Backup y continuidad de negocio: el mínimo que no puedes saltarte
TL;DR
- La estrategia 3-2-1 (3 copias, 2 soportes, 1 offsite) sigue siendo el estándar mínimo. La mayoría de pymes falla en el tercer punto.
- Backup y continuidad no son lo mismo: puedes tener copia pero tardar días en volver a operar, lo que puede ser igual de devastador.
- OneDrive y Google Drive no son backup: sincronizan cambios, incluyendo los destructivos. Necesitas versionado con retención real.
- Las copias inmutables son la única defensa real frente al ransomware que borra los backups antes de cifrar los datos principales.
- Un simulacro trimestral es la única forma de saber si el sistema funciona antes de que sea una emergencia real.
Hacer copias de seguridad es como el seguro del coche: solo te acuerdas de que existe cuando hay un problema. La diferencia es que el seguro del coche lo renueves o no, sigue existiendo; el sistema de backup, si nadie lo verifica, puede llevar meses sin funcionar y nadie lo sabrá hasta que haga falta. Si tu empresa depende de sus datos para facturar, gestionar clientes, cumplir compromisos con proveedores o simplemente operar, el backup no es una "opción técnica": es la red de seguridad que determina si la empresa puede sobrevivir a un incidente mayor.
La estrategia 3-2-1: el estándar mínimo que toda pyme debería cumplir
La estrategia 3-2-1 no es una recomendación nueva ni sofisticada: existe desde los años noventa y sigue siendo el estándar de referencia en la industria porque cubre los tres vectores de pérdida de datos más comunes: fallo de hardware, desastre físico y ataque de ransomware. El principio es simple pero la implementación requiere disciplina.
- 3 copias de los datos: los datos originales más dos copias adicionales. No dos versiones del mismo fichero en el mismo disco: tres copias físicamente independientes.
- 2 tipos de soporte distintos: no dos discos del mismo modelo en el mismo armario. Puede ser NAS local y nube, o disco local y cinta, o servidor y almacenamiento externo. La diversidad de soporte protege frente a fallos que afectan a un tipo específico de hardware.
- 1 copia fuera de la ubicación física: el elemento que más empresas omiten y el que más diferencia hace ante un incendio, una inundación o el robo de equipos. En 2024, la copia offsite más práctica para una pyme es la nube con retención mínima de 30 días.
El elemento más frecuentemente ausente es el tercero: la copia offsite. El NAS en el armario del servidor cumple el papel de la segunda copia, pero la primera y la segunda están en el mismo edificio. Si hay un incendio, las dos se pierden. Si hay una inundación, las dos se pierden. Si el ransomware tiene acceso a la red local, las dos pueden cifrarse. La copia en nube no es cara: para los datos críticos de una pyme media, el almacenamiento cloud con retención adecuada cuesta entre 20 y 80 euros mensuales. Comparado con el coste de un incidente, es la mejor inversión posible.
Backup vs. continuidad de negocio: la diferencia que importa
Tener una copia de los datos es necesario pero no suficiente. La pregunta que realmente importa no es "¿tienes backup?" sino "¿en cuánto tiempo podrías volver a operar si el servidor fallara ahora?". Esa diferencia es la que separa el backup de la continuidad de negocio.
Una empresa puede tener backups perfectamente configurados y tardar tres días en restaurar porque el proceso de recuperación no está documentado, el hardware de sustitución no está disponible, las licencias de software no están accesibles, o el proceso de restauración nunca se ha probado y resulta que tiene pasos que nadie conoce. Tres días parada para una empresa que factura 50.000 euros mensuales son más de 7.000 euros de facturación no realizada, más el impacto en clientes y la carga sobre el equipo gestionando la crisis.
La continuidad de negocio añade al backup dos elementos adicionales: el plan de recuperación (qué pasos, en qué orden, quién hace qué, qué herramientas se necesitan, dónde están las credenciales de acceso a los sistemas de backup) y los objetivos RTO y RPO definidos y verificados (cuánto tiempo puede estar la empresa parada y cuántos datos puede perder). Sin esos dos elementos, el backup es un ingrediente necesario pero no suficiente. El servicio de servidores NAS y copias incluye el diseño del plan de recuperación junto con la implementación técnica.
El peligro del ransomware: por qué las copias inmutables son imprescindibles
Los atacantes de ransomware no son impacientes. Antes de cifrar nada, pasan días o semanas en la red mapeando la infraestructura, escalando privilegios y localizando los sistemas de backup. Su objetivo antes de ejecutar el cifrado es asegurarse de que la víctima no tiene salida sin pagar: eliminar o cifrar todos los backups accesibles desde la red comprometida. Si tu sistema de backup puede ser borrado por el mismo usuario que tiene permisos de administrador en el servidor, el ransomware que comprometa esa cuenta puede borrar también los backups.
La inmutabilidad es la respuesta técnica. Una copia inmutable, una vez escrita, no puede ser borrada ni modificada durante el periodo de retención definido, independientemente de los permisos del usuario que lo intente. Tecnologías como Object Lock de S3, los repositorios inmutables de Veeam, o Backblaze B2 con Object Lock implementan esta protección. No es una tecnología cara: es una configuración del sistema de almacenamiento que añade una capa de protección que ningún otro mecanismo puede sustituir en el escenario de un ransomware con acceso de administrador.
Complementa este punto con la lectura del artículo sobre las señales de que tu sistema de backups es inseguro, que detalla otros indicadores que apuntan a una protección insuficiente más allá de la inmutabilidad.
Por qué OneDrive y Google Drive no son sistemas de backup
Es uno de los malentendidos más comunes en pymes que han migrado a la nube. "Tenemos todo en OneDrive" no equivale a "tenemos backup". OneDrive, Google Drive, Dropbox y herramientas similares son herramientas de sincronización y colaboración, no sistemas de backup. La diferencia fundamental: cuando borras un archivo o el ransomware lo cifra, el cambio se sincroniza automáticamente a la nube. La versión en nube se sobrescribe con la versión borrada o cifrada.
Estas herramientas tienen funciones de historial de versiones y papelera de reciclaje con un periodo de retención limitado (OneDrive retiene versiones durante 30 días en la versión de empresa, Google Workspace durante 30 días también). Esas funciones pueden ayudar en casos de borrado accidental si se actúa rápido, pero no ofrecen la misma protección que un sistema de backup con retención configurable, verificación de integridad y proceso de restauración documentado. Para un sistema de backup real, necesitas algo diseñado específicamente para ese propósito.
La verificación del backup: el paso que más se omite
Un backup no probado no es un backup verificado. Es una esperanza. La diferencia entre las dos se descubre el día que hace falta usarlo. La verificación mínima de un sistema de backup incluye: revisión semanal de los logs del proceso (que completó sin errores y con el tamaño esperado), verificación mensual de que la copia offsite recibió los datos del período correctamente, y simulacro de restauración trimestral donde se restaura un conjunto de datos reales en un entorno de test y se verifica que son accesibles y coherentes.
Un ejercicio útil para cualquier empresa: intenta hoy restaurar la copia de la base de datos del ERP de la semana pasada en un equipo alternativo. Si no sabes cómo hacerlo, si no tienes las credenciales de acceso a la copia, o si el proceso tarda más de una hora, hay trabajo por hacer antes de que sea urgente. La auditoría de seguridad incluye una revisión del sistema de backup como parte del análisis de continuidad de negocio.
Tabla: componentes de un sistema de backup mínimo para pyme
| Componente | Mínimo aceptable | Mejor práctica |
|---|---|---|
| Frecuencia de backup | Diario para datos críticos | Varias veces al día para datos de alta transaccionalidad |
| Copia local | NAS separado del servidor principal | NAS con RAID + replicación automática a cloud |
| Copia offsite | Nube con 30 días de retención | Nube con Object Lock y 90 días de retención |
| Inmutabilidad | En la copia offsite | En la copia local y la offsite |
| Verificación | Logs revisados semanalmente + restauración trimestral | Verificación automática de integridad + restauración mensual |
| Documentación | Proceso de restauración escrito y accesible | Runbook completo probado en simulacro |
Por dónde empezar mañana
- Verifica si tienes una copia offsite activa. Si tu único backup está en el mismo edificio que el servidor, hay una brecha en la estrategia 3-2-1 que resolver esta semana. Servicios como Backblaze B2, Wasabi o Storj permiten empezar una replicación a nube en horas y con coste desde 5-10 euros mensuales para los primeros terabytes.
- Comprueba si tu copia puede ser borrada desde el sistema comprometido. Si la cuenta que gestiona el servidor tiene acceso de escritura y borrado al directorio de backup, un ransomware puede eliminarla. La solución es una cuenta de servicio específica para el backup con mínimos privilegios, y Object Lock activado en el destino cloud.
- Documenta el proceso de restauración. Escribe los pasos concretos para restaurar el sistema más crítico de tu empresa, desde cero, con acceso a la copia de backup. Ese documento tiene que ser accesible sin necesitar el servidor que ha fallado (impreso, en un dispositivo USB aparte, o en un servicio cloud externo).
- Haz un simulacro de restauración este trimestre. Elige la copia de la semana pasada, intenta restaurar la base de datos del ERP en un equipo de prueba y mide cuánto tiempo tarda. Ese número es tu RTO real, y si supera lo que tu empresa puede permitirse estar parada, hay trabajo por hacer.
Preguntas frecuentes
¿Qué es la estrategia 3-2-1 de backups?
3 copias de los datos, en 2 tipos de soporte distintos, con 1 copia en una ubicación física diferente a la oficina. Protege frente a fallos de hardware, desastres físicos y ataques de ransomware.
¿Cuál es la diferencia entre backup y continuidad de negocio?
El backup es la copia de los datos. La continuidad de negocio es la capacidad de volver a operar en un tiempo definido. Una empresa puede tener backups correctos pero tardar días en restaurar, lo que la hace inoperativa igual.
¿El backup en la nube (OneDrive, Google Drive) es suficiente?
No. OneDrive y Google Drive sincronizan cambios, incluyendo los destructivos: si el ransomware cifra un archivo, la versión cifrada se sincroniza. Necesitas versionado con retención real de al menos 30 días y que no sincronice automáticamente los cambios destructivos.
¿Qué es una copia inmutable y cuándo la necesito?
Una copia que no puede borrarse ni modificarse durante el periodo de retención, ni siquiera por un administrador. La necesitas si hay riesgo de ransomware o si tienes requisitos de cumplimiento con retención mínima de datos.
¿Con qué frecuencia debería hacer backups mi empresa?
Depende del RPO. Para ERP, facturación y clientes: backup diario mínimo. Para documentos de trabajo: diario. Para archivos históricos: semanal puede ser suficiente. La frecuencia la define cuántos datos puede permitirse perder la empresa.
¿Qué es un NAS y cuándo tiene sentido para una pyme?
Un NAS es un dispositivo de almacenamiento en red que actúa como servidor de ficheros y sistema de backup local. Tiene sentido para pymes con más de 3-5 empleados que generan datos críticos o cuando el almacenamiento en equipos individuales es insuficiente o fragmentado.
Servicio relacionado
Si tus copias todavía dependen de revisiones puntuales o no tienes claro si restaurarías a tiempo, aquí puedes ver cómo lo trabajamos como servicio.
Ver servidores, NAS y copias