la adopción generalizada de Object Lock, el Object Lock basado en la API S3 se ha convertido en el estándar para objetos de almacenamiento en la nube y en local. Muchos modelos modernos de matrices de almacenamiento de alta velocidad (All-Flash Arrays) ahora integran esta función directamente en la capa subyacente, eliminando la necesidad de capas de software adicionales. Además, el entorno de la información ha introducido la eliminación reforzada por autenticación multifactor (MFA). Incluso si un hacker obtiene credenciales de administrador y quiere modificar la política de inmutabilidad o eliminar instantáneas por la fuerza, el sistema activará el "principio de los cuatro ojos", requiriendo múltiples personas y múltiples factores de licencia antes de que se conceda la aprobación. Esto garantiza la característica de no eliminable de los datos.
Núcleo técnico II: Aislamiento físico y lógico (Copias de seguridad Air-Gapped, Airgap Isolation Backup)
El Air-Gap tradicional y el moderno ya son muy diferentes. Antes, pensábamos en Air-Gap como quitar la cinta y guardarla en una caja fuerte. Aunque esto es efectivo, la velocidad de recuperación (RTO) es demasiado lenta y no puede satisfacer los requisitos empresariales modernos. Sin embargo, aún puede servir como un nodo de respaldo externo y, en caso de interrupción de la red e imposibilidad de recuperación, actuar como la última línea de defensa.
El moderno "air-gap virtual" se refiere más al aislamiento lógico y al bloqueo a nivel de red, incluyendo redes no enrutable (Non-routable Networks). Podemos almacenar copias de seguridad en un segmento de red completamente aislado del entorno de producción, y solo durante el tiempo programado de respaldo se abrirá un canal seguro específico para transferir los datos. Una vez completada la copia de seguridad, este canal seguro se cierra inmediatamente, por lo que los hackers no pueden acceder a esta zona dorada de respaldo aislada e inalcanzable.
Además, las empresas también implementarán un entorno de recuperación aislado (Cleanroom Recovery), utilizando recursos en la nube para establecer un área limpia y segura separada. Antes de restaurar los datos de respaldo al entorno de producción, primero se realiza un escaneo e identificación con IA en el área segura para garantizar que no haya software malicioso oculto.
De la "desconexión manual" al "aislamiento inteligente": la evolución de la tecnología Airgap+ en la práctica
Después de comprender la teoría detrás del air-gapping, el desafío práctico más común que enfrentan las empresas es: "¿El personal de TI realmente tiene que ir todos los días a la sala de servidores a conectar y desconectar cables de red?" En una era de escasez de personal, esto claramente no es realista. Por lo tanto, una nueva generación de tecnología de protección de respaldo ha introducido el concepto de "Active Air-Gap", como la tecnología Airgap+ de QNAP, que automatiza e inteligentiza este concepto.
La lógica central de esta tecnología radica en el concepto de "desconectado por defecto". A diferencia de los firewalls tradicionales que dependen únicamente de reglas de software para bloquear el tráfico, el Airgap+ moderno integra el software de respaldo (como HBS 3) con la capa de control de la unidad de red (Router o Switch). Solo en el momento en que se inicia una tarea de respaldo, el sistema envía un comando para "despertar" la interfaz de red específica (Link Up); una vez que la transmisión de datos termina, la interfaz de red se apaga inmediatamente a nivel físico o lógico (Link Down).
Al configurar la copia de seguridad HBS y seleccionar la unidad NAS remota, puedes activar cómodamente el servidor RTRR. Desplázate hacia abajo en esta página para encontrar la opción Airgap+.
En la imagen, puedes ver que seleccionamos un Switch QNAP compatible con Airgap+. En este caso, elegimos el QSW-M3224-24T. Puedes ver que la velocidad de prueba real en este caso alcanzó 1,02 GB por segundo. El entorno entre los dos dispositivos está conectado mediante red 10GbE, lo que hace que la sincronización de respaldo sea mucho más eficiente.
Este diseño crea una "ventana de tiempo" que es difícil de cruzar para los hackers, porque durante el 99% del tiempo, el servidor de respaldo es completamente invisible en la red (Invisible), lo que lo hace indetectable por herramientas de escaneo e inalcanzable por software de ransomware. Usando un Router QNAP o un switch QNAP compatible, puedes implementar esta versión mejorada de Airgap+ con un aislamiento de seguridad aún mayor.
La unidad NAS protegida aparecerá marcada como protegida en HBS 3. Incluso si intentas conectarte a esta dirección IP, el sistema no lo permitirá, porque está oculta o bloqueada por el Switch o Router.
La unidad NAS de QNAP protegida por Airgap+ no será visible en la red interna. Como se muestra en las dos imágenes siguientes, ni siquiera Qfinder Pro de QNAP puede encontrar este NAS después de que el sistema de respaldo ha establecido el mecanismo Airgap+.
Además, para entornos con altos requisitos de seguridad, una arquitectura avanzada puede incluso adoptar el "Bridge Mode", lo que significa que podemos añadir una unidad puente intermediaria (Bridge NAS) que no almacena datos entre el entorno de producción y el almacén de respaldo. El servidor de producción solo puede acceder a la unidad intermediaria, mientras que el almacén de respaldo real está oculto detrás de la unidad intermediaria, formando una "defensa en profundidad" que aísla el área central de respaldo. Incluso si el entorno de producción se ve completamente comprometido, los atacantes aún no pueden encontrar una ruta digital hacia el núcleo del respaldo, lo que mejora significativamente la seguridad definitiva de los datos en el dominio de respaldo.
En este entorno, la interfaz del switch QNAP QSW-M3224-24T muestra inmediatamente que la unidad NAS TS-855X está conectada a los puertos 17, 19 y 23, todos los cuales aparecen como desconectados.
Estrategia práctica: actualiza la regla de respaldo 3-2-1 a la regla 3-2-1-1-0
La anterior "regla 3-2-1" (3 copias, 2 tipos de medios, 1 fuera del sitio) ha demostrado ser insuficiente ante ataques dirigidos. Muchas empresas, al implementar entornos de información y red, ya han comenzado a promover la actualización organizacional a la "regla 3-2-1-1-0". ¿Qué es esto?
Es decir, en un entorno de información, deberías tener al menos:
3 copias de los datos.
2 medios de almacenamiento diferentes.
1 copia almacenada fuera del sitio (Offsite).
1 copia fuera de línea o inmutable (Offline / Immutable), que actualmente es un enfoque clave en el mercado.
0 errores (la verificación automatizada garantiza que la copia de seguridad sea legible y recuperable).
Confiar está bien, pero verificar y bloquear es más importante
A medida que el panorama global de ciberseguridad se vuelve cada vez más difuso, la verificación de identidad puede ser robada y las vulnerabilidades pueden ser explotadas por ataques de día cero (Zero-day). Solo las instantáneas inmutables y las copias de seguridad Air-Gap proporcionan la nueva generación de bóvedas digitales de oro, asegurando que en una era de ransomware desenfrenado, los datos centrales de la empresa permanezcan intactos y sin daños.
7 min de lectura
