Pregunta rápida: si ahora mismo un ransomware cifrara todos los datos de tu empresa, ¿en cuánto tiempo podrías volver a operar con normalidad? Si la respuesta es “no lo sé” o “nunca”, tienes un problema grave.
Las copias de seguridad son el último recurso ante cualquier desastre informático: un ataque de ransomware, un fallo de hardware, un incendio en la oficina, una inundación o simplemente un empleado que borra archivos críticos por accidente. Según el Instituto Nacional de Estadística (INE), el 27% de las empresas españolas que pierden sus datos de forma crítica cierran en el primer año. Sin embargo, muchas PYMEs creen que tienen copias de seguridad cuando en realidad tienen una falsa sensación de seguridad: copias que no se verifican, que están en el mismo lugar que el original, o que llevan meses sin ejecutarse.
Este artículo te explica cómo implementar correctamente la regla 3-2-1 y qué herramientas usar según el tamaño y presupuesto de tu empresa.
Qué es la regla 3-2-1
La regla 3-2-1 fue popularizada por el fotógrafo Peter Krogh en 2009 y adoptada como estándar por prácticamente todos los organismos de ciberseguridad del mundo (NIST, INCIBE, CISA). Es simple de recordar:
- 3 copias de tus datos: el original más dos copias adicionales.
- 2 soportes diferentes: por ejemplo, un disco duro externo y la nube. Si los tienes todos en el mismo tipo de soporte, un fallo de ese tipo (fallo de fabricación de discos de esa marca, daño por agua) puede afectarlos a todos.
- 1 copia fuera de las instalaciones: para protegerse de desastres físicos (incendio, inundación, robo).
En 2023, muchos expertos recomiendan ampliar esta regla a 3-2-1-1-0:
- 3 copias
- 2 soportes diferentes
- 1 fuera de las instalaciones
- 1 copia offline o inmutable (protegida frente a ransomware)
- 0 errores verificados (las copias se verifican regularmente)
Por qué fallan las copias de seguridad en las PYMEs
Estos son los errores más comunes que convierten una aparente solución en una trampa:
Error 1: La copia está en el mismo servidor. Un disco de backup en el mismo servidor que el original no sirve de nada si el servidor falla o es cifrado por ransomware.
Error 2: La copia está conectada permanentemente a la red. El ransomware moderno busca activamente las unidades de red y las carpetas de backup para cifrarlas también. Si tu disco de backup aparece como una unidad montada en Windows o macOS, está en peligro.
Error 3: Nadie verifica que la copia funciona. El 34% de las empresas descubren que sus backups no son restaurables cuando los necesitan por primera vez (Veeam Data Protection Report). Una copia no verificada es inútil.
Error 4: Solo se hace copia de algunos archivos. Olvidar las bases de datos, los correos, la configuración del servidor o los datos de aplicaciones SaaS.
Error 5: La retención es insuficiente. Si el ransomware lleva semanas latente antes de activarse (algo habitual), necesitas retención de al menos 30 días, preferiblemente 90.
Qué datos debes incluir en las copias de seguridad
Antes de elegir una herramienta, lista qué datos son críticos para tu negocio:
| Tipo de dato | Criticidad | Ejemplo |
|---|---|---|
| Base de datos del negocio | Crítica | ERP, CRM, contabilidad |
| Correo electrónico | Alta | Historial de comunicaciones |
| Documentos de trabajo | Alta | Contratos, presupuestos, diseños |
| Configuración de sistemas | Media | Servidores, routers, firewalls |
| Código fuente (si aplica) | Crítica | Repositorios Git |
| Datos de clientes | Crítica + legal | Información personal (RGPD) |
No olvides los datos en servicios SaaS: Google Workspace, Microsoft 365, Salesforce, etc. Aunque estos proveedores tienen sus propias redundancias, no hacen backup de tus datos para protegerte de eliminación accidental o ataques a tu cuenta. Necesitas soluciones específicas como Backupify, Veeam Backup for Microsoft 365 o SysCloud.
Herramientas de backup por tipo de infraestructura
Para empresas con servidores Windows o Linux
Veeam Backup & Replication Community Edition
- Gratuito para hasta 10 workloads
- Soporta VMware, Hyper-V y físicos
- Backup inmutable a la nube (Veeam Cloud)
- Ideal para PYMEs con servidor propio
Acronis Cyber Protect
- Todo en uno: backup + antivirus + EDR
- Desde ~50€/mes para 5 equipos
- Backup en nube propia de Acronis
Windows Server Backup
- Incluido en Windows Server (gratuito)
- Limitado pero funcional para backups básicos
- Sin backup en nube nativo
Para empresas en la nube (SaaS-first)
Backblaze Business Backup
- Backup continuo de todos los equipos en la nube
- ~7€/equipo/mes, almacenamiento ilimitado
- Retención de 1 año estándar, extensible
Carbonite Safe
- Backup automático en la nube para PYMEs
- Desde ~22€/mes para equipos ilimitados
- Historial de versiones de 3 meses
Synology Active Backup
- Requiere un NAS Synology (inversión inicial ~300-600€)
- Sin coste de licencia adicional
- Backup de equipos, servidores, VMs y datos SaaS
- Opción muy popular en PYMEs con cierto volumen de datos
Para backup de Microsoft 365 y Google Workspace
| Herramienta | Precio/usuario/mes | Retención |
|---|---|---|
| Veeam Backup for M365 | ~1,5€ | Personalizable |
| Backupify | ~3€ | Ilimitada |
| Dropsuite | ~2€ | Ilimitada |
| Datto Backupify | ~4€ | 10 años |
Implementación paso a paso de la regla 3-2-1
Paso 1: Inventario de datos (día 1)
Identifica y lista todos los datos críticos de tu empresa y dónde están almacenados actualmente: servidores locales, equipos de escritorio, portátiles, servicios en la nube.
Paso 2: Copia local automatizada (días 1-3)
- Configura un NAS (Network Attached Storage) o un servidor de backup dedicado.
- Programa copias automáticas diarias o más frecuentes para datos críticos.
- Opción económica: un NAS Synology DS223 (~250€) con dos discos de 4TB (~80€ cada uno en configuración RAID1) ofrece 4TB de almacenamiento redundante por ~410€.
Paso 3: Copia en nube (días 3-7)
- Configura una segunda copia en la nube (Backblaze, AWS S3, Azure Blob, Wasabi).
- Activa la inmutabilidad (Object Lock) para evitar que el ransomware borre la copia.
- Verifica que la retención es de mínimo 30 días.
Paso 4: Copia offline (semanal o mensual)
- Un disco duro externo que se conecta solo durante la copia y se guarda fuera de la oficina (en casa del propietario, en una caja de seguridad bancaria, en otra sede).
- Rotación de dos discos: uno en la oficina durante la semana, uno fuera; se intercambian regularmente.
Paso 5: Verificación (mensual obligatorio)
- Realiza una restauración de prueba cada mes: toma un archivo o directorio de la copia de seguridad y restáuralo en un equipo de prueba.
- Documenta el tiempo necesario para la restauración.
- Una vez al año, realiza una prueba de recuperación completa (disaster recovery drill).
El RTO y RPO: dos métricas que toda PYME debe conocer
- RPO (Recovery Point Objective): ¿Cuántos datos puedes permitirte perder? Si tu empresa genera datos durante 8 horas y la copia se hace una vez al día por la noche, tu RPO es de hasta 8 horas de trabajo perdido.
- RTO (Recovery Time Objective): ¿Cuánto tiempo puedes estar sin operar? ¿Horas, días?
Define estos valores para tu empresa y diseña tu estrategia de backup para cumplirlos. Una empresa que no puede estar más de 2 horas sin operar necesita soluciones diferentes (replicación en tiempo real, sistemas en alta disponibilidad) que una que puede permitirse 24 horas de inactividad.
Coste aproximado de un sistema de backup completo para una PYME de 10 empleados
| Componente | Coste inicial | Coste mensual |
|---|---|---|
| NAS Synology DS223 + 2x HDD 4TB | ~410€ | 0€ |
| Backup en nube (Backblaze B2, 500GB) | 0€ | ~3€ |
| Backup M365 (Dropsuite, 10 usuarios) | 0€ | ~20€ |
| Disco externo para backup offline | ~80€ | 0€ |
| Total | ~490€ | ~23€/mes |
Por menos de 25 euros al mes, una PYME de 10 personas puede tener un sistema de backup robusto que cumple la regla 3-2-1 y protege contra ransomware.
Conclusión
Las copias de seguridad no son opcionales. Son el equivalente digital del seguro de tu negocio. La diferencia es que, a diferencia de un seguro de incendios, puedes implementar un sistema de backup completo por menos de 500 euros de inversión inicial y 25 euros al mes.
Pero recuerda: una copia de seguridad que no se verifica no existe. Programa una restauración de prueba este mismo mes.
Este artículo es de carácter educativo y no constituye un servicio profesional de ciberseguridad. Consulte a un especialista certificado para soluciones específicas a su empresa.