Las copias de seguridad llevan años siendo el último salvavidas cuando todo falla. Pero, en la era del ransomware y del malware polimórfico, también se han convertido en un escondite silencioso: amenazas que no se detectaron a tiempo pueden permanecer enterradas en datos históricos y reaparecer justo cuando una organización intenta restaurar sistemas críticos. Esa es la “zona ciega” que Cohesity dice querer cerrar con su última actualización.
El 5 de febrero de 2.026, Cohesity anunció una ampliación relevante de sus capacidades de protección dentro de Cohesity Data Cloud, incorporando información contextual de Google Threat Intelligence y añadiendo análisis en sandbox apoyado en Google Private Scanning. El objetivo declarado es que los equipos puedan identificar, analizar y erradicar malware antes de restaurar, evitando reinfecciones y reduciendo el riesgo de volver a introducir archivos maliciosos en producción justo en el momento más crítico: la recuperación.
Por qué los backups se han vuelto un problema de seguridad (además de una solución)
El cambio de mentalidad es significativo. Tradicionalmente, la seguridad del backup se ha apoyado en escaneos “a posteriori”, herramientas externas, firmas estáticas y procesos manuales. Sin embargo, según el propio planteamiento de Cohesity, ese enfoque se queda corto cuando el atacante juega a largo plazo: campañas “low-and-slow”, intrusiones persistentes, compromisos en cadena de suministro y malware que cambia lo suficiente como para esquivar firmas convencionales.
En la práctica, el riesgo es doble. Por un lado, un archivo infectado restaurado desde una copia histórica puede reinfectar sistemas ya saneados. Por otro, el backup puede contener evidencias valiosas de una intrusión prolongada que pasó desapercibida en su momento. La propuesta de Cohesity es que esa evidencia no debería estar “fuera del radar” de los equipos de seguridad durante un incidente.
Inteligencia de amenazas “dentro” de la consola: contexto sin saltar entre herramientas
La primera pieza del anuncio es la integración de Google Threat Intelligence en la interfaz de Cohesity Data Cloud. El mensaje es claro: menos handoffs, menos pantallas, más contexto en el mismo lugar donde se toman decisiones de recuperación.
Según explica la compañía, las capacidades embebidas permiten consultar indicadores de compromiso (IOCs), datos de reputación y detalles de amenazas sin necesidad de cambiar de plataforma. Además, Cohesity señala que estos insights incluyen aprendizajes de Mandiant, la unidad de respuesta e inteligencia de incidentes integrada en el ecosistema de Google, lo que busca aportar “contexto investigativo” a los hallazgos.
En palabras del director de producto de Cohesity, Vasu Murthy, el problema de fondo es que el malware oculto en backups no solo puede reinfectar: también puede revelar ataques que “evaden la detección tradicional” si se analiza con herramientas adecuadas en el momento oportuno.
El salto diferencial: detonar archivos sospechosos en un sandbox privado antes de restaurar
La segunda pieza —y probablemente la más llamativa— es el secure sandbox analysis habilitado por Google Private Scanning. La idea: cuando un archivo resulta sospechoso, el equipo puede detonar una copia en un entorno aislado y observar su comportamiento sin poner en riesgo ni la infraestructura de producción ni el propio entorno de recuperación.
Cohesity sostiene que este enfoque permite obtener un análisis conductual detallado: cambios en sistema, actividad de red, modificaciones de registro y otros indicadores de comportamiento del payload. La promesa es dar a los responsables de recuperación una base más sólida para decidir si restauran, bloquean o aíslan un conjunto de datos. Todo ello, además, bajo un énfasis repetido en el comunicado: privacidad y soberanía de los datos, al realizarse el análisis en un esquema de escaneo “privado”.
El matiz operativo importa: Cohesity lo sitúa en la capa de ciberresiliencia, no como un servicio aparte reservado al SOC. En otras palabras, acerca “herramientas de primera línea” —habituales en respuesta a incidentes— al lugar donde se decide si un negocio vuelve a levantar sus sistemas… o si los reabre con un riesgo latente.
Beneficios prometidos: velocidad, coordinación y resiliencia “sin complejidad extra”
El comunicado agrupa el impacto en cuatro ejes: identificación y remediación más rápidas; insights accionables gracias a la detonación en sandbox; colaboración mejorada entre equipos de IT y seguridad con una vista compartida de inteligencia; y una ciberresiliencia reforzada al reducir el riesgo de restauraciones contaminadas.
Más allá del listado, el subtexto es el de siempre en incidentes graves: el tiempo de recuperación no es solo RTO y RPO. También es confianza. Restaurar rápido sirve de poco si se restaura mal.
Desde Google Cloud, Miton Adhikari (responsable de alianzas OEM en seguridad) pone el foco justo en ese punto ciego: los atacantes esconden cargas maliciosas en lugares donde “las herramientas tradicionales no miran”, incluyendo backups. La integración, sostiene, busca que las organizaciones “detecten lo que otros no ven” y recuperen con mayor rapidez y seguridad.
FortKnox y la lógica del “cyber vault”: una copia aislada para el peor día
Estas mejoras encajan con una hoja de ruta más amplia entre Cohesity y Google Cloud. Cohesity recuerda que su colaboración con Google se amplió a mediados de diciembre, incluyendo iniciativas de resiliencia y disponibilidad en Google Cloud.
En ese marco aparece Cohesity FortKnox, descrito como una solución de “cyber vault” gestionada que mantiene una copia aislada (air-gapped) de los datos críticos para asegurar recuperaciones limpias incluso si el atacante compromete sistemas primarios y copias tradicionales. Cohesity indica que FortKnox está disponible en Google Cloud, alineándolo con escenarios donde el aislamiento y la inmutabilidad se convierten en el último cortafuegos cuando todo lo demás ha fallado.
Disponibilidad: ya en producción y también vía Marketplace
Cohesity afirma que tanto la integración de Google Threat Intelligence como el análisis en sandbox están disponibles de forma general en Cohesity Data Cloud. La oferta, añade, también puede encontrarse en el Google Cloud Marketplace, lo que facilita su adopción en organizaciones que ya operan parte de su resiliencia o sus cargas en ese entorno.
Preguntas frecuentes
¿Por qué puede haber malware oculto en copias de seguridad históricas aunque el sistema ya esté limpio?
Porque los backups preservan “fotografías” del pasado. Si la infección existía cuando se tomó la copia, puede permanecer almacenada y reaparecer al restaurar, especialmente en ataques persistentes y “low-and-slow”.
¿Qué aporta un sandbox privado para analizar malware antes de restaurar un backup?
Permite detonar una copia del archivo sospechoso en un entorno aislado y observar su comportamiento (actividad de red, cambios del sistema, etc.) antes de reintroducirlo en producción, elevando la confianza en la recuperación.
¿Cómo ayuda Google Threat Intelligence (incluida Mandiant) dentro de Cohesity Data Cloud?
Aporta contexto e inteligencia de amenazas en la misma consola: IOCs, reputación y detalles investigativos para acelerar decisiones entre IT y seguridad sin depender de flujos manuales.
¿Qué es un “cyber vault” air-gapped como FortKnox y cuándo tiene sentido?
Es una bóveda de datos aislada para mantener una copia inmutable y separada de los entornos comprometibles. Se usa para garantizar una recuperación limpia en escenarios extremos, como ransomware que afecta a sistemas principales y backups convencionales.
vía: cohesity
