Teléfono de RecuperaTusDatos900 899 002
Correo electrónico de RecuperaTusDatos info@recuperatusdatos.es
📞 Te llamamos
recuperación de datos
ES

Estrategia de Backup Empresarial 3-2-1-1-0: La Guía Definitiva para 2026

Resumen del artículo

La regla 3-2-1 de backup fue diseñada en una era sin ransomware moderno. En 2026, el ransomware cifra las copias en red y elimina las instantáneas VSS antes de atacar. La estrategia actualizada es 3-2-1-1-0: tres copias, dos medios distintos, una offsite, una offline inmutable y cero errores de restauración verificados.

Prevención 03/07/2025 11 min lectura Salvador García
Compartir:

La regla 3-2-1 de backup, propuesta por Peter Krogh en 2005, fue revolucionaria en su momento. Pero el panorama de amenazas ha cambiado radicalmente: el ransomware moderno cifra activamente las copias en unidades de red, elimina las instantáneas VSS y espera meses antes de activarse para contaminar todos los backups rotatorios. La estrategia 3-2-1-1-0 añade los dos elementos que faltaban: una copia offline inmutable y la verificación garantizada de restauración.

La Regla 3-2-1-1-0 en Resumen
  • 3 copias de los datos (1 principal + 2 copias de seguridad)
  • 2 medios de almacenamiento diferentes (ej: disco local + nube)
  • 1 copia offsite (fuera de las instalaciones físicas)
  • 1 copia offline o inmutable (air-gapped o WORM)
  • 0 errores en las pruebas de restauración verificadas

1. Por qué la regla 3-2-1 ya no es suficiente contra el ransomware

La regla 3-2-1 clásica sigue siendo válida como base, pero el ransomware moderno ha evolucionado específicamente para neutralizarla:

El ransomware cifra las unidades de red conectadas

La mayoría de implementaciones 3-2-1 tradicionales incluyen una copia en un NAS o servidor de red accesible desde el equipo de producción. El ransomware moderno (LockBit, BlackCat/ALPHV, Cl0p) enumera activamente todas las unidades de red y recursos compartidos SMB/NFS al que tiene acceso el equipo infectado, y los cifra antes o simultáneamente al cifrado de los datos de producción. Resultado: las copias de red cifradas son inutilizables.

Eliminación de instantáneas VSS

Windows Volume Shadow Copy Service (VSS) crea instantáneas de punto en el tiempo que permiten restaurar versiones anteriores de archivos. Es la primera línea de defensa que el ransomware elimina. Herramientas como vssadmin delete shadows /all /quiet o PowerShell equivalentes están integradas en prácticamente todos los ransomware actuales. Las instantáneas VSS no son un backup válido contra ransomware.

Tiempos de espera prolongados (dwell time)

Grupos avanzados de ransomware entran en la red meses antes de activar el cifrado. Durante ese tiempo, estudian la infraestructura, identifican los sistemas de backup y esperan a que los backups rotatorios (diarios, semanales, mensuales) hayan sobrescrito las copias anteriores al compromiso. Cuando finalmente activan el cifrado, todos los puntos de restauración disponibles contienen ya el malware.

Ataques específicos a software de backup

Veeam, Acronis, Commvault y otros sistemas de backup son objetivos prioritarios del ransomware. Los atacantes buscan credenciales del servidor de backup para deshabilitar los trabajos, eliminar los repositorios de backup o cifrarlos directamente antes del ataque principal.

2. Qué aporta la estrategia 3-2-1-1-0: los dos dígitos adicionales

El primer "1" adicional: copia offline inmutable

Una copia offline (air-gapped) o inmutable (WORM: Write Once, Read Many) es aquella a la que el ransomware no puede acceder porque físicamente no está conectada a la red, o porque su sistema de almacenamiento no permite modificar ni eliminar los datos una vez escritos.

Existen varias formas de implementarlo:

  • Air-gapped físico: disco duro o cinta magnética (LTO) que se desconecta físicamente después de cada backup. Solo se conecta durante la ventana de copia y se desconecta inmediatamente después.
  • Cinta LTO con almacenamiento offsite: la tecnología de cinta magnética sigue siendo el estándar de facto para backups inmutables de larga duración. Una cinta LTO-9 almacena hasta 45 TB (con compresión), dura 30+ años y no puede ser accedida por red.
  • Object storage con Object Lock (WORM): servicios como AWS S3 Object Lock, Azure Immutable Blob Storage o Wasabi permiten configurar períodos de retención durante los cuales los objetos no pueden ser modificados ni eliminados, ni siquiera por el propietario de la cuenta (en modo Compliance). Esto protege incluso si el atacante tiene credenciales de la cuenta cloud.
  • Repositorios de backup hardened (Linux): Veeam permite configurar un repositorio Linux con acceso inmutable (XFS con modo reflink), donde los datos no pueden ser eliminados durante el período de retención configurado.

El "0": cero errores verificados en restauración

Un backup que no se ha probado no es un backup; es una esperanza. El segundo dígito adicional de la estrategia 3-2-1-1-0 exige que se verifique regularmente que la restauración funciona y no contiene errores. Esto incluye:

  • Restauración completa de al menos un sistema al mes en un entorno aislado
  • Verificación de integridad de hash para cada job de backup
  • Test de recuperación de archivos individuales semanalmente
  • Documentación del RTO (tiempo de recuperación) real medido, no estimado

3. RTO y RPO: los dos indicadores que todo responsable debe conocer

Antes de implementar cualquier estrategia de backup, es imprescindible definir dos métricas:

  • RPO (Recovery Point Objective): ¿Cuántos datos nos podemos permitir perder? Si el RPO es 4 horas, el backup debe ejecutarse cada 4 horas como máximo. Si es 24 horas, un backup diario nocturno puede ser suficiente.
  • RTO (Recovery Time Objective): ¿En cuánto tiempo debemos estar operativos tras un desastre? Un RTO de 1 hora exige replicación en tiempo real y procedimientos de failover automatizados. Un RTO de 24 horas permite restauración desde cinta.

La estrategia de backup debe diseñarse para cumplir los RPO/RTO definidos por negocio, no por las capacidades técnicas disponibles. El departamento IT implementa la solución; el negocio decide qué nivel de pérdida es aceptable.

4. Implementación por tamaño de empresa

Pequeña empresa (1-20 empleados)

Necesidades: simplicidad, coste bajo, sin equipo IT dedicado.

  • Copia local: NAS Synology o QNAP con snapshots activados
  • Copia offsite: replicación automática a nube (Backblaze B2, 0,006$/GB/mes)
  • Copia inmutable: disco externo rotatorio (2-3 discos alternados, el que no está en uso se guarda fuera de la oficina)
  • Herramienta: Synology Hyper Backup + Cloud Sync, o Acronis Cyber Protect Essentials
  • Coste orientativo: 50-150€/mes (nube + herramienta)

Mediana empresa (20-200 empleados)

Necesidades: RTO bajo, protección contra ransomware, algo de equipo IT.

  • Copia local: Veeam Backup & Replication con repositorio hardened Linux (inmutable)
  • Copia offsite: replicación a cloud con Object Lock (AWS S3 o Azure)
  • Copia air-gapped: cinta LTO-8/9 o disco externo USB rotatorio con custodia offsite
  • Herramienta: Veeam Backup & Replication (desde 500€/año por socket) o Acronis Cyber Protect Advanced
  • Coste orientativo: 300-800€/mes
  • RTO objetivo alcanzable: 1-4 horas con Veeam Instant Recovery

Gran empresa / Enterprise (200+ empleados)

Necesidades: continuidad de negocio, cumplimiento normativo (ENS, ISO 27001, DORA), múltiples sites.

  • Replicación primaria: solución de replicación síncrona/asíncrona entre datacenter principal y DR site (VMware Site Recovery Manager, Zerto, Veeam)
  • Backup secundario: Veeam Enterprise Plus o Commvault con repositorios WORM
  • Backup terciario: cinta LTO con custodia en empresa de almacenamiento externo (Iron Mountain, Recall)
  • Verificación automatizada: Veeam SureBackup para tests automáticos de restauración en sandbox
  • Coste orientativo: desde 2.000€/mes (muy variable según volumen)
  • RTO objetivo alcanzable: <15 minutos con replicación activa

5. Software de backup recomendado para empresas en 2026

Solución Ideal para Backup inmutable Precio desde
Veeam Backup & Replication Mediana y gran empresa, VMware/Hyper-V Sí (Linux hardened) ~500€/año/socket
Acronis Cyber Protect Pequeña y mediana empresa Sí (cloud WORM) ~85€/año/equipo
Windows Server Backup Pequeña empresa, presupuesto limitado No nativo Incluido en Windows Server
AWS Backup + S3 Object Lock Infraestructura cloud/híbrida Sí (WORM nativo) ~0,05$/GB/mes
Commvault Complete Gran empresa, entorno heterogéneo Sí (múltiples opciones) Licencia por volumen

6. Preguntas frecuentes

¿La nube (OneDrive, Google Drive) cuenta como copia de backup válida?

Cuenta como copia offsite, pero no como copia inmutable. OneDrive y Google Drive tienen papelera de reciclaje y versiones, pero el ransomware que infecta el ordenador puede sincronizar los archivos cifrados a la nube y sobreescribir las versiones anteriores si la sincronización automática está activa. Necesitas configurar retención de versiones prolongada (mínimo 90 días) y desactivar la sincronización durante un incidente.

¿Con qué frecuencia debo probar la restauración del backup?

Como mínimo, una restauración completa de un sistema al trimestre, y verificaciones de integridad automáticas en cada job de backup. Las pruebas de restauración de archivos individuales deben hacerse semanalmente. El "0" de la regla 3-2-1-1-0 significa que no puede haber ni un error sin detectar: configura alertas para cualquier job fallido.

¿Cuánto tiempo debo retener los backups?

Depende del sector y la normativa aplicable. Como regla general: backups diarios durante 30 días, semanales durante 3 meses, mensuales durante 1 año, anuales durante 7 años (requisito fiscal en España). Para ransomware con dwell time largo, tener backups de 90+ días es esencial para encontrar un punto de restauración limpio.

¿La estrategia 3-2-1-1-0 protege contra todos los tipos de pérdida de datos?

Protege contra la gran mayoría: ransomware, borrado accidental, fallo de hardware, desastre físico (incendio, inundación), error humano y fallo de software. No protege contra borrado intencionado con acceso a todas las copias simultáneamente (amenaza interna con privilegios extremos), ni contra vulnerabilidades zero-day en el propio software de backup antes de que estén parcheadas.

¿Qué debo hacer si ya sufrí un ataque de ransomware y mis backups también están cifrados?

Contacta con un laboratorio de recuperación de datos antes de pagar el rescate. En muchos casos, especialmente en variantes de ransomware con debilidades criptográficas conocidas, es posible descifrar los datos sin pagar. Además, el pago del rescate no garantiza la recuperación y financia futuros ataques. Conserva todos los archivos cifrados; las herramientas de descifrado para variantes antiguas se publican regularmente en NoMoreRansom.org.

¿Tu empresa ya sufrió una pérdida de datos o ataque ransomware?

Diagnóstico gratuito en 4 horas. Especialistas en recuperación empresarial. Sin recuperación, sin coste.

Consultar caso empresarial
O llámanos: 900 899 002

¿Necesitas recuperar datos?

Nuestro equipo técnico puede ayudarte. Diagnóstico gratuito en 4 horas, sin compromiso.

  • Precio: Desde 250€ + IVA — sin recuperación, sin coste
  • Plazo: 4–12 días laborables (urgente: 24–48 h)
  • Teléfono: 900 899 002
  • Certificación: ISO 9001 e ISO 27001 (AENOR)

Escrito por

Salvador García

Responsable de Laboratorio — RecuperaTusDatos

Responsable del laboratorio de RecuperaTusDatos. Especialista en procesos de sala limpia ISO Clase 5, cadena de custodia forense y recuperación de discos duros mecánicos con daño físico grave. Supervisa todos los casos complejos del laboratorio.

Sala Limpia ISO Clase 5 ISO 9001 Cadena de Custodia
Publicado: 03/07/2025 11 min de lectura

Servicio disponible en toda España — Recogida gratuita en 24h

Barcelona
Madrid
Valencia
Sevilla
Bilbao
Zaragoza
Málaga
Alicante
Murcia
Palma
Córdoba
Vigo

Recibe consejos y alertas de recuperación de datos

Guías prácticas, novedades y consejos para proteger tus datos. Sin spam.

Entérate de todo lo nuevo

Técnica Ingeniería y Robótica Aplicada S.L. como responsable del tratamiento tratará tus datos con la finalidad de dar respuesta a tu consulta o petición. Puedes acceder, rectificar y suprimir tus datos, así como ejercer otros derechos consultando la información adicional y detallada sobre protección de datos en nuestra Política de Privacidad.

Prometemos enviarte sólo información interesante.

Diagnóstico gratuito 900 899 002 WhatsApp WhatsApp
Llamar Te llamamos Diagnóstico

¿Necesitas recuperar datos?

Diagnóstico 100% gratuito y sin compromiso.
Si no recuperamos tus datos, no cobramos.

Solicitar diagnóstico gratuito