Unstoppable mutated viruses: When cloud giants also start relying on AI
A common backup method for small and medium-sized companies is to directly synchronize a large number of project files to the cloud hard disk drives. However, if one day an employee accidentally clicks on a malicious phishing email, ransomware quietly runs in the background, encrypting all files on the computer into meaningless gibberish. Without any blocking mechanism, the synchronization software will faithfully upload these “already encrypted files,” even instantly overwriting the original good backups on the cloud, causing the company’s project core assets to be wiped out in an instant.
To address this dire situation, recently Google Drive Desktop for paid Workspace users introduced a major update: AI anomaly detection and a 25-day rollback mechanism. By monitoring file change patterns on the local device with AI models, if a sudden surge of encrypted characteristics is detected, the system will immediately “hit the brakes” and temporarily pause synchronization, notifying administrators. Combined with the 25-day rollback mechanism, users can restore files. This update reveals an important trend in modern cybersecurity: backup mechanisms are evolving, moving from simple “scheduled backups” to a multi-layered defense structure that integrates real-time detection, offline isolation, and immutable protection.
Root Cause Analysis: Why is backup not equal to being securerestore?
Many IT administrators have a misconception: "I perform regular backups, so I'm not afraid of ransomware."
However, modern ransomware attack methods have evolved into highly targeted Advanced Persistent Threats (APT). They often lurk in the system for weeks or even months before launching an attack, searching everywhere for backup servers to steal Permission. The real root of the problem lies in the "propagation of contamination" and the "passivity of defense." If there is no anomaly detection, malware will infiltrate all backup pools simultaneously. This is like a car without an active collision avoidance system, where you can only rely on airbags to reduce damage after the fact.
Solution Concept: Collaboration between proactive vehicle braking and airbags
A complete modern data protection framework must be built on the collaborative relationship between “AI anomaly detection” and “data backup and recovery”:
| Defense Layer |
Role Positioning |
Key Indicators |
Limitations |
| AI anomaly detection (NDR/EDR) |
Active braking — cut off transmission chain |
MTTD (Mean Time to Detect) |
False Negative, zero-day attack |
| Backup and snapshot restore |
Safety airbag — return to healthy state |
RTO / RPO |
If backup is contaminated, it becomes invalid |
-
AI anomaly detection (determining stop loss point): Through Networking packet analysis (NDR, Network Detection and Response) or storage I/O behavior analysis, AI instantly detects abnormal encryption and massive read/write behaviors, cutting off the transmission chain.
-
Backup and Recovery (Determines whether recovery is possible): No matter how powerful AI becomes, there will always be gaps or zero-day vulnerabilities. Having an independent Permission and a history version that cannot be tampered with is the ultimate guarantee for restoring operations.
How QNAP products solve the issue: From file monitoring to triple-layer vertical deep protection with immutable snapshots
Although large-scale cloud services like Google have begun to introduce AI protection, when facing the complex internal data of large enterprises, relying solely on cloud-based paid backup solutions is not a long-term plan. QNAP directly integrates a similar "proactive detection" concept into the NAS operating system, and combines protection at the Networking layer and storage layer, forming a three-layer in-depth structure that allows enterprises' local data to also receive comprehensive protection.
First layer: storage layer real-time detection — Security Center Anomaly File Activity Monitoring. QNAP NAS is already equipped with functionality similar to Google Drive AI detection. Security Center proactively monitors file activities on NAS, and when it detects abnormal mass file modifications or encryption behaviors, administrators can instantly track the number of abnormal files within a specific time period via the dashboard, and customize security measures (protection / backup / interruption) to respond to ransomware, malicious software, or human error, minimizing data loss risk.
Second layer: Networking layer proactive blocking — QNAP ADRA NDR. In addition to file layer detection, ADRA NDR instantly monitors malicious traffic and lateral movement entering the internal network from the Networking encapsulation layer, providing alerts and blocking connections before ransomware attempts to spread to other unit, cutting off the transmission chain at the source.
Third Layer: Immutable Backup at the Base Layer — ZFS Snapshots and WORM. Compared to cloud hard disk drives, which only provides 25 days of file version rollback, the QNAP QuTS hero operating system based on the ZFS file system offers lightweight block-level snapshots, supports immutable snapshots and WORM (Write Once Read Many) technology. Even if a hacker obtains administrator Permission, they cannot delete or tamper with historical snapshots within the locked period, ensuring that even if the first two layers of defense are breached, the enterprise still retains a clean restore point.
Quantifying benefits and environmental considerations
According to statistics from multiple cybersecurity industry reports in 2025, the average downtime for enterprises after a ransomware attack is about 24 days, while the average recovery cost excluding ransom payments is approximately $1.53 million. The total global losses caused by ransomware are projected to rise to $74 billion by 2026. Notably, organizations with immutable backup strategies can reduce their recovery time by more than 50% compared to traditional methods.
Imagine a medium-sized manufacturing or service enterprise storing its operations data on a ZFS snapshot-supported NAS unit. One day, the company is unfortunately hit by a ransomware attack. After Security Center detects the anomaly, it automatically triggers protection measures. The IT administrator immediately logs into the system and initiates a snapshot restore. Essentially, a ZFS snapshot restore is a “block pointer redirection” operation—the system only needs to redirect the block pointers of the data set to the state at the time the snapshot was taken, rather than copying or re-downloading files one by one. Therefore, regardless of whether the data size is hundreds of gigabyte or dozens of terabyte, the restore operation itself can be completed in a very short time. In contrast, re-downloading terabyte-level data from the cloud could take days. This architectural difference is expected to significantly shorten the enterprise’s RTO (Recovery Time Objective) and greatly reduce operational losses caused by downtime.
Puts security control firmly in your hands
Google Drive's introduction of AI protection is a blessing for individual users, but it also highlights the inseparable link between “detection + restoration.” For enterprises, aside from entrusting enterprise data to a cloud space that is billed per user and limited in capacity, it is even more important to choose an enterprise-grade storage protection solution with autonomous control and deeper architecture, truly building an impregnable digital data fortress.
Virus mutados imparables: Cuando los gigantes de la nube también empiezan a depender de la IA
Un método común de respaldo para pequeñas y medianas empresas es sincronizar directamente una gran cantidad de archivos de proyectos en los discos duros en la nube. Sin embargo, si un día un empleado hace clic accidentalmente en un correo electrónico de phishing malicioso, el ransomware se ejecuta silenciosamente en segundo plano, cifrando todos los archivos del ordenador en galimatías sin sentido. Sin ningún mecanismo de bloqueo, el software de sincronización subirá fielmente estos “archivos ya cifrados”, incluso sobrescribiendo instantáneamente las copias de seguridad originales y buenas en la nube, provocando que los activos centrales del proyecto de la empresa se eliminen en un instante.
Para abordar esta grave situación, recientemente Google Drive Desktop para usuarios de Workspace de pago introdujo una actualización importante: detección de anomalías por IA y un mecanismo de retroceso de 25 días. Al monitorizar los patrones de cambio de archivos en el dispositivo local con modelos de IA, si se detecta un aumento repentino de características cifradas, el sistema “pisará el freno” de inmediato y pausará temporalmente la sincronización, notificando a los administradores. Combinado con el mecanismo de retroceso de 25 días, los usuarios pueden restaurar archivos. Esta actualización revela una tendencia importante en la ciberseguridad moderna: los mecanismos de respaldo están evolucionando, pasando de simples “copias de seguridad programadas” a una estructura de defensa multicapa que integra detección en tiempo real, aislamiento fuera de línea y protección inmutable.
Análisis de la causa raíz: ¿Por qué respaldar no es igual a poder restaurar de forma segura?
Muchos administradores de TI tienen una idea errónea: "Realizo copias de seguridad periódicas, así que no le temo al ransomware".
Sin embargo, los métodos modernos de ataque de ransomware han evolucionado hacia Amenazas Persistentes Avanzadas (APT) altamente dirigidas. A menudo permanecen ocultos en el sistema durante semanas o incluso meses antes de lanzar un ataque, buscando por todas partes servidores de respaldo para robar permisos. La verdadera raíz del problema radica en la “propagación de la contaminación” y la “pasividad de la defensa”. Si no hay detección de anomalías, el malware infiltrará todas las reservas de respaldo simultáneamente. Es como un coche sin sistema de evasión de colisiones activo, donde solo puedes confiar en las bolsas de aire para reducir el daño después del hecho.
Concepto de solución: Colaboración entre el frenado proactivo del vehículo y las bolsas de aire
Un marco completo de protección de datos moderno debe basarse en la relación colaborativa entre “detección de anomalías por IA” y “respaldo y recuperación de datos”:
| Capa de defensa |
Posicionamiento de rol |
Indicadores clave |
Limitaciones |
| Detección de anomalías por IA (NDR/EDR) |
Frenado activo — cortar la cadena de transmisión |
MTTD (Tiempo Medio de Detección) |
Falsos negativos, ataques de día cero |
| Respaldo y restauración de instantáneas |
Bolsa de aire de seguridad — volver a estado saludable |
RTO / RPO |
Si el respaldo está contaminado, se invalida |
-
Detección de anomalías por IA (determina el punto de corte de pérdidas): A través del análisis de paquetes de red (NDR, Network Detection and Response) o análisis de comportamiento de E/S de almacenamiento, la IA detecta instantáneamente cifrados anómalos y comportamientos masivos de lectura/escritura, cortando la cadena de transmisión.
-
Respaldo y recuperación (determina si es posible restaurar): Por muy poderosa que sea la IA, siempre habrá brechas o vulnerabilidades de día cero. Tener permisos independientes y un historial de versiones que no pueda ser manipulado es la garantía definitiva para restaurar operaciones.
Cómo resuelven el problema los productos QNAP: Desde la monitorización de archivos hasta la protección profunda vertical de triple capa con instantáneas inmutables
Aunque los servicios en la nube a gran escala como Google han comenzado a introducir protección por IA, al enfrentar los complejos datos internos de grandes empresas, depender únicamente de soluciones de respaldo en la nube de pago no es un plan a largo plazo. QNAP integra directamente un concepto similar de “detección proactiva” en el sistema operativo NAS y combina la protección en la capa de red y la capa de almacenamiento, formando una estructura de tres capas en profundidad que permite que los datos locales de las empresas también reciban protección integral.
Primera capa: detección en tiempo real en la capa de almacenamiento — Monitorización de actividad de archivos anómalos del Security Center. QNAP NAS ya cuenta con una funcionalidad similar a la detección por IA de Google Drive. Security Center monitoriza proactivamente las actividades de archivos en el NAS y, cuando detecta modificaciones masivas anómalas o comportamientos de cifrado, los administradores pueden rastrear instantáneamente el número de archivos anómalos en un periodo de tiempo específico a través del panel de control y personalizar medidas de seguridad (protección / respaldo / interrupción) para responder a ransomware, software malicioso o errores humanos, minimizando el riesgo de pérdida de datos.
Segunda capa: bloqueo proactivo en la capa de red — QNAP ADRA NDR. Además de la detección en la capa de archivos, ADRA NDR monitoriza instantáneamente el tráfico malicioso y el movimiento lateral que ingresa a la red interna desde la capa de encapsulamiento de red, proporcionando alertas y bloqueando conexiones antes de que el ransomware intente propagarse a otras unidades, cortando la cadena de transmisión en la fuente.
Tercera capa: respaldo inmutable en la capa base — Instantáneas ZFS y WORM. En comparación con los discos duros en la nube, que solo ofrecen 25 días de retroceso de versiones de archivos, el sistema operativo QNAP QuTS hero basado en el sistema de archivos ZFS ofrece instantáneas ligeras a nivel de bloque, soporta instantáneas inmutables y tecnología WORM (Write Once Read Many). Incluso si un hacker obtiene permisos de administrador, no puede eliminar ni manipular instantáneas históricas dentro del periodo bloqueado, asegurando que, incluso si se vulneran las dos primeras capas de defensa, la empresa aún conserve un punto de restauración limpio.
Cuantificación de beneficios y consideraciones ambientales
Según estadísticas de múltiples informes de la industria de ciberseguridad en 2025, el tiempo promedio de inactividad para las empresas después de un ataque de ransomware es de aproximadamente 24 días, mientras que el costo promedio de recuperación, excluyendo el pago del rescate, es de aproximadamente 1,53 millones de dólares. Se prevé que las pérdidas globales totales causadas por ransomware aumenten a 74 mil millones de dólares para 2026. Cabe destacar que las organizaciones con estrategias de respaldo inmutable pueden reducir su tiempo de recuperación en más del 50% en comparación con los métodos tradicionales.
Imagina una empresa manufacturera o de servicios de tamaño medio que almacena sus datos operativos en una unidad NAS con soporte de instantáneas ZFS. Un día, la empresa sufre desafortunadamente un ataque de ransomware. Tras detectar la anomalía, Security Center activa automáticamente las medidas de protección. El administrador de TI inicia sesión inmediatamente en el sistema e inicia una restauración de instantánea. Esencialmente, una restauración de instantánea ZFS es una operación de “redirección de punteros de bloque”: el sistema solo necesita redirigir los punteros de bloque del conjunto de datos al estado en el momento en que se tomó la instantánea, en lugar de copiar o volver a descargar los archivos uno por uno. Por lo tanto, independientemente de si el tamaño de los datos es de cientos de gigabytes o docenas de terabytes, la operación de restauración en sí puede completarse en muy poco tiempo. En cambio, volver a descargar datos de nivel terabyte desde la nube podría llevar días. Se espera que esta diferencia arquitectónica acorte significativamente el RTO (Recovery Time Objective) de la empresa y reduzca en gran medida las pérdidas operativas causadas por el tiempo de inactividad.
Pon el control de la seguridad firmemente en tus manos
La introducción de la protección por IA en Google Drive es una bendición para los usuarios individuales, pero también resalta el vínculo inseparable entre “detección + restauración”. Para las empresas, además de confiar los datos empresariales a un espacio en la nube que se factura por usuario y tiene capacidad limitada, es aún más importante elegir una solución de protección de almacenamiento empresarial con control autónomo y una arquitectura más profunda, construyendo realmente una fortaleza de datos digitales inexpugnable.
6 mins de lectura
