Almacenamiento WORM y bloqueo legal: cuándo necesitas archivos de escritura única
La mayoría de los archivos de documentos son mutables. Un fichero almacenado en un sistema de archivos estándar o en un almacén de objetos puede ser sobrescrito, borrado o modificado silenciosamente por cualquiera con los permisos adecuados, incluidos los administradores de sistema. Para la mayoría de los propósitos operativos, esto es aceptable. Para la conservación regulada de documentos, crea un problema: no se puede afirmar de manera creíble que un documento archivado no ha sido alterado si el sistema que lo almacena podría haberlo hecho.
El almacenamiento WORM y el bloqueo legal son los dos mecanismos que abordan esto en la capa de almacenamiento.
Qué significa WORM
WORM son las siglas de Write Once, Read Many (escribir una vez, leer muchas). Un sistema de almacenamiento WORM acepta una única escritura por objeto. Una vez confirmada la escritura, el objeto no puede modificarse, sobrescribirse ni borrarse hasta que expire el período de conservación configurado.
Se trata de una restricción física o lógica en la capa de almacenamiento, no una política de control de acceso. La diferencia importa: una política de control de acceso puede ser modificada por un administrador. Una restricción WORM no puede eludirse reconfigurando permisos, porque la propiedad de escritura única es impuesta por el propio sistema de almacenamiento, no por una capa de políticas que esté por encima.
WORM por hardware: los soportes ópticos (CD-R, BD-R), ciertos formatos de cinta empresarial y las matrices de discos WORM especializadas aplican esto a nivel físico. Una vez escrito, los datos no pueden alterarse independientemente de qué software se ejecute por encima.
WORM en almacenamiento de objetos (aplicado por software): la mayoría de los almacenes de objetos compatibles con S3 actuales admiten un modo “Object Lock” que implementa la semántica WORM por software. Cuando Object Lock está habilitado con una fecha de retención, la API de almacenamiento rechaza las solicitudes de borrado y sobrescritura para ese objeto hasta que expire el período de conservación, incluso para solicitudes realizadas con credenciales administrativas.
Modos de retención
Los almacenes de objetos con capacidad WORM suelen ofrecer dos modos de retención:
Modo Governance (gobierno): los administradores con un permiso específico pueden anular el bloqueo de retención. Útil para corregir errores durante la configuración inicial del período de retención. No es adecuado para archivos regulados porque conserva la capacidad de anulación administrativa.
Modo Compliance (cumplimiento): ningún usuario, incluido la cuenta raíz, puede borrar ni modificar el objeto antes de la fecha de retención. El período de retención puede ampliarse pero no reducirse. Este es el modo requerido para el cumplimiento normativo en la mayoría de las jurisdicciones.
La distinción es significativa en las auditorías. Un auditor que pregunta “¿podría haberse modificado este documento después de ser archivado?” debe recibir la respuesta “no, técnicamente imposible”, no “no, solo los administradores podrían haberlo hecho y confiamos en nuestros administradores”.
Qué significa el bloqueo legal
El bloqueo legal (también denominado retención por litigio) es un mecanismo distinto de la retención. La retención define cuánto tiempo debe conservarse un documento. El bloqueo legal suspende el borrado de un documento concreto independientemente de si el período de retención ha expirado.
Cuando una organización recibe una orden judicial, una consulta regulatoria o es notificada de un posible litigio, tiene la obligación de conservar todos los documentos relevantes. El bloqueo legal aplica esta conservación de forma automática: los documentos bajo bloqueo no pueden borrarse aunque su período de retención estándar haya vencido.
El bloqueo se levanta mediante una liberación explícita, generalmente por parte del asesor legal, una vez que el asunto queda resuelto.
Operativamente, el bloqueo legal requiere etiquetar los documentos a nivel de metadatos y que el sistema de almacenamiento aplique la etiqueta. En el almacenamiento de objetos con capacidades WORM, esto se implementa habitualmente como un indicador de retención indefinida junto al período de retención temporalizado.
Cuándo se exige WORM
Los requisitos normativos de almacenamiento inmutable son específicos de cada sector, pero cada vez son más comunes.
Servicios financieros (UE): MiFID II exige que los registros de transacciones y comunicaciones se almacenen en un formato que impida su modificación. El requisito es explícitamente para almacenamiento resistente a manipulaciones, que WORM satisface. Los períodos de conservación son de cinco años para la mayoría de los registros de transacciones y de siete para algunas categorías.
Sanidad: El RGPD combinado con normas sectoriales específicas (en Alemania, el Patientendatenschutzgesetz) exige que los historiales médicos se conserven entre 10 y 30 años según el tipo, en una forma que garantice la integridad. WORM es la implementación más defendible.
Sector público: Muchas normativas de contratación de los estados miembros de la UE exigen que la documentación contractual se archive de forma inmutable durante el período de prescripción más el período de retención, que puede superar los 15 años.
Contabilidad (GoBD, Alemania): Los GoBD exigen la Unveränderbarkeit (inmutabilidad) para los documentos contables archivados. La guía establece expresamente que los documentos archivados deben estar protegidos contra modificaciones posteriores. El almacenamiento WORM cumple este requisito por diseño.
WORM no sustituye a las cadenas de hashes
El almacenamiento WORM prueba que los bits almacenados no han cambiado desde la escritura. No prueba qué proceso produjo esos bits, ni que el proceso fuera correcto.
Una cadena de hashes prueba que la secuencia de eventos de procesamiento fue coherente y no se modificó. No impide que el almacenamiento subyacente sea modificado (a menos que también sea WORM).
Juntos, abordan modelos de amenaza diferentes:
| Mecanismo | Qué previene |
|---|---|
| Almacenamiento WORM | Modificación o borrado posterior a la escritura de los archivos almacenados |
| Cadena de hashes | Falsificación retroactiva del historial de procesamiento |
| Sello de tiempo RFC 3161 | Antedatado de documentos o eventos |
Un archivo a largo plazo completamente defendible utiliza los tres: WORM para la capa de almacenamiento, cadenas de hashes para la pista de auditoría y sellos de tiempo RFC 3161 como anclas temporales externas. Cada capa cierra las brechas que las otras dejan abiertas.
Portabilidad de la evidencia
Un riesgo específico de los archivos WORM es la dependencia del proveedor en la capa de almacenamiento. Si tu implementación WORM utiliza un formato propietario o una API propietaria, migrar a un proveedor de almacenamiento diferente antes de que expire el período de retención puede ser imposible o legalmente arriesgado.
La arquitectura más segura separa la evidencia del mecanismo de almacenamiento: la evidencia (documento + cadena de hashes + sellos de tiempo) es autoverificable independientemente de dónde se almacene. La propiedad WORM garantiza que no fue modificada después del archivo, pero el paquete de evidencia prueba la integridad incluso si la propiedad WORM pudiera teóricamente eludirse.
Esto significa que el formato del paquete de evidencia y el formato de almacenamiento deben elegirse de forma independiente. PDF/A-3 para documentos, JSON estándar para pistas de auditoría, y tokens RFC 3161 en su codificación CMS estándar son todos independientes del formato. Se verifican con herramientas de código abierto sin necesitar el sistema de almacenamiento original.
SealDoc y el archivo inmutable
El modo de archivo de SealDoc escribe documentos en almacenamiento de objetos compatible con WORM con bloqueos de retención en modo Compliance. El período de retención es configurable por tipo de documento: siete años para facturas, diez años para contratos y períodos personalizados para requisitos sectoriales específicos.
Los documentos almacenados en modo de archivo combinan almacenamiento WORM con pistas de auditoría de cadena de hashes y sellos de tiempo RFC 3161, proporcionando tres capas independientes de evidencia de resistencia a manipulaciones. El bloqueo legal puede aplicarse mediante la API y solo se levanta con una liberación explícita.
El Paquete de Evidencia Legal generado en el momento del archivo se almacena a su vez bajo retención WORM, asegurando que los artefactos de evidencia son tan inmutables como los documentos que cubren.