Por qué es necesario realizar copias de seguridad en Azure Blob Storage: 5 riesgos que no puede pasar por alto

Senior Product Marketing Manager
Image
HYCU's joint solution with Dell provides cost-efficient, ransomware-proof backups for Azure Blob Storage, so you can recover confidently, even in worst-case scenarios.

El almacenamiento de objetos ha evolucionado. Ya no es solo un destino para archivos archivados, sino que ahora sirve como almacenamiento principal para datos críticos en flujos de trabajo de IA, análisis y aplicaciones nativas de la nube. Con este cambio, la importancia de proteger esos datos nunca ha sido mayor.

Azure Blob Storage es, a día de hoy, una de las principales plataformas de almacenamiento de objetos en la nube del mercado, utilizada por miles de organizaciones en todo el mundo. Los equipos lo utilizan para almacenar cargas de trabajo de computación de alto rendimiento (HPC), registros y trazas de servicios nativos de la nube, resultados de ETL y transformación de datos, conjuntos de entrenamiento de IA y aprendizaje automático, y conjuntos de datos analíticos. 

Por qué las funciones nativas no garantizan una protección integral de los datos

Azure Blob Storage ofrece durabilidad integrada y medidas de seguridad operativas, como redundancia, eliminaciones temporales y control de versiones. Estas características ayudan a combatir los riesgos de fallos de hardware y a reducir los errores cotidianos.

Lo que no proporcionan es una verdadera resiliencia cuando el propio plano de control se ve afectado, por ejemplo, en caso de credenciales comprometidas, automatización excesivamente permisiva, políticas mal aplicadas o errores de operador a gran escala. Dado que muchas de estas características reflejan el estado actual por diseño, pueden replicar un estado defectuoso —como eliminaciones, corrupciones o cambios en las políticas— con la misma rapidez que uno correcto. Esto significa que, incluso con las características nativas habilitadas, sus datos siguen siendo vulnerables a una serie de riesgos del mundo real, algunos de los cuales son fáciles de pasar por alto hasta que es demasiado tarde. 

Cinco riesgos que no puede ignorar en Azure Blob Storage

Incidentes de seguridad

Azure Blob Storage almacena enormes cantidades de datos de gran valor, a menudo a escala de petabytes. El acceso programático bien documentado a dichos datos es el sueño de cualquier hacker. El ransomware dirigido puede cifrar o corromper terabytes de datos, mientras que las credenciales comprometidas o el uso indebido por parte de personal interno pueden provocar eliminaciones, rotaciones de claves y cambios en las políticas. Una compromisión a nivel de inquilino también puede alterar las políticas de ciclo de vida o de inmutabilidad.

Incidente documentado: El equipo de inteligencia de amenazas de Microsoft informó de una campaña en la que un actor malicioso conocido como Storm‑0501 utilizó credenciales robadas para comprometer a inquilinos de Azure. El atacante eliminó los bloqueos de recuperación y las políticas de inmutabilidad, creó un nuevo ámbito de cifrado para Azure Blob Storage y, a continuación, cifró los datos utilizando claves almacenadas en un Key Vault de nueva creación. Tras cifrar cientos de terabytes de datos, eliminó la clave de cifrado y se enviaron notas de rescate a través de Microsoft Teams. [^1]

Este incidente ilustra cómo las credenciales comprometidas y el uso indebido del acceso programático pueden permitir a los atacantes cifrar o eliminar conjuntos de datos masivos y manipular las políticas de ciclo de vida o de inmutabilidad.

Errores de configuración administrativa

Los errores de configuración por parte de los clientes son una causa habitual de interrupciones y pérdida de datos en Azure Blob Storage. Dado que son las personas las que configuran las políticas de acceso, las reglas de ciclo de vida, las retenciones legales, los ajustes de cortafuegos y de red, así como la organización por niveles, existe un riesgo constante de error humano. Las eliminaciones o sobrescrituras accidentales pueden eliminar prefijos críticos o sustituir objetos de forma inesperada. Las políticas de ciclo de vida mal configuradas pueden hacer que los datos caduquen demasiado pronto o trasladarlos a niveles de almacenamiento inactivo que impidan el análisis. La desactivación del control de versiones o de la eliminación temporal, o una rotación incorrecta de claves, también puede hacer que los datos resulten inaccesibles o irrecuperables. 

Incidente documentado: Un usuario eliminó un grupo de recursos que contenía una cuenta de Azure Data Lake Storage y, a continuación, volvió a crear una cuenta de almacenamiento con el mismo nombre. Descubrió que no podía restaurar los datos eliminados, a pesar de que Azure ofrece un plazo de recuperación de 14 días para las cuentas de almacenamiento. El servicio de soporte técnico de Microsoft explicó que, si se elimina una cuenta de almacenamiento y luego se vuelve a crear con el mismo nombre, la recuperación falla. [^2]

El problema subyacente fue que el usuario no había habilitado la eliminación temporal, el control de versiones ni los bloqueos de recursos, lo que podría haber evitado o mitigado la eliminación accidental. La ausencia de dicha protección y la recreación de la cuenta eliminaron de hecho las opciones de recuperación. 

Cumplimiento normativo y aplicación de la gobernanza

El creciente escrutinio regulatorio impulsa una inmutabilidad y una retención más estrictas. Aunque bienintencionados, estos controles pueden retrasar las correcciones, fragmentar los conjuntos de datos e interrumpir los flujos de trabajo. Las políticas WORM (escribir una vez, leer muchas veces), por ejemplo, pueden bloquear la corrección de emergencias al impedir eliminaciones o ediciones, lo que a su vez retrasa la contención y consume almacenamiento innecesario. Una configuración incorrecta de los parámetros de residencia puede bloquear la replicación transfronteriza, lo que impide cumplir los objetivos de recuperación.

Incidente documentado: Un usuario de Azure Blob Storage creó una cuenta de almacenamiento en un entorno de prueba y, una vez finalizada su tarea, no fue posible eliminar el entorno. Esto se debió a las políticas de inmutabilidad, y la única solución alternativa fue modificar la política de cada blob de forma individual. El usuario señala que, si bien las políticas de inmutabilidad son excelentes para garantizar el cumplimiento normativo en producción, no existe una forma de experimentarlas y comprenderlas en un entorno efímero o de pruebas. [^3]

Fallos operativos y de la plataforma

En Azure Blob Storage, pequeños fallos pueden provocar interrupciones y, en ocasiones, la pérdida de datos provocada por el operador. Dado que numerosas aplicaciones y canalizaciones interactúan con Blob Storage las 24 horas del día, la superficie de riesgo de fallo es amplia. Las subidas o confirmaciones fallidas, los errores de ETL y de los flujos de trabajo, las incompatibilidades entre versiones del SDK o del cliente, la ausencia de comprobaciones de integridad, los reintentos inseguros que sobrescriben datos válidos y los defectos de las herramientas en el entorno del inquilino pueden provocar la corrupción de los datos o una indisponibilidad temporal. 

Incidente documentado: Un fallo en el sistema de refrigeración del centro de datos de Azure en el centro-sur de EE. UU. provocó apagones generalizados del hardware para evitar daños. El incidente dio lugar a fallos en cadena que afectaron no solo a las cargas de trabajo principales, sino también a los mecanismos de copia de seguridad y recuperación ante desastres almacenados en Azure Blob Storage. Las organizaciones sufrieron interrupciones generalizadas del servicio y problemas en los flujos de trabajo dependientes del almacenamiento durante la recuperación, lo que puso de relieve cómo las dependencias entre servicios pueden limitar las opciones prácticas de conmutación por error, incluso con georedundancia. [^4] [^5]

Este incidente puso de manifiesto la importancia de las copias de seguridad entre regiones y entre nubes, así como de garantizar la portabilidad multicloud de las mismas. 

Vulnerabilidad de la cadena de suministro por parte del proveedor de la nube

Todas las empresas están expuestas al riesgo de la cadena de suministro, y los proveedores de la nube no son una excepción. Los problemas en la cadena de suministro de los proveedores de Azure pueden propagarse y provocar interrupciones en numerosas empresas. Más allá de los problemas de la cadena de suministro de software, los problemas originados por los proveedores —como errores en el servicio, cambios operativos defectuosos, configuraciones erróneas de IAM o una gestión inadecuada de las claves de cifrado— pueden propagarse a los clientes y provocar la pérdida de datos o interrupciones, incluso cuando las configuraciones de los inquilinos sean correctas. 

Incidente documentado: Storm-0558, un actor malicioso con sede en China, obtuvo una clave de firma de consumidor de una cuenta de Microsoft (MSA) y falsificó tokens de autenticación. A partir del 15 de mayo de 2023, accedió a datos de correo electrónico de unas 25 organizaciones aprovechando un error de validación que permitía a las claves MSA firmar tokens de Azure AD. Investigaciones posteriores señalaron que la clave comprometida podría haber sido aceptada por otras aplicaciones que utilizan «Iniciar sesión con Microsoft», lo que indica un impacto potencial más allá del correo electrónico. [^6]

Las copias de seguridad inmutables y con gestión independiente garantizan la resiliencia y la capacidad de recuperación

Si hay una solución que podría garantizar la resiliencia operativa durante todas las situaciones mencionadas anteriormente, esa es una copia de seguridad inmutable, con aislamiento lógico, políticas independientes y recuperación a un momento determinado. 

Por «aisladas lógicamente», nos referimos a copias de seguridad gestionadas con credenciales y roles independientes y protegidas mediante inmutabilidad o retención basada en el tiempo, de modo que los cambios en el inquilino de producción no puedan modificar ni eliminar las copias de seguridad. Si se altera el acceso o la configuración de producción, esas copias permanecen intactas y usted dispone de una ruta de restauración limpia y de fiabilidad contrastada a gran escala. 

Con una copia de seguridad a prueba de manipulaciones, almacenada por separado (en otra región) dentro de Azure Blob Storage, o mejor aún, en otra plataforma en la nube como Amazon S3 o Google Cloud Storage, podrá situarse en una posición sólida para recuperarse de la interrupción y la pérdida de datos causadas por cualquiera de las situaciones mencionadas anteriormente.  

Ahí es precisamente donde HYCU le ayuda. Nuestra solución conjunta con Dell proporciona copias de seguridad rentables y a prueba de ransomware para Azure Blob Storage, de modo que pueda recuperarse con confianza, incluso en los peores escenarios.

Fácil de implementar y gestionar. Inmutable por diseño.

Visite www.hycu.com para descubrir cómo HYCU + Dell ofrecen copias de seguridad rentables y resilientes para Azure Blob Storage. 

_________________________________________________________________________________

Referencias:

  1. Microsoft Threat Intelligence. (27 de agosto de 2025). Las técnicas en constante evolución de Storm-0501 dan lugar a un ransomware basado en la nube. Blog de seguridad de Microsoft.
  2. Nguyen, T. (20 de agosto de 2025). [URGENTE] Eliminación accidental de una cuenta de Azure Data Lake Storage Gen2: ¿se pueden recuperar los datos? Preguntas y respuestas de Microsoft.
  3. Lapointe, S. (8 de diciembre de 2023). Cómo eliminar una cuenta de almacenamiento de Azure con una política de inmutabilidad desbloqueada. Code is a Highway.
  4. Moss, S. (4 de septiembre de 2018). Microsoft Azure sufre una interrupción del servicio tras un problema de refrigeración. DataCenterDynamics.
  5. Tamari, S. (21 de julio de 2023). Clave de Microsoft comprometida: más grave de lo que pensábamos. Wiz Blog.