Backups de Veeam
Archivos de backup de Veeam (.VBK) eliminados en un NAS Synology
Recientemente fuimos contactados por un partner IT con sede en Alemania en relación con un incidente crítico que implicó una pérdida de datos tras un ataque de ransomware. La empresa afectada creía disponer de dos backups independientes que permitirían una rápida recuperación de la actividad (disaster recovery), pero los acontecimientos pusieron de manifiesto varios desafíos imprevistos.
Primer backup: un disco duro externo dañado durante el incidente
El proveedor de servicios disponía de un primer backup almacenado en un disco duro externo Toshiba de 20 TB. Totalmente desconectado de Internet (air-gapped), este soporte debería haber sido, en condiciones normales, la solución de restauración ideal: aislado, accesible y protegido frente a la propagación del ransomware. Sin embargo, en la situación de estrés provocada por el incidente, el disco fue accidentalmente dejado caer. El impacto provocó un fallo mecánico grave, dejando el dispositivo completamente ilegible.
Ante esta situación de urgencia, el proveedor de servicios decidió contactar con una empresa de recuperación de datos que afirmaba estar ubicada en Alemania, cuando en realidad su laboratorio principal se encontraba en el Reino Unido. A pesar de la mención de “diagnóstico gratuito” mostrada en su sitio web alemán, se exigió de inmediato un presupuesto de 1.340 € únicamente por el diagnóstico, al que se añadían 450 € adicionales en caso de una recuperación exitosa.
¡Promesas de marketing engañosas! ¡Una tasa de éxito imposible de justificar! ¡Fuera de la UE!
Más allá del carácter cuestionable de estas prácticas, los plazos anunciados no se cumplieron. Además, el partner tuvo grandes dificultades para contactar con ellos, lo que erosionó seriamente la confianza en ese proveedor externo. Tras más de quince días de espera sin ningún resultado tangible, quedó claro que este enfoque no aportaría ninguna solución concreta.
Esta situación pone de relieve la importancia de elegir un laboratorio de recuperación de datos reconocido y transparente.
Segundo backup: un NAS Synology con backups de Veeam eliminados
El segundo backup correspondía a un NAS Synology de cuatro bahías, modelo DS425+. Las copias de seguridad se realizaron mediante Veeam Backup & Replication (VBR) versión 12.3, generando archivos VBK y VIB. Para elevar el nivel de seguridad, el cliente final había habilitado backups protegidos por contraseña, asegurando los ficheros mediante el cifrado nativo AES-256 de Veeam.
Cuando el proveedor de servicios intentó recuperar los datos, se encontró rápidamente con una serie de problemas. Se probaron más de una docena de herramientas de data recovery, sin ningún resultado satisfactorio. Los archivos extraídos aparecían incompletos, corruptos o totalmente ilegibles. Solo se pudieron recuperar dos archivos VIB de pequeño tamaño, pero finalmente resultaron inutilizables para una restauración completa. Ante este callejón sin salida, el proveedor decidió finalmente enviarnos el NAS completo junto con sus cuatro discos internos.
Posteriormente descubrimos que existía un conflicto entre el proveedor de servicios y su propio cliente final. Como consecuencia, el proveedor intentó agotar todas las soluciones internas posibles antes de reconocer que la situación requería una pericia avanzada. Esta dinámica explica en parte la gran cantidad de pruebas previas realizadas y el retraso en el envío del hardware.
Análisis técnico: un sistema de archivos Btrfs con eliminación de datos
Los cuatro discos del NAS nos fueron enviados para su análisis. El volumen estaba formateado en Btrfs, un sistema de archivos avanzado, pero especialmente complejo de tratar en escenarios de borrado de datos.
En este caso concreto, faltaban varios componentes críticos del sistema de archivos, lo que hacía imposible cualquier enfoque de recuperación estándar.
Nuestros equipos llevaron a cabo una serie de reparaciones manuales sobre la estructura Btrfs, paso a paso. Gracias a las mejoras recientes de ScanX, nuestro motor de análisis propietario —capaz de manejar de forma eficiente sistemas de archivos como Btrfs, ReFS, Ext4 y NTFS—, fue posible realizar una reconstrucción parcial y coherente del volumen.
Tras varias pasadas de análisis en profundidad, identificamos cinco archivos VBK con potencial de recuperación. De ellos, cuatro resultaron ser completamente válidos, incluido el más reciente.
Este resultado supuso un avance decisivo en el caso. Aunque en ocasiones nuestros equipos bromean atribuyendo este tipo de éxitos a la suerte, la realidad se basa en una combinación de metodologías estrictas, herramientas de vanguardia y una experiencia acumulada a lo largo de numerosos casos complejos. La recuperación de un archivo VBK válido desde un sistema Btrfs, tras múltiples intentos externos fallidos y una manipulación previa intensiva, ilustra claramente el valor añadido de una intervención especializada.
Conclusión: mantener la calma y tomar las decisiones correctas
Este caso práctico pone de relieve un punto clave: en una situación de crisis, el pánico puede provocar errores adicionales, y confiar en proveedores no profesionales puede agravar o retrasar la resolución del problema. Por ello, la elección de un laboratorio de recuperación de datos debe realizarse con extrema precaución.
Gracias a nuestra intervención, los datos críticos pudieron restaurarse con éxito a partir del archivo VBK válido extraído del NAS. Este resultado permitió al partner alemán garantizar la continuidad del servicio para su cliente final.