Backup empresarial: estrategia completa de copias de seguridad

Backup empresarial: estrategia completa de copias de seguridad

La regla 3-2-1 sigue siendo el mínimo aceptable para un backup empresarial que aguante un ransomware: tres copias de tus datos, en dos soportes distintos, con una fuera de la oficina. Todo lo demás son matices. El problema es que muchas empresas creen tener copias de seguridad cuando lo que tienen es un disco USB en el mismo armario que el servidor, conectado permanentemente, y que nadie ha restaurado jamás. Eso no es una estrategia de backup: es un amuleto. Y los amuletos no funcionan cuando llega un cifrador que busca activamente unidades montadas para destruirlas antes de pedir rescate. Aquí va cómo montar copias de seguridad en tu empresa que sirvan de verdad, qué te va a costar, qué normativa te obliga a qué, y por qué la única prueba de que tu backup existe es haber recuperado datos con él.

La regla 3-2-1 y su versión actualizada

El principio lo popularizó el fotógrafo Peter Krogh en su libro The DAM Book (2005), y el US-CERT lo adoptó como recomendación oficial. Aguanta bien el paso del tiempo, aunque el ransomware ha obligado a añadirle extras.

  • 3 copias: el original más dos copias adicionales.
  • 2 soportes distintos: por ejemplo NAS local y cinta, o disco y nube. Si los dos soportes son el mismo modelo de disco de la misma tanda de fabricación, tienen la mala costumbre de morirse a la vez.
  • 1 copia offsite: fuera del edificio. Un incendio, una inundación o un robo no distinguen entre servidor y copia de seguridad si están en la misma sala.

La versión moderna se conoce como 3-2-1-1-0, y añade dos condiciones que el ransomware ha hecho obligatorias:

  • 1 copia inmutable o air-gapped: que no se pueda modificar ni borrar durante un periodo definido, ni siquiera con credenciales de administrador. Aquí entran el Object Lock de S3, los repositorios hardened de Veeam, o directamente cintas guardadas en una caja fuerte.
  • 0 errores de verificación: cada copia se comprueba automáticamente. Un backup sin verificar es una hipótesis.

El detalle de la inmutabilidad no es teórico. Los grupos de ransomware dedican la fase previa al cifrado a buscar y destruir las copias. Akira sigue operando; LockBit y BlackCat cayeron en operaciones policiales durante 2024, pero sus herramientas y sus afiliados se reciclaron en familias sucesoras que usan el mismo manual. Borran las shadow copies de Windows con vssadmin delete shadows, buscan consolas de Veeam o Veritas, y si encuentran credenciales del NAS, lo formatean. Tu estrategia de backup tiene que asumir que el atacante ya tiene admin de dominio.

RPO y RTO: los dos números que definen tu estrategia

Antes de comprar nada, define dos cifras. Son las que convierten "hacemos copias" en una política real.

  • RPO (Recovery Point Objective): cuántos datos te puedes permitir perder, medido en tiempo. Si haces copia cada noche a las 2:00 y el desastre llega a las 18:00, tu RPO real son 16 horas de trabajo perdido.
  • RTO (Recovery Time Objective): cuánto tarda tu empresa en volver a operar. Incluye detectar el problema, decidir restaurar, restaurar y validar. No es solo el tiempo de copiar ficheros.

Estas dos cifras no se deciden en el departamento de sistemas. Se deciden con dirección, porque son una pregunta de negocio: cuánto cuesta cada hora de parada. Una asesoría que factura por horas y una tienda online tienen respuestas radicalmente distintas.

PerfilRPO razonableRTO razonableEnfoque
Ficheros ofimáticos, despacho pequeño24 h24-48 hBackup nocturno + nube
ERP / contabilidad1-4 h4-8 hSnapshots + réplica
Ecommerce / SaaSminutos< 1 hRéplica continua + failover
Correo corporativo1 h4 hBackup SaaS de terceros

Si tu RTO es de cuatro horas y tienes 8 TB en un NAS conectado por gigabit, haz el cálculo antes de prometer nada: ese enlace mueve como mucho unos 400 GB por hora aproximadamente, y solo en condiciones ideales. La aritmética es despiadada y no negocia.

Backup en nube para empresa: qué mirar más allá del precio por terabyte

El backup en la nube ha bajado de precio hasta hacer difícil justificar una cintoteca en una pyme. Pero el precio por TB almacenado es la parte fácil. Lo que arruina presupuestos son las salidas.

  • Costes de egress: muchos proveedores cobran por sacar los datos. El día que necesites restaurar 5 TB de golpe —justo el peor día del año— llega una factura inesperada. Proveedores como Backblaze B2 o Wasabi han construido su propuesta comercial precisamente sobre eliminar o limitar ese cargo. Léete la letra pequeña antes, no durante la crisis.
  • Clases de almacenamiento frío: S3 Glacier Deep Archive es baratísimo de guardar, pero recuperar puede tardar horas y tiene coste por petición. Perfecto para archivo legal, terrible como copia operativa.
  • Cifrado del lado cliente: los datos deben cifrarse antes de salir de tu red, con claves que controles tú. Si el proveedor puede leer tus datos, tu proveedor es un tercero con acceso a datos personales y eso tiene consecuencias contractuales.
  • Object Lock: verifica que esté activo y con retención configurada. Sin él, unas credenciales de API filtradas equivalen a un botón de borrado remoto.

Un punto que se olvida sistemáticamente: Microsoft 365 y Google Workspace no hacen backup por ti. Ambos tienen políticas de retención y papeleras, pero eso no es una copia de seguridad; es una red de seguridad limitada, con plazos cortos, contra borrados accidentales. Microsoft lo dice en su modelo de responsabilidad compartida: ellos garantizan la infraestructura, tú los datos. Si un empleado con acceso borra un buzón y pasan los días de retención, se acabó. Herramientas como Veeam Backup for Microsoft 365, Afi o Synology Active Backup cubren ese hueco.

Qué hay que copiar (y qué se olvida siempre)

El inventario es la parte aburrida y la que más restauraciones fallidas provoca. Lo típico es tener copia impecable de la carpeta compartida y ninguna del sistema que hace funcionar el negocio.

  1. Bases de datos: con dump consistente, no copiando ficheros en caliente. Un .mdf o un ibdata1 copiado mientras el motor escribe es un fichero corrupto con aspecto de fichero sano.
  2. Máquinas virtuales completas: imagen entera, no solo datos. Restaurar un servidor desde cero reinstalando y reconfigurando puede llevar días.
  3. Configuración de red: firewall, VPN, VLANs. Documentado y exportado.
  4. Certificados y claves: incluidas las privadas de firma de código y las de la CA interna si tienes.
  5. Repositorios de código y pipelines: GitHub o GitLab tampoco son tu backup. Si aún no tratas la seguridad de la cadena de desarrollo como parte del perímetro, este artículo sobre integrar seguridad en el desarrollo de software es un buen punto de partida.
  6. Webs y CMS: base de datos y ficheros, sincronizados en el tiempo. Restaurar una web con la BD del martes y los ficheros del jueves produce resultados creativos. En el caso concreto de WordPress, conviene combinarlo con las medidas de protección básica del sitio, porque restaurar una web comprometida sin cerrar el agujero solo reinicia el reloj.
  7. Correo: buzones, calendarios y contactos del tenant cloud.
  8. Documentación de recuperación: las contraseñas del gestor de contraseñas y el runbook. Guardadas donde puedas leerlas sin necesitar el sistema caído. Sí, es un clásico: el plan de recuperación en un PDF dentro del servidor cifrado.

Restaurar: la única prueba de que existe tu backup

Schrödinger tenía un gato; tú tienes un backup. Está simultáneamente vivo y muerto hasta que abres la caja e intentas restaurar. La mayoría de las empresas que descubren que sus copias no servían lo descubren el peor día posible.

Modos habituales de fallo silencioso:

  • El job lleva meses fallando y las alertas van a un buzón que nadie mira.
  • La copia funciona pero excluye una carpeta que alguien añadió al filtro hace dos años.
  • El backup está cifrado y la clave estaba en el servidor que ya no arranca.
  • El fichero se copia entero pero la base de datos no arranca porque la copia fue inconsistente.
  • El backup lleva meses copiando fielmente datos que ya estaban comprometidos.

Contra esto solo hay una defensa: pruebas de restauración periódicas y documentadas. Trimestral como mínimo. Restauración completa a un entorno aislado, arrancando el sistema y validando que la aplicación funciona, no solo que los ficheros están. Veeam SureBackup y funciones equivalentes de otros fabricantes lo automatizan arrancando las VMs en una red aislada y ejecutando comprobaciones. Si no tienes esa herramienta, hazlo a mano y anota fecha, duración y problemas. Ese registro vale oro en una auditoría, y más aún ante un incidente.

Mide también el tiempo real. Si tu RTO comprometido son 4 horas y la prueba tarda 11, no tienes un problema de backup: tienes un RTO ficticio que alguien firmó sin comprobarlo.

Que la copia de seguridad es obligatoria no es interpretación nuestra. El RGPD (Reglamento UE 2016/679), en su artículo 32, exige entre las medidas de seguridad "la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico", y también "un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas". Traducido: no basta con tener copias, hay que probar que se restauran.

La LOPDGDD (Ley Orgánica 3/2018) desarrolla el RGPD en España, y la AEPD publica guías de medidas de seguridad que tratan las copias como control básico. Añade el Esquema Nacional de Seguridad (Real Decreto 311/2022) si trabajas con administraciones públicas, donde la medida mp.info.6 cubre expresamente copias de seguridad. Y la Directiva NIS2 (UE 2022/2555), cuyo plazo de transposición venció en octubre de 2024 y que España ha incorporado a su ordenamiento con retraso, extiende obligaciones de gestión de continuidad y backup a muchos más sectores de los que cubría la NIS original, con responsabilidad directa de los órganos de dirección. Comprueba en qué categoría cae tu empresa antes de asumir que no te aplica.

Para el marco fiscal, la obligación de conservar documentación contable durante seis años viene del artículo 30 del Código de Comercio, mientras que la Ley General Tributaria fija el plazo de prescripción en cuatro años. En la práctica, seis años de retención para documentación contable es el suelo, no el techo.

Ojo con la tentación de retener todo para siempre: el RGPD también impone limitación del plazo de conservación (artículo 5.1.e). Un backup eterno de datos personales es un incumplimiento por el otro lado, y el INCIBE insiste en ello en sus guías para pymes. Define retenciones por tipo de dato y automatiza el purgado.

Un plan mínimo viable para una pyme

Sin sobreingeniería. Esto es lo que puede montar una empresa de 10 a 50 personas y funciona.

  1. Inventario: lista de sistemas críticos con propietario, RPO y RTO. Una hoja de cálculo basta.
  2. Copia local: NAS o servidor de backup dedicado, en VLAN aislada, con credenciales que no sean del dominio. Si el atacante compra tu Active Directory, el backup no debe venir en el lote.
  3. Copia en nube inmutable: replicación diaria a un bucket con Object Lock y retención mínima de 30 días.
  4. Backup del tenant cloud: Microsoft 365 o Google Workspace, con herramienta específica.
  5. Alertas que alguien lee: correo y canal de chat, con revisión semanal asignada a una persona con nombre y apellidos.
  6. Prueba trimestral: restauración completa documentada, con tiempos medidos.
  7. Runbook offline: procedimiento de recuperación impreso o en un dispositivo desconectado. Con teléfonos, contactos de proveedores y credenciales de emergencia.

Si por el camino descubres que no sabes qué hay expuesto en tu red —qué servicios corren, qué puertos están abiertos, qué máquinas hay realmente conectadas— empieza por ahí, porque no puedes copiar lo que no sabes que existe. Un escaneo de puertos con Nmap es una forma rápida y gratuita de descubrir el inventario real, que suele diferir bastante del inventario teórico.

Complementa con las herramientas gratuitas de higiene: Have I Been Pwned para saber si las credenciales corporativas circulan por ahí, y VirusTotal para verificar ficheros sospechosos antes de restaurarlos. Porque restaurar un backup infectado es reinstalar el problema con más pasos.

Y si el proyecto incluye rehacer la infraestructura digital de la empresa —web, aplicaciones internas, automatizaciones—, la copia de seguridad debe formar parte del diseño desde el principio, no ser un parche posterior. Los equipos que desarrollan proyectos web profesionales deberían entregarte el plan de backup junto con el código, y no como servicio opcional a facturar aparte. Si además estás integrando sistemas de IA en procesos de empresa, añade a la lista los modelos afinados, los embeddings y las bases de datos vectoriales: reconstruir eso desde cero es caro y lento.

Preguntas frecuentes

¿Cada cuánto hay que hacer copias de seguridad en una empresa?

Depende de tu RPO, no de una regla universal. Para ficheros ofimáticos, una copia diaria nocturna suele bastar; para bases de datos transaccionales, snapshots cada pocas horas más los logs de transacciones. La pregunta correcta no es "cada cuánto" sino "cuánto trabajo puedo permitirme rehacer".

¿Es suficiente con Google Drive o OneDrive como backup?

No. Son servicios de sincronización, y sincronizar propaga el desastre: si un ransomware cifra la carpeta local, la versión cifrada sube sola a la nube. El versionado y la papelera dan algo de margen, pero con plazos cortos y sin garantía de restauración masiva. Sirven para compartir ficheros, no como copia de seguridad de una empresa.

¿Cuánto cuesta un backup empresarial para una pyme?

Como orden de magnitud para 2026: un NAS de cuatro bahías con discos ronda los 1.000-1.800 €, el almacenamiento en nube inmutable se mueve alrededor de 6-8 € por TB y mes según proveedor, y el backup de Microsoft 365 suele facturarse por buzón y año, en el entorno de 20-40 € por usuario. Una pyme de 25 personas con unos pocos TB puede quedarse en un rango aproximado de 150-400 € al mes entre licencias y nube. Pide presupuesto: estas cifras son estimaciones y varían mucho por volumen y proveedor.

¿Qué es exactamente un backup inmutable?

Una copia que no se puede modificar ni borrar durante un plazo fijado al escribirla, ni siquiera por un administrador con todas las credenciales. Se implementa con Object Lock en almacenamiento compatible con S3, con repositorios hardened, o con cinta fuera de línea. Es la diferencia entre que el atacante te cifre los datos y que además te borre la salida.

¿Cada cuánto hay que probar las restauraciones?

Trimestral como mínimo para los sistemas críticos, y siempre después de un cambio grande de infraestructura. Anota fecha, duración real y qué falló. Sin ese registro no puedes demostrar ante la AEPD que cumples el artículo 32 del RGPD, ni sabes si tu RTO es real o es una cifra que alguien escribió en una diapositiva.

El siguiente paso

Abre una hoja de cálculo y lista tus cinco sistemas más críticos con su RPO y su RTO. Después coge el primero de la lista y restaura una copia completa a un entorno aislado, cronómetro en mano.

Si el tiempo medido supera el RTO que tenías en la cabeza, ya sabes dónde está el trabajo de este trimestre. Y si la restauración directamente falla, mejor enterarse hoy que el día del incidente.

backup empresarial copias seguridad empresa backup nube empresa estrategia backup recuperación datos empresa

Artículos relacionados

← Volver al blog