Durante años, el backup ha sido casi el gran olvidado de la infraestructura tecnológica: todo el mundo sabía que era necesario, pero se veía como algo secundario, pensado sólo para el “por si acaso” cuando ocurre un desastre. Hoy ese enfoque ya no se sostiene; con el auge del ransomware, la profesionalización de los ataques y unas normas cada vez más exigentes, las copias de seguridad se han convertido en una pieza central de la ciberresiliencia de cualquier empresa.
Partiendo de esta realidad, Object First, la compañía fundada por los creadores de Veeam, se propone algo sencillo de decir pero complejo de ejecutar: replantear a fondo el papel del repositorio de backup. “El backup ha dejado de ser un sistema pasivo para convertirse en un objetivo crítico”, resume Sandra Chíchina, Territory and Partner Manager Iberia en Object First, en una conversación con Ciberseguridad TIC en la que desgrana cómo la inmutabilidad real, un diseño pensado de origen para resistir ransomware y la simplicidad operativa se han vuelto claves para asegurar la continuidad del negocio.
El backup deja de ser pasivo para convertirse en una infraestructura crítica frente al ransomware
De la herencia de Veeam a una nueva lectura del backup
El origen de Object First está directamente ligado a la trayectoria de sus fundadores. Tras la venta de Veeam a un fondo de inversión, decidieron volver a emprender con una idea muy clara: resolver uno de los grandes puntos débiles que habían detectado en el mercado. “Viniendo del mundo de Veeam, vimos que la protección del dato funcionaba muy bien, pero cuando se llegaba al repositorio de backup empezaba el caos”, explica Chíchina.
En base a este análisis se estableció un objetivo ambicioso: construir “el mejor almacenamiento posible para Veeam”, pero con una aproximación distinta a la de los repositorios tradicionales. “Mucha gente se sorprende cuando decimos que no somos una empresa de hardware, sino una empresa de seguridad”, subraya la responsable de Object First en Iberia. A su juicio, muchos sistemas actuales son tecnologías legacy que han intentado adaptarse a posteriori a un entorno de amenazas mucho más agresivo. Object First, en cambio, nace directamente “como una solución por defecto a prueba de ransomware”, alineada con las mejores prácticas de seguridad y con los requisitos normativos.
Ootbi: un repositorio diseñado como un búnker
El producto estrella de la compañía es Ootbi, un appliance de almacenamiento de objetos creado específicamente para entornos Veeam. Su principal elemento diferencial está en un planteamiento poco habitual en este tipo de soluciones: la ausencia total de acceso privilegiado. “Nosotros no tenemos acceso al root. Nuestro appliance es una caja negra. Nadie puede entrar dentro”, afirma Chíchina.
Este enfoque tiene consecuencias directas en escenarios de ataque. Incluso si un atacante consigue credenciales de administrador en el entorno de backup, “no podrá ni eliminar ni tocar nada”. Según la directiva, este diseño elimina uno de los vectores más habituales del ransomware: la escalada de privilegios para destruir las copias de seguridad. “Eso es lo que nos hace realmente diferentes”, apunta.
Inmutabilidad real e interación con Veeam
La inmutabilidad es uno de los conceptos más repetidos en el mercado, aunque no siempre con el mismo significado. En Object First lo tienen claro: “Para nosotros, la inmutabilidad es el simple hecho de no poder alterar ni eliminar nada. Si existe alguna posibilidad de hacerlo, ya no es inmutable”.
Ese principio se materializa en múltiples capas de protección: almacenamiento de objetos S3 en modo compliance, hardening del sistema operativo, cifrado activado en el lado de Veeam y un diseño que renuncia deliberadamente a determinadas funcionalidades si suponen un riesgo. Reconoce que “muchas veces tenemos que decir que no a peticiones del mercado, porque abrirían una brecha de seguridad”, reconoce, pero el objetivo es claro: “mejor dar más capas de seguridad que menos”.
La apuesta de Object First es, al menos por ahora, totalmente focalizada. “Nuestra apuesta es Veeam al 100 %. No tenemos previsto ampliarnos a otras plataformas”, señala Chíchina. La razón no es solo histórica, sino estratégica: concentrarse en un único ecosistema les permite alcanzar un nivel de integración y optimización difícil de igualar.
Ese foco se traduce también en rendimiento operativo. Al seguir todas las mejores prácticas de Veeam y eliminar capas innecesarias, Ootbi permite mejorar de forma notable los tiempos de recuperación. “En RTO y RPO alcanzamos niveles muy altos. Un cliente que compare lo va a notar”, asegura la portavoz.
Los sectores regulados y las empresas que ya han sufrido un ataque lideran la adopción de soluciones inmutables
Del enterprise al SMB, y el peso de los MSP
Tras casi dos años de presencia en el mercado español, Object First ha ido aterrizando su propuesta a la realidad local. Al principio miraba sobre todo a entornos con grandes volumetrías, pero con el lanzamiento de los mini Ootbi, appliances que arrancan en 8 TB, abre claramente la puerta a compañías más pequeñas.
Esa idea de flexibilidad también se nota en la forma de comercializar la solución. Object First mantiene la compra tradicional, pero suma un modelo de consumo tipo OPEX, pensado en un primer momento para los proveedores de servicios gestionados y que, en la práctica, también encaja con organizaciones que prefieren evitar grandes desembolsos iniciales. “Hay muy pocas empresas que ofrezcan repositorios de backup con este modelo, y la aceptación está siendo muy buena”, apunta Chíchina.
La estrategia de la compañía es, además, 100 % a través de canal. En España trabaja con mayoristas como V-Valley y Arrow, y ve a los partners como una extensión natural de su propio equipo. “Necesitamos que ayuden a educar al mercado; aquí, muchas veces, no se actúa hasta que llega el problema”, admite Chíchina, que calcula que, a día de hoy, el potencial del canal Veeam en Iberia está cubierto solo “en torno al 25 %”.
Regulación, Zero Trust y pruebas reales de seguridad
El empuje normativo, con NIS2 como telón de fondo, ha reforzado el discurso de Object First. La compañía se alinea con el modelo de Zero Trust aplicado a la protección del dato y con la regla 3-2-1-1-0 de Veeam, donde la copia inmutable juega un papel clave.
Más allá del discurso, Chíchina destaca una decisión poco habitual en el mercado: someter su tecnología a pruebas externas de hacking ético. “Dimos un entorno completo, con credenciales de administrador, para que intentaran romper el sistema”, explica. El resultado fue un informe con distintos hallazgos que la compañía corrigió, volvió a auditar y publicó. “Queríamos transparencia y que la gente entienda qué llamamos nosotros seguridad”, subraya.
Del backup a la ciberresiliencia
Para Object First, el cambio de lenguaje no es solo una cuestión estética. “Ya no se habla de backup, se habla de ciberresiliencia, y tiene todo el sentido”, sostiene Chíchina. Recuerda que el backup ha sido siempre uno de los primeros objetivos del atacante y que muchas soluciones “no estaban pensadas para este nivel de amenaza y ahora intentan adaptarse” sobre la marcha.
La directiva insiste en separar lo que es resiliencia real de lo que es puro marketing. “Se utiliza mucho la palabra inmutabilidad para cosas que no lo son”, advierte. Frente a ese ruido, la compañía apuesta por una resiliencia lo más absoluta posible, pero sin añadir capas de complejidad innecesarias: “Queremos que sea fácil, que esté preconfigurado y que no obligue al cliente a gastarse la vida en entender cómo funciona”.
La propuesta de Object First parte de una idea sencilla pero bastante contundente: si el backup es el último salvavidas de una organización, no puede apoyarse en tecnologías heredadas ni en promesas a medias. Con Ootbi, la compañía lleva los principios de Zero Trust y la inmutabilidad al propio corazón del repositorio, y apuesta por simplicidad, foco y seguridad por diseño. En un mercado cada vez más saturado de mensajes sobre ciberresiliencia, su mensaje es directo: no todo lo que se vende como inmutable lo es, y en plena era del ransomware ese matiz puede marcar la diferencia.
