Copias de seguridad para empresas: la regla 3-2-1 y cómo evitar perder tus datos

Por qué el backup deja de ser opcional

Diversos estudios sobre continuidad de negocio (University of Texas, Gartner e informes del sector como los de IDC y FEMA) coinciden en una idea: una mayoría amplia de empresas que sufren una pérdida prolongada de datos sin un plan de recuperación operativo tienen serias dificultades para continuar y muchas dejan de operar en cuestión de meses. Más allá del porcentaje exacto, el patrón es claro: las copias de seguridad han dejado de ser una decisión técnica para convertirse en una decisión de continuidad de negocio.

La amenaza ya no es solo un disco duro que se estropea. Los informes anuales de organismos como INCIBE y ENISA vienen señalando un crecimiento sostenido de los ataques de ransomware dirigidos a pymes, y los datos del sector coinciden en que la mayoría de empresas que pagan el rescate no recuperan todos sus datos. La única defensa fiable es un backup que funcione cuando lo necesitas.

La regla 3-2-1: el estándar internacional de backup

La regla 3-2-1 es el marco que recomiendan organismos como el INCIBE y el NIST porque funciona frente a casi cualquier escenario:

• 3 copias de tus datos: la original y dos copias de seguridad
• 2 soportes diferentes: por ejemplo, NAS local + almacenamiento en la nube
• 1 copia offsite: fuera de tu oficina, aislada de la red de producción

La versión moderna (3-2-1-1-0) añade:

• 1 copia inmutable u offline: que no pueda ser cifrada por ransomware
• 0 errores: las copias se verifican y restauran periódicamente

Si un ransomware entra en tu red y cifra el servidor, también puede cifrar el NAS conectado. Por eso la copia offsite y la copia inmutable son las que realmente te salvan.

Los 5 errores más comunes en el backup empresarial

1. "Hago backup en un disco duro externo que tengo enchufado"

Si el disco está conectado al equipo, el ransomware lo cifra. Si no lo está, dependes de que alguien se acuerde de conectarlo. Ambas cosas fallan.

2. "Tenemos una copia en la nube, estamos cubiertos"

Muchas empresas confunden sincronización con backup. Dropbox, OneDrive o Google Drive replican cambios al instante, incluida una eliminación o un cifrado por ransomware. Sin versionado ni inmutabilidad, no es un backup.

3. "La hicimos hace tiempo, supongo que funciona"

Un backup que nunca se ha restaurado no es un backup: es una apuesta. El 34% de las restauraciones fallan la primera vez. Hay que probarlo.

4. "Solo copiamos los archivos del servidor"

Una empresa moderna vive en muchos sitios: ERP, correo corporativo (Microsoft 365 o Google Workspace), CRM, bases de datos SQL, facturación, gestión documental. Cada uno necesita su estrategia.

5. "Tenemos RAID en el servidor"

RAID protege frente a un fallo de disco físico. No protege frente a borrado accidental, corrupción de datos, ransomware ni incendio. RAID no es backup.

Qué debe incluir un servicio de backup profesional

Backup gestionado y monitorizado

Alguien tiene que revisar cada mañana que las copias de la noche terminaron correctamente. Si el lunes falla y el martes se arregla solo, nadie se entera — hasta el día que lo necesitas. Nuestro [servicio de mantenimiento informático] incluye monitorización diaria.

Retención y versionado suficientes

No basta con tener la copia de ayer. Un ransomware puede estar latente varios días antes de activarse. Lo habitual es conservar:

• 7 copias diarias
• 4 copias semanales
• 12 copias mensuales
• 3 copias anuales

Copia offsite en España

Los datos de tus clientes están sujetos al RGPD. La copia remota debe estar en un centro de datos de la UE, idealmente en España, con medidas de seguridad certificadas. Nosotros replicamos a infraestructura propia en territorio español.

Backup específico de Microsoft 365

Microsoft no hace un backup completo de tu correo, OneDrive, SharePoint y Teams. Su SLA cubre la disponibilidad del servicio, no la recuperación de datos borrados hace meses. Si usas 365, necesitas una solución de backup dedicada.

Plan de recuperación (DRP) documentado

Tener las copias no basta: hay que saber cuánto tarda la restauración y en qué orden. Un buen proveedor te entrega un Plan de Recuperación de Desastres con:

• RTO (tiempo objetivo de recuperación): cuánto tardamos en volver a operar
• RPO (punto objetivo de recuperación): cuántos datos puedes perder como máximo

Pruebas de restauración periódicas

Al menos una vez al año, conviene simular una restauración completa. Si nunca has hecho la prueba, el día de la emergencia no será el mejor momento para descubrir que el backup no funciona.

Cómo aplicar la regla 3-2-1 en una pyme de Navarra

Un escenario típico para una empresa de 10-50 empleados:

1. Copia local: backup diario en un NAS dedicado, en una VLAN separada
2. Copia en la nube: replicación cifrada a un centro de datos en España
3. Copia inmutable: snapshots que no se pueden modificar ni borrar durante X días, ni siquiera por un administrador comprometido
4. Backup de Microsoft 365 aparte: correo, OneDrive, SharePoint, Teams
5. Backup del ERP con consistencia de base de datos: un backup del ERP en caliente sin parar el motor SQL puede ser irrecuperable

El objetivo: si mañana entras a la oficina y todo está cifrado, en menos de 24 horas estás operando con pérdida mínima de datos.

Relación con el resto de tu estrategia de ciberseguridad

El backup es la última línea de defensa, no la única. Tiene que convivir con:

• Ciberseguridad perimetral: firewall, antivirus corporativo, EDR
• Formación al empleado: el 80% de los incidentes empiezan por un phishing
• Actualizaciones constantes: revisadas en el mantenimiento informático preventivo
• Segmentación de red: que un equipo comprometido no tenga acceso a todo

Un buen backup te permite decir "no" a un rescate de ransomware sin miedo a perder el negocio.

El coste real de no tener backup

No hablamos de lo que cuesta el servicio. Hablamos de lo que cuesta no tenerlo:

• Días sin facturar
• Recuperación de datos manual (si es posible)
• Pago de rescate sin garantía de recuperación
• Sanciones RGPD por pérdida de datos personales
• Pérdida de confianza de clientes y proveedores
• Tiempo del equipo directivo gestionando la crisis

Una pyme que no puede operar durante varios días puede ver comprometida la continuidad del negocio. Cualquier interrupción prolongada supera con creces la inversión en un servicio de backup profesional.

Niebla: backup empresarial gestionado en Navarra

Llevamos desde 1984 protegiendo los datos de empresas en Navarra. Nuestro servicio de copias de seguridad incluye:

• Diseño de estrategia 3-2-1 adaptada a tu infraestructura
• Backup local + copia en centro de datos en España
• Backup específico de Microsoft 365 y bases de datos SQL
• Monitorización diaria y alertas en caso de fallo
• Pruebas de restauración periódicas
• Plan de Recuperación de Desastres documentado

Si no sabes si tu backup actual funcionaría en una emergencia, probablemente no funcione. Contacta con nosotros y hacemos una auditoría gratuita de tu estrategia de copias de seguridad.