La pérdida de datos empresariales cuesta de media entre 50.000 y 500.000€ según el sector, el tamaño y el tiempo de inactividad. La buena noticia: el 90% de esas pérdidas se pueden prevenir con una estrategia de backup bien diseñada. En esta guía analizamos los tipos de backup, la regla 3-2-1, los errores más comunes y cómo definir un plan realista para tu empresa.
Los 3 tipos fundamentales de backup empresarial
Antes de diseñar cualquier estrategia, es imprescindible entender qué copia cada tipo de backup y cuándo conviene usarlo. No existe un tipo "mejor": la solución óptima casi siempre combina los tres.
| Completo | Incremental | Diferencial | |
|---|---|---|---|
| Qué copia | Todos los datos, siempre | Solo cambios desde el último backup (completo o incremental) | Solo cambios desde el último backup completo |
| Espacio en disco | Alto | Muy bajo | Medio (crece cada día) |
| Velocidad copia | Lenta | Muy rápida | Rápida |
| Velocidad recuperación | Muy rápida | Lenta (necesita toda la cadena) | Rápida (solo 2 backups) |
| Cuándo usar | Semanal (base de la estrategia) | Diario (minimiza ventana de backup) | Cuando el RTO exige recuperación rápida |
La combinación más habitual en PYMEs es backup completo semanal + incremental diario. Las empresas con mayor criticidad de datos optan por completo semanal + diferencial diario para acelerar el proceso de restauración.
La regla 3-2-1 (y por qué muchas empresas la aplican mal)
La regla 3-2-1 es el estándar de facto en continuidad de negocio. Sencilla de enunciar, difícil de implementar correctamente:
- 3 copias de cada dato importante (el original cuenta como una)
- En 2 tipos de soporte diferentes (por ejemplo, disco NAS + cinta LTO, o NAS + cloud)
- Con 1 copia offsite, es decir, fuera de las instalaciones físicas de la empresa
Esto garantiza que un único punto de fallo —incendio, inundación, robo, corte de luz, ransomware— no destruya todos los datos a la vez. Sin embargo, muchas empresas dicen aplicar la regla 3-2-1 cuando en realidad están cometiendo alguno de estos errores:
Error 1: "1 copia = 0 copias". Una sola copia de seguridad, aunque esté en un soporte separado, no te protege. Si ese soporte falla exactamente cuando lo necesitas —y los soportes fallan— pierdes todo. La regla empieza en tres por algo.
Error 2: La copia "offsite" en el mismo edificio. Un NAS en la sala de servidores y otro NAS en la sala de al lado no es offsite: es dos copias en el mismo riesgo físico. Offsite significa literalmente fuera del edificio: una sede diferente, un data center externo o un servicio cloud.
Error 3: Nunca verificar si el backup funciona. Un backup no comprobado es un backup que no existe. La única forma de saber si una copia de seguridad es válida es intentar restaurarla. El 40% de las empresas que creen tener backup descubren que falla en el peor momento posible.
Arquitectura de backup para PYMEs: qué necesitas realmente
No hace falta la infraestructura de una gran corporación para tener una estrategia de backup sólida. Para la mayoría de PYMEs, una arquitectura de tres capas es suficiente:
Capa 1 — Local (recuperación rápida): Un NAS empresarial con RAID 1 o RAID 5 y snapshots automáticos programados. Los snapshots permiten recuperar versiones anteriores de archivos en minutos, sin necesidad de restaurar desde cero. Esta capa resuelve el 80% de los incidentes cotidianos: borrado accidental, corrupción de archivos, fallo de un disco.
Capa 2 — Offsite o cloud (protección ante desastre): Replicación automática a un servicio cloud especializado en backup empresarial. Las opciones más extendidas en España son Azure Backup (Microsoft), Veeam Cloud Connect y Acronis Cyber Backup. Esta capa protege ante incendio, inundación, robo o cualquier evento que destruya las instalaciones físicas.
Capa 3 — Restauración verificada (confianza real): Una vez al mes, restaura un conjunto de datos en un entorno de prueba y comprueba que la información es correcta e íntegra. Sin esta verificación, las dos primeras capas son falsas promesas. Documenta cada prueba con fecha y resultado.
Backup en la nube vs. backup local: ¿qué elige cada empresa?
La elección no es binaria: casi todas las estrategias maduras combinan ambas opciones. Aun así, conviene entender las diferencias para dimensionar correctamente la inversión:
| Criterio | Local (NAS / cinta LTO) | Cloud (Azure / Acronis / Veeam) |
|---|---|---|
| Coste inicial | Alto (hardware) | Bajo o nulo |
| Coste recurrente | Bajo (mantenimiento) | Suscripción mensual |
| Velocidad de recovery | Muy alta (red local) | Depende del ancho de banda |
| Riesgo ransomware | Alto si está conectado a la red | Bajo si usa almacenamiento inmutable |
| Cumplimiento GDPR | Depende del procedimiento interno | Facilita certificaciones (ISO 27001) |
| Mantenimiento | Requiere personal técnico | Gestionado por el proveedor |
Para PYMEs sin equipo IT dedicado, el cloud reduce la carga operativa. Para empresas con grandes volúmenes de datos o conexiones lentas, el backup local sigue siendo imprescindible para garantizar RTOs cortos.
El error que destruye el 40% de los backups: el ransomware
El ransomware ha evolucionado. Ya no se limita a cifrar archivos y pedir rescate: primero identifica y destruye o cifra los backups para eliminar cualquier opción de recuperación gratuita. El resultado es que muchas empresas que "tenían backup" descubren que su única copia también está cifrada.
Las tres medidas técnicas que realmente marcan la diferencia son:
- Air-gapped backups: Copias completamente desconectadas de la red tras completarse. Las cintas LTO extraídas físicamente del sistema son el ejemplo más extremo. No hay conexión = no hay cifrado remoto posible.
- Almacenamiento inmutable (Object Lock / WORM): Tecnología disponible en proveedores como AWS S3, Azure Blob o Wasabi que impide modificar o borrar objetos durante un período definido. Aunque el ransomware acceda a las credenciales del bucket, no puede alterar los datos existentes.
- Cinta LTO offline: La recuperación de la industria cinematográfica y financiera: cintas rotativas almacenadas fuera de las instalaciones. Lento para restaurar, imposible de cifrar remotamente.
Si tu empresa ya ha sufrido un ataque de ransomware y necesitas recuperar datos de discos cifrados, consulta nuestra guía sobre recuperación de datos cifrados por ransomware. También puede ser útil revisar qué hacer cuando falla un RAID empresarial, situación que suele combinarse con incidentes de este tipo.
RTO y RPO: los dos números que toda empresa debe conocer
Una estrategia de backup sin objetivos cuantificados no es una estrategia: es un deseo. El RTO y el RPO son los dos parámetros que convierten el backup en un plan de negocio real.
RTO (Recovery Time Objective) es el tiempo máximo que puede estar un sistema inaccesible antes de que el impacto sea inaceptable para el negocio. Si tu ERP lleva 6 horas caído y los pedidos no se procesan, ¿cuánto dinero pierdes? ¿En qué momento el daño es irreparable? Eso determina tu RTO.
RPO (Recovery Point Objective) es la cantidad máxima de datos que puedes permitirte perder, medida en tiempo. Si haces backup cada 24 horas y sufres un incidente a las 23:00, perderás casi un día completo de transacciones. ¿Tu empresa puede asumir esa pérdida? Eso determina tu RPO.
Para calcular ambos valores, responde estas preguntas por sistema o aplicación:
- ¿Cuánto factura (o pierde) la empresa por hora de inactividad de este sistema?
- ¿Cuántas transacciones o registros se generan por hora que serían irrecuperables?
- ¿Hay obligaciones contractuales o legales que exijan disponibilidad mínima?
- ¿Cuánto tiempo llevaría reconstruir manualmente los datos perdidos?
Una vez definidos RTO y RPO, el dimensionamiento del backup deja de ser una decisión técnica y se convierte en una decisión de negocio con números concretos. Si quieres ampliar este tema, nuestra guía sobre la regla 3-2-1 y la continuidad de negocio profundiza en cómo alinear la arquitectura técnica con estos objetivos.
Cumplimiento GDPR y copias de seguridad
El Reglamento General de Protección de Datos (RGPD) no menciona explícitamente el término "backup", pero su artículo 32 obliga a las empresas que tratan datos personales a aplicar "medidas técnicas y organizativas apropiadas" para garantizar "la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico". En la práctica, esto significa que una empresa sin política de backup documentada incumple el RGPD.
Los puntos clave que debes tener cubiertos desde el punto de vista del cumplimiento son:
- Política de retención documentada: Cuánto tiempo se conservan los backups, en qué soporte y con qué nivel de acceso. Esta política debe estar escrita y auditada periódicamente.
- Cifrado de los datos en backup: Los datos personales en las copias de seguridad deben estar cifrados, tanto en tránsito como en reposo. Un backup en texto plano en un disco extraíble es una brecha de seguridad potencial.
- Derecho de supresión aplicado a backups: El famoso "derecho al olvido" también aplica a las copias de seguridad. Si un cliente solicita la eliminación de sus datos, debes tener un procedimiento para identificar y eliminar esa información también de los backups, o documentar por qué no es técnicamente posible.
- Registro de actividades de tratamiento: Las operaciones de backup deben estar reflejadas en el registro del Art. 30 RGPD, indicando el responsable, la finalidad y las medidas de seguridad aplicadas.
El incumplimiento del Art. 32 puede derivar en sanciones de hasta 10 millones de euros o el 2% de la facturación global anual. Pero más allá de la sanción económica, una empresa sin backup que sufre una brecha de datos personales puede enfrentarse a responsabilidades civiles frente a los afectados.
WhatsApp