Object First quiere convertir la inmutabilidad del backup en algo que no dependa de una configuración compleja ni de la experiencia del administrador de turno. La compañía, fundada en 2022 por Ratmir Timashev y Andrei Baranov, creadores de Veeam, ha construido su propuesta alrededor de Ootbi, un appliance de almacenamiento diseñado en exclusiva para entornos Veeam y pensado para proteger las copias de seguridad frente a ransomware, errores internos y amenazas procedentes de usuarios con privilegios.
La promesa comercial es ambiciosa: “inmutabilidad absoluta”. En términos prácticos, Object First defiende que los datos almacenados en Ootbi no pueden modificarse, borrarse ni cifrarse, ni siquiera aunque un atacante consiga credenciales administrativas del entorno de backup. Es una afirmación fuerte en un mercado donde muchos proveedores hablan de copias inmutables, pero donde la protección real depende a menudo de cómo se ha configurado el almacenamiento, de qué accesos tiene el administrador y de si existen caminos alternativos para borrar o alterar datos.
Por qué el backup se ha convertido en objetivo prioritario
El cambio de fondo lo ha marcado el ransomware. Durante años, muchas empresas veían el almacenamiento de backup como una pieza secundaria: importante, pero alejada del día a día. Las cabinas de deduplicación ganaron terreno porque permitían guardar grandes volúmenes de información de forma compacta, aunque la recuperación completa pudiera ser lenta. Mientras los grandes incidentes eran poco frecuentes, esa penalización parecía aceptable.
El ransomware cambió esa lógica. Los atacantes aprendieron que cifrar producción no basta si la organización puede restaurar rápido desde copias limpias. Por eso empezaron a buscar, borrar o cifrar también los backups antes de activar el ataque principal. Si la empresa descubre el problema cuando sus sistemas productivos ya están bloqueados y sus copias también han sido comprometidas, la capacidad real de recuperación desaparece.
A esto se suma el riesgo interno. Un empleado descontento, un proveedor con permisos excesivos o una cuenta privilegiada robada pueden causar daños desde dentro. En esos casos, la seguridad del backup no puede basarse solo en confiar en usuarios administradores. Tiene que limitar lo que incluso un administrador puede hacer.
Object First intenta responder a ese escenario con una arquitectura cerrada y muy enfocada. A diferencia de soluciones de almacenamiento más genéricas, Ootbi está diseñado solo para Veeam. Esa decisión reduce flexibilidad, pero también recorta la superficie de ataque. Menos protocolos, menos casos de uso y menos capas que mantener significan menos puntos por los que un atacante puede intentar entrar.
Inmutabilidad validada por terceros
La parte más sensible de la propuesta es la validación. Object First sostiene que su inmutabilidad no se queda en una etiqueta de marketing y encarga pruebas periódicas a NCC Group, una firma británica de ciberseguridad. Según la información publicada por Techzine, NCC Group realiza pruebas de penetración cada seis meses con acceso amplio al sistema, incluido el código fuente, y publica los resultados sin que Object First pueda condicionar el resultado.
Una de las conclusiones citadas en análisis del sector es especialmente clara: aunque los atacantes conozcan todos los secretos del cliente, incluidas credenciales de administrador y de bucket, no pueden modificar los datos dentro de los appliances Ootbi. Este punto no significa que todo el entorno de una empresa quede automáticamente protegido. El servidor Veeam, la red, los sistemas productivos y las políticas de retención siguen necesitando una buena arquitectura de seguridad. Pero sí refuerza la idea de que el repositorio de backup puede quedar aislado frente a ciertos ataques de alto impacto.
Técnicamente, Object First combina varias medidas. Una de ellas es impedir el acceso root por red. Para iniciar sesión como root hace falta presencia física ante el dispositivo, con teclado y monitor. También aplica un procedimiento de “ocho ojos” para eliminación definitiva de datos: se requiere la aprobación de dos contactos autorizados del cliente y dos empleados de Object First, además de presencia física. El objetivo es impedir que una petición fraudulenta, una credencial robada o una llamada de ingeniería social termine en el borrado de copias críticas.
La integración con Veeam se apoya en SOSAPI, Smart Object Storage API. Esta API permite que Veeam obtenga información del repositorio S3 compatible, capacidades del sistema, estado del almacenamiento y funciones como inmutabilidad o gestión más eficiente del repositorio. En el caso de Ootbi, Object First afirma que esa integración permite activar inmutabilidad, balanceo y mejoras de rendimiento sin una configuración manual compleja.
Instalación rápida y recuperación como prioridad
Otro argumento de Object First es la velocidad de despliegue. La compañía asegura que Ootbi puede estar operativo en unos 15 minutos desde el desembalaje hasta el primer backup. El proceso se basa en conectar alimentación y red, configurar direcciones IP y nombre de clúster, generar claves S3 desde la interfaz web, crear buckets y apuntar Veeam Backup Server a ese destino. La inmutabilidad queda activada desde el primer momento.
La simplicidad no es un detalle menor. Muchos errores de backup no nacen de una mala herramienta, sino de una mala configuración. Repositorios Linux endurecidos, cabinas S3 compatibles, permisos, usuarios, retenciones, bloqueo de objetos y políticas de acceso pueden funcionar muy bien, pero requieren conocimiento técnico y mantenimiento. Object First intenta quitar esa carga al cliente y ofrecer un sistema ya endurecido para un caso de uso concreto.
El rendimiento también forma parte del mensaje. Cada nodo Ootbi aporta hasta 2 GB/s de throughput, y la compañía habla de escalado lineal al añadir nodos. Los clústeres pueden crecer hasta 7 PB mediante repositorios scale-out en Veeam, que para el administrador aparecen como un único repositorio. Esta arquitectura busca facilitar recuperaciones rápidas, incluidas restauraciones instantáneas de máquinas virtuales.
Object First afirma que puede arrancar al menos 25 máquinas virtuales de forma simultánea directamente desde el almacenamiento de backup mediante Instant VM Recovery de Veeam. Frente a appliances de deduplicación tradicionales, la ventaja está en evitar procesos pesados de reconstrucción de bloques comprimidos durante la recuperación. En un incidente real, donde cada hora de caída cuesta dinero y reputación, la velocidad de restauración pesa tanto como la existencia de la copia.
La compañía también está llevando esta propuesta a entornos distribuidos. En octubre de 2025 presentó Ootbi Mini, una versión compacta para oficinas pequeñas, sedes remotas y edge, con capacidades de 8, 16 y 24 TB. Mantiene las mismas garantías de seguridad e inmutabilidad que los modelos mayores, pero en un formato pensado para ubicaciones donde no hay un equipo IT local especializado.
Esta semana Object First ha anunciado la disponibilidad general de Fleet Manager, un servicio cloud para gestionar despliegues distribuidos de Ootbi en entornos Veeam. La herramienta permite administrar appliances estándar y Mini desde un panel centralizado, algo útil para empresas con muchas sedes, proveedores de servicios gestionados o compañías que necesitan una visión común de su infraestructura de backup.
El crecimiento comercial muestra que el problema está bien identificado. Object First comunicó un aumento global de bookings del 183 % en 2025, con EMEA como región más fuerte, donde el crecimiento alcanzó el 515 % interanual. La demanda procede sobre todo del mid-market y de sectores donde la recuperación rápida y la protección del dato son especialmente sensibles, como sanidad, industria, servicios financieros y empresas con muchas ubicaciones.
La propuesta no elimina la necesidad de una estrategia completa de resiliencia. Ningún appliance sustituye a una política 3-2-1-1-0 bien aplicada, pruebas de restauración, segmentación de red, MFA, control de privilegios, copias fuera de línea o replicación en otra ubicación. Pero Object First sí apunta a un problema muy concreto: muchas organizaciones usan Veeam, pero no siempre tienen un almacenamiento de backup igual de protegido que el software que lo gestiona.
La llegada de appliances como Ootbi confirma que el mercado de backup se está desplazando desde la eficiencia pura hacia la recuperación segura. Guardar menos y comprimir más ya no basta. La pregunta que importa ahora es si la empresa podrá recuperar sus sistemas cuando el atacante ya haya intentado destruir las copias.
Preguntas frecuentes
¿Qué es Object First Ootbi?
Ootbi es un appliance de almacenamiento de backup diseñado exclusivamente para Veeam. Su nombre viene de “Out-of-the-Box Immutability” y está orientado a ofrecer almacenamiento S3 inmutable desde el primer despliegue.
¿Qué significa “inmutabilidad absoluta”?
Object First usa este término para indicar que los datos no pueden modificarse, borrarse ni cifrarse, incluso si un atacante obtiene credenciales administrativas. La compañía respalda esta afirmación con pruebas periódicas de NCC Group.
¿Ootbi sustituye a Veeam?
No. Ootbi no sustituye al software de backup de Veeam. Funciona como repositorio de almacenamiento inmutable optimizado para entornos Veeam Backup & Replication.
¿Para quién tiene sentido Ootbi Mini?
Ootbi Mini está pensado para oficinas remotas, pequeñas sedes, entornos edge y ubicaciones distribuidas que necesitan backup local inmutable sin desplegar infraestructura compleja.
