Servidor NAS en la oficina: cuándo merece la pena y cuándo no

Q: ¿Qué es un NAS y para qué sirve en una empresa?

Un NAS (Network Attached Storage) es un dispositivo de almacenamiento conectado a la red local de la empresa que permite a todos los equipos acceder a los mismos ficheros sin necesidad de pasar por internet. Funciona como un servidor de ficheros simplificado: los usuarios ven las carpetas del NAS como unidades de red en su equipo, con velocidades de transferencia de gigabit ethernet (hasta 100-125 MB/s) que superan con creces cualquier solución cloud. También sirve como destino de backups locales de los equipos de la empresa.

Q: ¿RAID en el NAS es lo mismo que un backup?

No. RAID (Redundant Array of Independent Disks) protege contra el fallo físico de un disco: si un disco del NAS falla, los datos siguen accesibles gracias a la redundancia. Pero RAID no protege contra: borrado accidental de ficheros (si borras un fichero en RAID, se borra en todos los discos simultáneamente), ransomware (si el ransomware cifra el NAS, cifra todos los discos del RAID), o fallo del controlador NAS (si el aparato se rompe, todos los discos dejan de ser accesibles). RAID es alta disponibilidad, no backup. El backup debe ser una copia separada, preferiblemente en un segundo dispositivo o en la nube.

Q: ¿Cuánto cuesta un NAS para una empresa de 10-20 empleados?

Un NAS de 2-4 bahías de Synology o QNAP (los fabricantes más usados en empresas) con capacidad suficiente para 5-10 TB útiles cuesta entre 400 y 900 euros en hardware (NAS + discos). El NAS de 4 bahías permite configurar RAID 5 o RAID 6 con mayor tolerancia a fallos. A eso hay que añadir el coste de instalación y configuración (4-8 horas de técnico IT). El consumo eléctrico es de 15-30W en operación normal, lo que supone 15-25 euros al mes en electricidad aproximadamente. En comparación, 5 TB en SharePoint Microsoft 365 cuesta aproximadamente 50-100 euros al mes.

Q: ¿Puede accederse al NAS desde fuera de la oficina?

Sí, con las configuraciones adecuadas. Las opciones más seguras: VPN de la empresa (el usuario se conecta primero a la VPN y luego accede al NAS como si estuviera en la oficina) o el Synology QuickConnect / QNAP myQNAPcloud (solución propietaria de los fabricantes que enruta el tráfico de forma segura sin abrir puertos al exterior). La opción que no se debe usar: abrir el puerto del NAS directamente a internet (SMB, FTP, HTTP del panel de administración). Los NAS expuestos a internet son objetivo frecuente de ataques de ransomware específicos para NAS.

Q: ¿Qué NAS eligen las empresas pequeñas en España: Synology o QNAP?

Ambos son marcas consolidadas con soporte en España. Synology tiene una reputación ligeramente mejor en actualizaciones de seguridad y en la calidad del DSM (su sistema operativo), que tiene una interfaz muy accesible. QNAP tiene hardware más potente por precio similar y es más flexible para configuraciones avanzadas. Para pymes sin equipo IT dedicado que necesitan algo que funcione bien con mantenimiento mínimo, Synology suele recomendarse. Para entornos con requisitos de virtualización o aplicaciones avanzadas, QNAP ofrece más opciones.

Q: ¿Los snapshots del NAS protegen contra ransomware?

Los snapshots inmutables (que el ransomware no puede modificar ni eliminar) sí ofrecen protección significativa. Synology Snapshot Replication y QNAP SnapShot Manager permiten configurar snapshots con protección de escritura que el ransomware no puede cifrar aunque tenga acceso a las carpetas compartidas. La clave es que los snapshots sean inmutables: si el ransomware tiene permisos de administrador en el NAS, puede eliminar snapshots no protegidos. Los snapshots con protección WORM (Write Once Read Many) o con autenticación de doble factor para su eliminación son los más robustos.

Un NAS bien configurado resuelve varios problemas de golpe: almacenamiento centralizado accesible para todo el equipo a velocidades de red local, backups locales de los equipos de la oficina sin depender de la conexión a internet, y opcionalmente acceso remoto seguro a los ficheros cuando se necesita trabajar fuera. En términos de coste por TB útil, para volúmenes superiores a 2-3 TB de datos activos, el NAS suele ser más económico que el cloud equivalente.

Pero mal configurado, el NAS es exactamente lo contrario: conectado directamente a internet sin firewall, con contraseñas por defecto sin cambiar, con firmware desactualizado y sin snapshots activos, es un punto único de fallo con todos los datos de la empresa accesible desde cualquier parte del mundo para quien conozca las vulnerabilidades del firmware. Existen grupos de ransomware (QLocker, DeadBolt, eCh0raix) específicamente diseñados para NAS de oficina que atacan dispositivos expuestos en internet y cifran su contenido. La diferencia entre un NAS útil y un NAS peligroso no está en la marca ni en el hardware: está en cómo se configura y se mantiene.

1. Cuándo un NAS tiene sentido para una pyme

El criterio de decisión no es el tamaño de la empresa sino la naturaleza de los datos y el patrón de trabajo del equipo. El NAS tiene sentido cuando se cumplen al menos dos de estos cuatro criterios:

Equipo de 3-20 personas en la misma ubicación física: el NAS brilla en entornos donde el equipo comparte ficheros grandes en red local. La velocidad de transferencia en gigabit ethernet (100-125 MB/s) supera con creces cualquier solución cloud para ficheros de diseño, vídeo, proyectos CAD o bases de datos locales.
Volumen de datos que hace cara la nube: almacenar 5 TB en Google Drive o SharePoint cuesta entre 80 y 150 euros al mes. Un NAS de 8 TB útil (4 bahías en RAID 5) cuesta 600-900 euros en hardware con consumo eléctrico de 15-25W, lo que supone aproximadamente 15-25 euros al mes en electricidad. En 12-18 meses el NAS se amortiza frente a la alternativa cloud para esa capacidad.
Necesidad de backup local de equipos: un NAS como destino de Time Machine (Mac) o Windows Backup proporciona backup local rápido con restauración sin depender de la velocidad de descarga de internet. Para equipos que trabajan con ficheros grandes (diseñadores, arquitectos, ingenieros), restaurar desde backup local puede tardar minutos en lugar de horas.
Control total sobre los datos: sectores regulados (jurídico, sanitario, financiero) o clientes con requisitos específicos de que los datos no salgan de la infraestructura de la empresa. Un NAS bien configurado cumple esto sin restricciones contractuales de proveedor cloud.

2. Cuándo el cloud es mejor opción que el NAS

El NAS no tiene sentido para todos los escenarios. La decisión correcta requiere evaluar los patrones reales de uso:

Si el equipo trabaja principalmente en remoto desde múltiples ubicaciones, el NAS no es la solución adecuada. El acceso remoto al NAS está limitado por el ancho de banda de subida de la conexión de la oficina, que en la mayoría de fibras empresariales españolas es de 100-300 Mbps (10-40 MB/s), frente a las velocidades de descarga desde CDN de proveedores cloud que pueden superar los 100 MB/s. Para equipos distribuidos, SharePoint o Google Drive ofrecen una experiencia de acceso remoto significativamente mejor.

Si el volumen de datos activos es pequeño (menos de 500 GB de ficheros que se comparten activamente, no contando backups), Microsoft 365 o Google Workspace ya incluyen suficiente almacenamiento en nube y la inversión en NAS no se justifica. Para ese volumen, el coste de la suscripción ya cubre el almacenamiento y añade las ventajas del cloud (acceso desde cualquier lugar, versionado, colaboración en tiempo real).

Si la empresa no tiene nadie que pueda gestionar mínimamente el hardware (actualizaciones de firmware, revisión del estado de los discos, gestión de usuarios y permisos), el NAS sin mantenimiento es un riesgo mayor que no tenerlo. Un dispositivo de almacenamiento que nadie actualiza es una vulnerabilidad abierta, no una solución de almacenamiento. Para esos casos, la alternativa correcta es cloud gestionado por un proveedor que se haga cargo del mantenimiento. Los servicios de gestión de servidores y NAS incluyen el mantenimiento periódico necesario para que el dispositivo sea un activo, no un riesgo.

3. Comparativa: NAS en oficina vs soluciones cloud equivalentes

Criterio	NAS en oficina	SharePoint / Google Drive	NAS + cloud híbrido
Velocidad acceso local	Muy alta (gigabit ethernet)	Media (limitada por internet)	Alta (local) + media (remoto)
Coste 5 TB (mensual)	15-25 € (solo electricidad)	80-150 €/mes	20-50 €/mes (NAS + backup cloud)
Acceso remoto	Requiere VPN o solución propietaria	Nativo desde cualquier lugar	VPN o propietario + cloud
Disponibilidad si cae internet	Total (red local)	Sin acceso	Total local, sin remoto
Control de datos	Total	Sujeto a T&C del proveedor	Alto (primario local)
Mantenimiento requerido	Medio (firmware, discos)	Mínimo (gestionado)	Medio (NAS) + mínimo (cloud)
Riesgo de pérdida de datos	Medio sin backup offsite	Bajo (redundancia proveedor)	Bajo (backup cloud del NAS)

4. El riesgo que nadie menciona: el NAS como vector de ransomware

El mayor riesgo del NAS en una pyme no es el fallo de un disco: es convertirse en el objetivo de ransomware. Un NAS con carpetas compartidas SMB visibles desde todos los equipos de la red es un objetivo prioritario para el ransomware: si un equipo de la red se infecta y tiene acceso de escritura al NAS, el ransomware cifra el NAS también. Esto elimina tanto los datos originales como el backup local en un único ataque.

El segundo vector específico del NAS es la exposición directa a internet. Los grupos de ransomware especializados en NAS (QLocker, DeadBolt, eCh0raix) escanean continuamente rangos de IP públicas buscando NAS expuestos con puertos conocidos abiertos (5000/5001 para Synology DSM, 8080/8443 para QNAP). Cuando encuentran un NAS con firmware desactualizado, explotan vulnerabilidades conocidas para acceder sin credenciales y cifrar el contenido directamente, sin necesidad de infectar primero ningún equipo de la red. En 2021 y 2022, miles de NAS de todo el mundo fueron cifrados por estos grupos mientras sus propietarios dormían.

Las mitigaciones para el vector ransomware pasan por cuatro medidas no negociables: separar el acceso de backup del acceso de datos (el servicio de backup no puede tener permisos de escritura normal en las carpetas de datos; solo puede escribir en su propia área de destino), activar los snapshots inmutables del NAS (Synology Snapshot Replication, QNAP SnapShot Manager) con protección de escritura para que el ransomware no pueda eliminarlos, mantener el firmware actualizado mensualmente, y nunca exponer el panel de administración del NAS directamente a internet. El artículo sobre el plan de recuperación ante desastres para pymes describe cómo integrar el NAS en una estrategia de backup verificada.

5. Configuración de acceso remoto seguro al NAS

El acceso remoto al NAS tiene dos opciones seguras y una opción que no se debe usar. La opción que no se debe usar: abrir puertos del NAS directamente a internet (SMB 445, panel web 5000/5001/8080, SSH 22). Cualquier NAS con estos puertos abiertos directamente a internet es un objetivo activo.

La primera opción segura es la VPN de la empresa: el usuario se conecta primero a la VPN (WireGuard, OpenVPN o IPSec) y desde dentro de la VPN accede al NAS como si estuviera en la oficina. El NAS no tiene ningún puerto abierto a internet directamente: todo el tráfico pasa por el servidor VPN. Esta configuración requiere un router con soporte VPN (Mikrotik, pfSense, Zyxel) y es la más robusta desde el punto de vista de seguridad.

La segunda opción segura es la solución propietaria del fabricante: Synology QuickConnect o QNAP myQNAPcloud enrutan el tráfico a través de los servidores del fabricante sin necesidad de abrir puertos en el router del cliente. El acceso se autentica con las credenciales del NAS y la sesión está cifrada. Es menos robusta que la VPN propia (depende de la infraestructura del fabricante) pero más sencilla de configurar para pymes sin equipo IT. Cualquiera de las dos opciones es preferible a la exposición directa. El servicio de diseño de red puede configurar la VPN o el acceso seguro al NAS como parte del proyecto de red de la oficina.

6. Caso real: NAS de una agencia de comunicación cifrado por QLocker

Una agencia de comunicación de Pamplona con 12 empleados tenía un QNAP NAS de cuatro bahías con 8 TB de proyectos de diseño e imagen. El NAS había estado en uso durante tres años sin actualización de firmware (la última versión instalada era de 2021). El panel de administración web del QNAP tenía el puerto 8080 abierto directamente en el router de la oficina porque el responsable del NAS lo configuró así para "poder acceder desde fuera".

En abril de 2023, el grupo QLocker explotó una vulnerabilidad conocida de esa versión antigua de QTS para acceder al NAS sin credenciales y cifrar el contenido completo en pocas horas. Los empleados llegaron a la oficina y encontraron que ningún fichero del NAS era accesible. La nota de rescate pedía 0,05 BTC (aproximadamente 1.500 euros en ese momento).

El NAS no tenía snapshots configurados. El único backup era una copia manual mensual que hacía el responsable del NAS en un disco externo que en ese momento estaba en su casa. La restauración desde ese backup representó una pérdida de tres semanas de trabajo en proyectos activos. La agencia no pagó el rescate, pero el coste real incluyó: horas del equipo en reconstruir proyectos, retrasos con clientes, el tiempo del técnico IT externo en el análisis y recuperación del NAS, y el hardware de backup adicional adquirido para evitar que se repitiera. La solución implantada tras el incidente: QNAP actualizado a la versión actual de QTS, snapshots diarios con protección WORM, puerto de administración web cerrado, acceso remoto por VPN, y backup automático a Backblaze B2 (cloud) cada noche. Para evitar estos escenarios en las pymes que gestionamos, la monitorización 24/7 incluye alertas de versión de firmware desactualizado y de puertos expuestos en el router de la empresa.

7. Mantenimiento mínimo no negociable

Un NAS que nadie mantiene no es un activo: es una vulnerabilidad con todos los datos de la empresa dentro. El mantenimiento mínimo necesario para que el NAS sea útil y seguro incluye cuatro tareas:

Actualizaciones de firmware mensuales: Synology y QNAP publican actualizaciones de seguridad regularmente. El historial de CVEs (vulnerabilidades documentadas) de ambas marcas es extenso: si no parcheas, esas vulnerabilidades siguen siendo explotables. Configura notificaciones automáticas de nuevas versiones en el panel de administración y aplica las actualizaciones de seguridad en el plazo máximo de un mes desde su publicación.

Revisión mensual del estado de los discos: los discos mecánicos fallan con el tiempo. El NAS tiene herramientas de diagnóstico (S.M.A.R.T.) que reportan el estado de salud de cada disco. Revisar esos informes mensualmente permite detectar un disco que está empezando a fallar antes de que falle completamente, lo que da tiempo para sustituirlo sin pérdida de datos gracias al RAID. Un disco que falla sin ser detectado en un RAID de 2 discos puede provocar pérdida total de datos si el segundo disco falla antes de que alguien intervenga.

Verificación trimestral de los backups: un backup que nunca se ha verificado mediante restauración no es un backup fiable. Cada tres meses, restaurar algunos ficheros del backup a una ubicación diferente y verificar que están correctos e íntegros. Esta verificación es la única forma de confirmar que el backup funciona cuando se necesita.

Revisión de usuarios y permisos al menos dos veces al año: cuando un empleado deja la empresa, su acceso al NAS debe revocarse el mismo día. Dos veces al año, revisar todos los usuarios con acceso al NAS y sus permisos para verificar que no hay cuentas de exempleados activas ni permisos excesivos. Para empresas que siguen la regla de mínimo privilegio, cada usuario debe tener acceso solo a las carpetas que necesita para su trabajo, no a todo el contenido del NAS.

Por dónde empezar mañana

Si ya tienes un NAS: verifica si el firmware está actualizado. Entra en el panel de administración y comprueba la versión instalada vs la versión actual disponible. Si llevas más de 6 meses sin actualizar, aplica el firmware de seguridad más reciente esta semana. Es la acción de mayor impacto inmediato para reducir el riesgo.
Verifica qué puertos del NAS están abiertos en el router: en la configuración del router, revisa el listado de redirecciones de puerto (port forwarding). Si hay algún puerto apuntando al NAS (especialmente 5000, 5001, 8080, 8443, 445, 22), evalúa si es necesario y si puede sustituirse por VPN o QuickConnect/myQNAPcloud.
Activa los snapshots en el NAS si no están configurados: en Synology, Snapshot Replication → New Snapshot Task → configurar frecuencia diaria y retención de 30 días. En QNAP, Snapshot Manager → New Snapshot Schedule. Con los snapshots activos, tienes un nivel básico de protección contra borrado accidental y algunas variantes de ransomware.
Verifica cuándo fue el último backup del NAS y dónde está esa copia: la copia de backup del NAS debe estar en un dispositivo diferente, físicamente separado, y si es posible en una ubicación diferente (o en cloud). Si el único backup es una carpeta en el propio NAS, no tienes backup.

Preguntas frecuentes

¿Qué es un NAS y para qué sirve en una empresa?

Un NAS es un dispositivo de almacenamiento conectado a la red local que permite acceder a los mismos ficheros desde todos los equipos de la oficina sin pasar por internet, con velocidades de gigabit ethernet que superan cualquier solución cloud para ficheros grandes.

¿RAID en el NAS es lo mismo que un backup?

No. RAID protege contra el fallo físico de un disco, pero no contra borrado accidental ni ransomware: si el ransomware cifra el NAS, cifra todos los discos del RAID simultáneamente. El backup debe ser una copia separada en un dispositivo diferente.

¿Cuánto cuesta un NAS para una empresa de 10-20 empleados?

Hardware (NAS 4 bahías + discos para 5-10 TB útiles): 400-900 euros una vez. Electricidad: 15-25 €/mes. En comparación, 5 TB en SharePoint cuesta 80-150 €/mes. El NAS se amortiza en 6-18 meses dependiendo del volumen.

¿Puede accederse al NAS desde fuera de la oficina de forma segura?

Sí, con VPN de empresa o con la solución propietaria del fabricante (Synology QuickConnect, QNAP myQNAPcloud). Lo que no se debe hacer: abrir puertos del NAS directamente a internet. Los NAS expuestos son objetivo activo de grupos de ransomware especializados.

¿Los snapshots del NAS protegen contra ransomware?

Los snapshots inmutables (con protección WORM) sí ofrecen protección significativa. Los snapshots sin protección pueden ser eliminados por ransomware con acceso de administrador. Synology y QNAP tienen opciones de snapshots con autenticación de doble factor para su eliminación.

¿Qué NAS eligen las empresas pequeñas en España: Synology o QNAP?

Para pymes sin equipo IT dedicado que necesitan algo que funcione con mantenimiento mínimo, Synology suele recomendarse por la calidad de DSM y las actualizaciones de seguridad. QNAP ofrece hardware más potente por precio similar y más flexibilidad para configuraciones avanzadas.

¿Cada cuánto hay que actualizar el firmware de un NAS?

Mensualmente para parches de seguridad. Los NAS con firmware antiguo son objetivo de grupos como QLocker y eCh0raix, que escanean internet buscando versiones vulnerables de DSM y QTS. Sin actualizar, las vulnerabilidades documentadas son explotables por cualquiera.