Cuando el servidor de respaldo se convierte en el punto débil
6 min. de lectura
Veeam ha corregido dos vulnerabilidades clasificadas como graves en su software de copias de seguridad. Afectan al Veeam Agent para Microsoft Windows y a la Veeam Software Appliance en Linux, es decir, exactamente al componente que debería garantizar la recuperación en caso de emergencia. Quienes utilicen Backup & Replication hasta la versión 13.0.1.2067 deberían actualizar a la 13.0.2.29 a la mayor brevedad posible.
Lo más importante en resumen
- Dos brechas graves en el stack de copias de seguridad. Afectan al Veeam Agent para Windows (CVE-2026-32996) y a la appliance Linux (CVE-2026-32997); ambas se corrigen con la actualización de seguridad actual de Backup & Replication.
- No hay acceso remoto desde la nada. Ambas vulnerabilidades exigen autenticación o acceso local. Son especialmente peligrosas si una cuenta de administrador de backups ya está en manos de un tercero.
- El servidor de backups es el lugar equivocado para dejar flancos descubiertos. Constituye la última línea de defensa contra el ransomware. Justo allí, una escalada de privilegios reviste una gravedad especial.
Relacionado:Backups frente al ransomware: 3-2-1-1-0 / Reactivación tras ransomware: lo que realmente se rompe
¿Qué es Veeam Backup & Replication? Veeam Backup & Replication es un software ampliamente utilizado por las empresas para realizar copias de seguridad de sus servidores, máquinas virtuales y equipos finales, y restaurarlos en caso de emergencia. El servidor de backups gestiona estas copias de forma centralizada. Si falla o es comprometido, toda la capacidad de recuperación queda paralizada ante un incidente real.
Qué implican concretamente estas dos brechas
Veeam ha corregido estas vulnerabilidades mediante una actualización de seguridad para Backup & Replication y las ha documentado en su propia base de datos de avisos. Ambas están clasificadas como graves, pero afectan a componentes distintos y exigen condiciones diferentes.
La primera brecha, identificada como CVE-2026-32996, afecta al Veeam Agent para Microsoft Windows. Permite a un atacante con acceso local obtener privilegios elevados en el sistema. Veeam la valora con una puntuación CVSS de 7,3. Una escalada de privilegios local se vuelve peligrosa cuando un atacante ya tiene un primer punto de apoyo en el equipo y pretende escalar a administrador.
La segunda brecha, CVE-2026-32997, reside en la Veeam Software Appliance en Linux. En este caso, un usuario autenticado con el rol de administrador de backups puede escribir archivos arbitrarios en el servidor y preparar así ataques posteriores. Veeam la clasifica con una puntuación CVSS de 8,6, es decir, ligeramente superior a la brecha de Windows. El requisito es disponer de una cuenta válida de administrador de backups. Precisamente esta condición modula el riesgo: mientras las cuentas de administrador de backups estén limpias, la brecha resulta difícil de explotar. Una cuenta privilegiada comprometida la convierte en un vector de ataque peligroso.
Por qué el servidor de copia de seguridad es un objetivo especialmente delicado
El enfoque frío primero: ninguna de las dos vulnerabilidades se puede explotar desde lejos sin autenticación. Sin embargo, la valoración cambia cuando se considera de qué sistema se trata.
El servidor de copia de seguridad es el refugio para el caso grave. Cuando los sistemas productivos están cifrados, la posibilidad de recuperación determina días o semanas de parada. Por eso, los grupos de ransomware atacan primero las copias de seguridad: quien elimina o manipula la copia de seguridad quita al afectado su salida de emergencia. Una ampliación de permisos o un acceso de escritura en este sistema golpea directamente el núcleo de la defensa.
Se suma un segundo punto. Los servidores de copia de seguridad suelen funcionar en segundo plano, rara vez se reinician y aún menos se actualizan, ya que su fallo interrumpe la copia de seguridad. Esta inercia es comprensible, pero también es la razón por la que en el pasado ciertas vulnerabilidades de Veeam se han explotado durante mucho tiempo incluso después del parche. Un actualización disponible no sirve mientras no se instale.
¿Cuán urgente es realmente el parche?
En una evaluación honesta, la urgencia está en el medio, no en la zona roja de un parche de emergencia. Ambas vulnerabilidades requieren un pie dentro del sistema o una cuenta privilegiada; no existe una explotación masiva automatizada desde Internet. Una empresa con cuentas de administrador de copia de seguridad bien separadas y dispositivos finales actualizados tiene algo de margen.
No obstante, el actualización debe incluirse en la lista de próximos ventanas de mantenimiento y no en la cola para el próximo trimestre. Lo decisivo es la combinación: los servidores de copia de seguridad son objetivos preferidos, las cuentas privilegiadas se ven regularmente comprometidas en ataques reales, y entonces una vulnerabilidad media se convierte en una herramienta afilada. Quien planea cualquier ventana de mantenimiento, prioriza el actualización de Veeam.
¿Qué deben hacer ahora los administradores?
El orden es sencillo y no requiere acción desesperada. Cuatro pasos cubren la necesidad inmediata.
Ninguno de estos pasos es costoso, y el más importante es el segundo. Un parche disponible que permanece sin usar en el backlog de mantenimiento no protege a nadie. Especialmente en el caso del servidor de copia de seguridad, vale la pena anticipar la ventana de mantenimiento.
Preguntas frecuentes
¿Qué versiones de Veeam están afectadas por estas vulnerabilidades?
Todas las versiones de Veeam Backup & Replication hasta y incluyendo la versión 13.0.1.2067 están afectadas. Con la versión 13.0.2.29, Veeam ha cerrado ambas vulnerabilidades. Quien utilice una versión anterior debe planificar el actualización cuanto antes.
¿Se pueden aprovechar las lagunas desde lejos sin estar registrado?
No. CVE-2026-32996 requiere acceso local al sistema Windows, CVE-2026-32997 un cuenta registrada con el rol de Administrador de respaldos. Un atacante necesita ya tener un pie dentro del sistema o una cuenta comprometida con privilegios. Esto reduce la urgencia inmediata, pero no anula la obligación de aplicar parches.
¿Qué productos están exactamente en peligro?
La primera laguna afecta al Veeam Agent para Microsoft Windows, la segunda a la Veeam Software Appliance en servidores Linux. Ambas pertenecen al entorno de Backup & Replication, por lo que el parche de seguridad para la software central de respaldo corrige estas vulnerabilidades.
¿Cuál es la medida más importante inmediata?
Aplicar el parche disponible en un horario de mantenimiento planificado y después probar los trabajos de respaldo. Como apoyo, deben restringirse los derechos de administrador de respaldo y protegerse con autenticación multifactorial.
¿Por qué el servidor de respaldo es un objetivo atractivo para los atacantes?
Porque lleva a cabo la restauración. Los grupos de ransomware intentan regularmente eliminar o manipular primero los respaldos para quitarle al víctima la salida. Una vulnerabilidad que permita ampliar permisos o acceso de escritura en este sistema pesa más que en cualquier dispositivo final.
Sugerencias de lectura de la redacción
- El BSI advierte sobre sistemas Ivanti no parchados
- Ransomware: Las fechas límite de NIS2 presionan a los equipos de seguridad
- Git-Push basta para RCE en servidores GitHub Enterprise
Más del MBF Media Netzwerk
Transparencia en las cadenas de suministro: ¿Por qué los COOs necesitan transparencia digital ahora?
Fuente de imagen: Generado por IA (junio 2026), certificado C2PA incluido en la imagen
