logo SOS Ransomware
Emergencia 24/7

Recuperación de datos tras un ataque de ransomware a un Synology NAS (Hyper Backup)

Recientemente, un arquitecto colombiano se puso en contacto con nosotros tras sufrir un ataque informático especialmente destructivo contra su sistema de almacenamiento Synology.

Los atacantes no sólo habían cifrado sus datos, como suele hacer el ransomware, sino que también habían reiniciado sus unidades RAID y formateado su unidad de copia de seguridad externa.

Ante esta situación crítica, en la que el soporte de Synology y las herramientas de recuperación convencionales habían resultado insuficientes, nuestro equipo tuvo que implementar soluciones técnicas especializadas.

Este caso práctico documenta el proceso completo de recuperación que nos permitió restaurar 580 GB de datos empresariales (411.000 archivos en 79.417 carpetas) a partir de soportes considerados irrecuperables.

En él se analizan los retos técnicos específicos encontrados con el sistema de archivos BTRFS y el formato propietario de Hyper Backup, al tiempo que se presentan las metodologías avanzadas que permitieron este resultado.

También se examinan las implicaciones prácticas de esta intervención para la seguridad de las infraestructuras de almacenamiento y copia de seguridad, en un contexto en el que los ataques informáticos se dirigen ahora deliberadamente contra los mecanismos de protección de datos.

El incidente: un ataque meticuloso

Nuestra historia comenzó cuando un arquitecto colombiano se puso en contacto con nosotros tras un ataque de ransomware particularmente agresivo.

A diferencia de los ataques tradicionales, que se limitan a cifrar los datos y pedir un rescate, los ciberdelincuentes habían optado por un enfoque más radical: habían reseteado completamente los discos RAID y borrado los datos de la unidad USB externa (USB COPY) utilizada como copia de seguridad.

Esto dejó a la víctima en una situación extremadamente precaria, ya que incluso su solución de copia de seguridad había sido atacada, lo que demuestra la creciente sofisticación de los ataques actuales, que se dirigen deliberadamente a los mecanismos de copia de seguridad para maximizar las posibilidades de obtener el pago de un rescate.

Primeros intentos fallidos

Antes de ponerse en contacto con nosotros, el arquitecto ya había intentado un enfoque lógico para recuperar sus datos. En concreto, había intentado utilizar PhotoRec, un programa de software de recuperación de datos gratuito y de código abierto famoso por su capacidad para recuperar archivos perdidos. Por desgracia, estos intentos fracasaron.

Ante este callejón sin salida, también recurrió al soporte técnico oficial de Synology y, a pesar de escalar su caso a niveles superiores de soporte, no se encontró ninguna solución.

Se trataba de un caso especialmente complejo que iba más allá de los procedimientos de recuperación estándar y requería conocimientos y herramientas especializados.

Nuestra intervención: análisis inicial

Cuando el cliente se puso en contacto con nosotros, recibimos dos discos para su análisis:

  • Una copia (imagen del disco externo de 1 TB) que contenía las copias de seguridad de Hyper Backup.
  • Uno de los discos RAID1 de 4 TB formateado en BTRFS.

Esta configuración puso inmediatamente de manifiesto la complejidad del caso. Por un lado, se trataba de un sistema de archivos BTRFS, famoso por su robustez pero también por la dificultad de recuperar los datos en caso de corrupción. Por otro lado, teníamos que analizar un Hyper Backup potencialmente corrupto.

Primer enfoque: recuperación a partir del disco RAID

Así pues, nuestro primer análisis se centró en el disco de 4 TB configurado en RAID1 con un sistema de archivos BTRFS. Conseguimos extraer algunos archivos, lo que ya de por sí era una buena noticia. Sin embargo, rápidamente identificamos una limitación importante: se perdían los nombres de los archivos y la estructura de directorios.

Esto es típico de las recuperaciones de BTRFS tras una corrupción importante. Este moderno sistema de archivos utiliza un enfoque fundamentalmente distinto al de los sistemas tradicionales, separando los metadatos (nombres, rutas, fechas, etc.) de los datos propiamente dichos. Cuando los metadatos se corrompen, a menudo es posible recuperar los datos en bruto, pero sin sus atributos esenciales.

Aunque técnicamente satisfactorio, este enfoque habría requerido un tiempo considerable para reorganizar e identificar los archivos. Para un arquitecto que necesita acceder rápidamente a proyectos concretos, esta solución no era óptima.

Segundo enfoque: análisis de Hyper Backup

Así pues, nos centramos en el disco externo de 1 TB que contenía los archivos de Hyper Backup. Nuestro análisis reveló unos 580 GB de datos en forma de archivos BUCKET e INDEX, característicos del formato de copia de seguridad propietario de Hyper Backup.

Bucket index files, Synology Nas Hyper Backup
archivos .index y .bucket
Bkpi hbk files, Synology Nas Hyper Backup
Archivos .bkpi y .hbk

El primer intento utilizando la utilidad oficial Synology Hyper Backup Explorer se encontró con un mensaje de error inequívoco: «los datos almacenados en el destino de la copia de seguridad están dañados».

Synology altered data
Los datos almacenados en el destino de la copia de seguridad están dañados
File folder partially copied or restored
Archivo/carpeta parcialmente copiado o restaurado

Este mensaje confirmó nuestras sospechas iniciales: el ataque no sólo había afectado a los datos primarios, sino que también había comprometido la integridad de las copias de seguridad. En muchos casos, este tipo de situación representa un obstáculo insalvable con las herramientas estándar.

La solución: desarrollo de herramientas propietarias especializadas

Para sortear este tipo de impasse, nuestro equipo de ingenieros implementó una solución desarrollada internamente: nuestra herramienta Synology Backup Extractor. Esta herramienta propietaria se ha diseñado especialmente para hacer frente a situaciones en las que las herramientas oficiales fallan debido a la corrupción parcial de Hyper Backups.

Synology Backup Extractor Recoveo
Synology Backup Extractor de Recoveo

El análisis técnico de la situación reveló varios retos específicos:

  1. Compresión activada: la copia de seguridad utilizaba compresión, una característica que optimiza el espacio en disco pero complica significativamente la recuperación en caso de corrupción.
  2. Archivos .bucket e .index dañados: estos archivos forman la arquitectura del Hyper Backup, y su corrupción compromete el acceso a los datos subyacentes.
  3. Acceso parcial con Hyper Backup Explorer: la herramienta oficial conseguía recuperar unos 75 GB de los 500 GB presentes, pero se detenía regularmente con errores, mostrando el mensaje «Copiado parcial del archivo/carpeta».

Nuestro método consistió en reconstruir las asignaciones de direcciones de archivos y carpetas para evitar las secciones dañadas de los metadatos. Este método altamente técnico requería un profundo conocimiento de la estructura interna del formato de copia de seguridad de Hyper Backup.

Resultados: recuperación de datos con éxito

Gracias a nuestro enfoque especializado, pudimos lograr resultados especialmente satisfactorios:

  • Recuperación de 580 GB de datos
  • Restauración de 411.000 archivos en 79.417 carpetas
  • Conservación de la estructura jerárquica original de las carpetas
  • Recuperación de los nombres de archivo originales

Este éxito contrasta fuertemente con los intentos anteriores de recuperar sólo 75 GB de datos utilizando la herramienta oficial Hyper Backup Explorer, es decir, alrededor del 15% del volumen total de datos presentes.

Para nuestro cliente arquitecto, esta diferencia fue crucial. Pudo recuperar el acceso a todos sus proyectos profesionales, incluidos planos, renderizados en 3D, documentos contractuales y comunicaciones con clientes, datos esenciales para la continuidad de su negocio.

Lecciones aprendidas y recomendaciones

Este caso, aunque extremo, pone de relieve varios aspectos importantes de la gestión de datos profesionales:

1. Las limitaciones de las herramientas estándar

Las herramientas de recuperación de consumo como PhotoRec, aunque potentes en algunos contextos, muestran sus limitaciones cuando se enfrentan a situaciones complejas en las que intervienen sistemas de archivos avanzados como BTRFS o formatos propietarios como Hyper Backup.

Del mismo modo, el soporte técnico de los fabricantes, por excelente que sea, rara vez dispone de las herramientas ultraespecializadas necesarias para hacer frente a los casos más graves de corrupción de datos.

2. La importancia de las copias de seguridad seguras

En la actualidad, los ciberdelincuentes atacan deliberadamente los sistemas de copia de seguridad, conscientes de su valor estratégico. Por lo tanto, es esencial establecer mecanismos que protejan no sólo los datos principales, sino también las copias de seguridad:

  • Copias de seguridad desconectadas (air gap)
  • Copias de seguridad de sólo lectura
  • Autenticación multifactor para el acceso a los sistemas de copia de seguridad
  • Comprobaciones periódicas de la integridad de las copias de seguridad

3. La regla 3-2-1 para las copias de seguridad

Esta situación ilustra perfectamente por qué es esencial la regla 3-2-1 para las copias de seguridad:

  • 3 copias de tus datos
  • En 2 soportes diferentes
  • 1 copia externa

En este caso, nuestro cliente disponía de una copia de seguridad externa, pero estaba conectada al sistema principal y, por tanto, era vulnerable al mismo ataque.

4. Desarrollar herramientas especializadas

Este caso demuestra la importancia vital de desarrollar herramientas especializadas de recuperación de datos.

Nuestro Synology Backup Extractor nació precisamente de esta necesidad de ir más allá de las capacidades de las herramientas estándar para responder a situaciones excepcionales.

Resumen de la recuperación de datos de este Synology NAS

La recuperación de los datos de este arquitecto colombiano es un ejemplo sorprendente de los complejos retos que plantean los ataques de ransomware modernos, especialmente cuando se dirigen deliberadamente contra mecanismos de copia de seguridad, incluidos los sistemas de copia de seguridad avanzados como los que se encuentran en los Synology NAS.

Ante una situación que incluso el servicio técnico del fabricante consideraba irrecuperable, nuestro enfoque, que combinaba conocimientos técnicos y herramientas propias especialmente desarrolladas, permitió salvar más de 580 GB de datos empresariales críticos.

Este caso nos recuerda que, en la recuperación de datos, las situaciones más desesperadas pueden resolverse a menudo mediante la innovación técnica y los conocimientos especializados. También pone de relieve la importancia operativa de una estrategia de copias de seguridad sólida, diversa y segura, sobre todo en un entorno en el que los ciberataques son cada vez más sofisticados.

Si está experimentando una situación similar con un Synology NAS comprometido o un Hyper Backup dañado, visite nuestra página de recuperación de datos de Synology NAS para obtener más información sobre nuestros servicios.

Para obtener más información o en caso de emergencia, póngase en contacto con nosotros. Nuestro equipo de emergencias está disponible 24/7/365.

Pedir un presupuesto
Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2025 Recoveo | Réalisation par Tell It