Regla 3-2-1 de Copias de Seguridad: Guía Completa para No Perder Datos
La regla 3-2-1 es el estándar de copia de seguridad recomendado por el FBI, el INCIBE y todos los organismos de ciberseguridad: mantén 3 copias de tus datos, en 2 soportes diferentes, con 1 copia fuera de tu ubicación. En esta guía explicamos qué significa cada número, por qué una sola copia no es suficiente, cómo implementarla paso a paso y qué herramientas usar en Windows, macOS y entornos empresariales.
Dato clave
El 58% de las empresas que pierden datos en un incidente mayor habían tenido al menos un backup — que también falló. El error más común no es no tener copia de seguridad: es no verificar que funciona. La regla 3-2-1 no es solo hacer tres copias; es hacer tres copias que sean restaurables.
Qué es la regla 3-2-1
La regla 3-2-1 de copias de seguridad fue popularizada por el fotógrafo y especialista en gestión de activos digitales Peter Krogh en su libro The DAM Book (2005) y adoptada desde entonces por el NIST (EE.UU.), el CCN-CERT, el INCIBE y el propio FBI como el estándar mínimo de protección de datos. Tres números que resumen una estrategia completa:
| Número | Qué significa | Ejemplo práctico | Riesgo que cubre |
|---|---|---|---|
| 3 | Tres copias totales (original + 2 backups) | Datos en el PC + copia en disco externo + copia en la nube | Fallo de cualquier soporte individual |
| 2 | Dos soportes distintos | Disco duro + nube (no dos discos del mismo modelo) | Fallos sistémicos de una tecnología o fabricante |
| 1 | Una copia fuera del sitio | En la nube, en otra sede o en casa de un empleado | Incendio, inundación, robo o desastre local |
La clave de su eficacia es la independencia entre copias. Si tus tres copias están en el mismo armario o en el mismo proveedor de nube, siguen siendo un único punto de fallo.
Por qué una sola copia no es suficiente
La mayoría de personas que "tienen backup" tienen una sola copia: el disco externo que enchufan de vez en cuando, o la carpeta de Google Drive sincronizada. Eso no es suficiente por varias razones:
- Los discos fallan sin aviso. Los discos duros HDD tienen una tasa de fallo anual del 1,5–3,5% según estudios de Backblaze. Los SSD fallan de forma más abrupta y sin señales previas.
- Una copia en el mismo lugar no protege contra desastres. Si tu PC y tu disco externo están en el mismo escritorio, un incendio, una inundación o un robo los destruye a ambos a la vez.
- El ransomware cifra los backups conectados. Si el disco de backup está siempre enchufado al ordenador, el ransomware lo cifra junto con tus datos originales en minutos.
- Los backups pueden estar silenciosamente corruptos. Un trabajo de copia puede terminar mostrando "completado" mientras deja archivos incompletos o con permisos incorrectos que impiden la restauración.
Backup vs. sincronización: OneDrive y Dropbox NO son copias de seguridad
Este es uno de los errores más extendidos y más costosos. OneDrive, Google Drive y Dropbox son herramientas de sincronización, no de backup. La diferencia es fundamental:
Backup real
- Guarda versiones históricas de los archivos
- Si borras un archivo, la copia lo conserva
- Si el ransomware cifra un archivo, la copia guarda la versión anterior
- Tienes control total sobre la retención
Sincronización (OneDrive, Dropbox, Google Drive)
- Refleja el estado actual de tus archivos en la nube
- Si borras un archivo, también se borra en la nube (al instante)
- Si el ransomware cifra tus archivos, sube las versiones cifradas a la nube
- El historial de versiones es limitado (30–180 días según plan)
La sincronización es útil como componente de una estrategia 3-2-1 (como la copia offsite), pero solo si se combina con una herramienta de backup real que gestione versiones y verificación de integridad por separado. Depender únicamente de la carpeta de Google Drive sincronizada no es seguir la regla 3-2-1.
Cómo implementar la regla 3-2-1 paso a paso
No necesitas hacer backup de todo tu disco duro. Prioriza: fotos y vídeos personales, documentos de trabajo y proyectos en curso, bases de datos y archivos de configuración de aplicaciones, licencias de software y credenciales (en gestor de contraseñas cifrado). En empresas: datos de clientes, contabilidad, contratos y proyectos activos. Excluye archivos temporales, caché del sistema y archivos del sistema operativo que puedes reinstalar.
Ejemplo para particular: (1) datos originales en el disco interno del PC — original; (2) disco duro externo USB o NAS doméstico — copia local en soporte diferente; (3) servicio de backup en nube (Backblaze, iCloud, OneDrive con historial) — copia offsite. Verifica que las copias son realmente independientes: dos discos duros del mismo modelo conectados al mismo PC no son dos soportes diferentes.
Windows: Windows Backup integrado para archivos personales + Veeam Agent Free para imagen completa del sistema. macOS: Time Machine para copia local + Backblaze Personal Backup para offsite continuo. Para empresas: Veeam Backup & Replication o Acronis Cyber Protect para entornos con servidores y VMs. La herramienta debe soportar cifrado de los backups y notificaciones de error por email.
El backup manual que depende de que te acuerdes fallará en el peor momento. Programa copias automáticas: copia local diaria (mínimo), copia en nube continua o cada hora para datos críticos, imagen completa del sistema semanal. Configura las notificaciones de error: necesitas saber cuándo un backup falla, no descubrirlo cuando más lo necesitas.
Un backup no verificado no es un backup. Cada trimestre, restaura un archivo o carpeta aleatoria de tu copia de seguridad y comprueba que el contenido es correcto e íntegro. Una vez al año, realiza una prueba de restauración completa del sistema en un entorno de prueba (máquina virtual o PC de repuesto). El CCN-CERT y el NIST recomiendan documentar estas pruebas como parte del plan de continuidad.
Particulares vs. empresas: cómo adaptar la regla 3-2-1
Para particulares
- Copia 1 (original): PC o portátil principal
- Copia 2 (local): Disco duro externo USB guardado desenchufado
- Copia 3 (offsite): Backblaze Personal Backup (~99 €/año, ilimitado)
- Automatización: Time Machine (Mac) o Windows Backup + Backblaze
- Coste estimado: desde 0 € con herramientas gratuitas + disco externo
- Verificación: restore trimestral de una carpeta de fotos
Para empresas (PYME)
- Copia 1 (original): Servidor o NAS principal
- Copia 2 (local): NAS secundario o servidor de backup con Veeam
- Copia 3 (offsite): Azure Backup, Backblaze B2 o Wasabi con retención 90 días
- Air-gap: Disco externo rotativo semanal fuera de las instalaciones
- Obligación RGPD: El art. 32 exige medidas técnicas contra pérdida accidental de datos personales
- Verificación: Test de restauración mensual documentado
⚠ RGPD y copias de seguridad: El Reglamento General de Protección de Datos exige que las empresas apliquen medidas técnicas apropiadas para proteger los datos personales contra pérdida accidental (art. 32). La ausencia de backup adecuado puede considerarse una medida insuficiente y resultar en sanciones de hasta el 2% del volumen de negocio anual. La Agencia Española de Protección de Datos (AEPD) ya ha sancionado a empresas por incidentes de pérdida de datos donde no existía política de backup documentada.
Herramientas recomendadas por plataforma
Para particulares
Windows
- Windows Backup — Integrado en Windows 10/11. Backup de archivos personales a disco externo o red. Gratis, configuración sencilla, ideal para comenzar.
- Veeam Agent for Windows (Free) — Imagen completa del sistema, backup a disco local o NAS, hasta 1 TB gratis. La mejor opción gratuita para backup completo del sistema.
- Backblaze Personal Backup — Backup continuo e ilimitado en nube por ~99 €/año. Ideal como copia offsite automática. Sin límite de tamaño.
macOS
- Time Machine — Integrado en macOS. Backup incremental automático a disco externo o NAS compatible. Guarda versiones de hasta 24 horas y semanas anteriores. Gratis.
- Backblaze Personal Backup — Copia offsite ilimitada y continua. Se integra perfectamente con Time Machine (local + nube).
- Carbon Copy Cloner — Backup booteable del sistema completo. Muy útil para la copia de imagen del disco de arranque.
Para empresas
Veeam Backup & Replication
Estándar de facto para entornos VMware vSphere e Hyper-V. Soporta backup a nube (Azure, AWS, Wasabi), copias inmutables, verificación automática de restauración (SureBackup) y Veeam Cloud Connect para copias offsite gestionadas. Recomendado para empresas con servidores virtualizados.
Acronis Cyber Protect
Combina backup empresarial con protección antimalware y EDR en una sola plataforma. Soporta backup de endpoints Windows/Mac/Linux, Microsoft 365, Google Workspace y servidores físicos y virtuales. Incluye protección activa contra ransomware con copia de recuperación automática de archivos cifrados.
Veritas NetBackup / Druva
Para grandes empresas con entornos heterogéneos. Veritas NetBackup es el estándar en entornos corporativos con cintas LTO y SAP HANA. Druva es una solución cloud-native con gobernanza de datos y cumplimiento normativo integrado, ideal para empresas bajo regulación (NIS2, PCI-DSS, HIPAA).
Google Drive / OneDrive / Dropbox (como componente offsite)
Válidos como una de las tres copias (la offsite), pero nunca como única estrategia de backup. Deben combinarse siempre con una herramienta de backup real que gestione versiones. OneDrive Empresas y Google Workspace ofrecen papelera y versiones con retención de 30 a 180 días según el plan.
Errores comunes que convierten el backup en una ilusión
1. No verificar nunca los backups
El 58% de las empresas que intentaron restaurar de backup fallaron al menos una vez (Veeam Data Protection Report). "Completado sin errores" no significa que los datos sean restaurables. Es el error más frecuente y más caro.
2. Backup en el mismo disco que el original
La partición D: en el mismo disco físico que C: no es un soporte diferente. Si el disco falla mecánicamente, ambas particiones son inaccesibles simultáneamente. Se necesita un dispositivo físico separado.
3. No probar nunca la restauración completa
Muchas empresas descubren que su backup de servidor no restaura correctamente solo cuando tienen un incidente real y necesitan volver a estar operativos en horas. Prueba la restauración completa al menos una vez al año.
4. Ransomware cifra los backups conectados
Si el disco de backup está siempre enchufado al PC o la unidad de red está siempre montada, el ransomware la cifra en minutos. Necesitas al menos una copia air-gap: físicamente desconectada de la red la mayor parte del tiempo.
5. Confundir RAID con backup
RAID 1 protege contra fallo físico de un disco, no contra borrado accidental, ransomware, fallo del controlador RAID ni incendio. RAID y backup son complementarios, nunca sustitutos.
6. Contar OneDrive como dos copias
Si tu "backup" es que tienes OneDrive instalado en el PC y configurado en el PC, eso es una sola copia sincronizada, no dos. La sincronización replica instantáneamente los borrados y el cifrado por ransomware.
La variante moderna: regla 3-2-1-1-0
La regla 3-2-1 fue diseñada antes del ransomware moderno y antes de que la nube fuera ubicua. Las amenazas actuales han generado una evolución: la regla 3-2-1-1-0, adoptada por Veeam, el NIST y el CCN-CERT como estándar recomendado para entornos empresariales.
Los dos elementos añadidos respecto a la regla original son:
- +1 copia air-gap: Una copia físicamente desconectada de la red (y del ordenador) la mayor parte del tiempo. Un disco duro externo desenchufado, una cinta LTO en un armario o almacenamiento en nube con bloqueo de objetos WORM (Write Once, Read Many). El ransomware no puede cifrar lo que no puede alcanzar.
- 0 errores verificados: Todas las copias deben verificarse regularmente para garantizar que son restaurables. No basta con que el trabajo de backup termine sin errores: se necesita una prueba real de restauración periódica o verificación automatizada de hash/integridad.
El almacenamiento inmutable WORM disponible en Backblaze B2, AWS S3 Object Lock y Azure Blob Immutable Storage permite crear copias en nube que no pueden ser borradas ni cifradas aunque el ransomware tenga acceso a las credenciales de la cuenta. Combinado con autenticación multifactor (MFA), es la configuración más robusta disponible hoy en entornos cloud.
Preguntas frecuentes sobre la regla 3-2-1
La regla 3-2-1 establece que debes mantener 3 copias totales de tus datos (el original más dos backups), almacenadas en 2 tipos de soporte distintos (por ejemplo, disco duro local y nube), con 1 copia en una ubicación diferente a donde se encuentran los datos originales (offsite). Fue popularizada por Peter Krogh en 2005 y es hoy el estándar recomendado por el NIST, el CCN-CERT, el INCIBE y el FBI para proteger datos de particulares y empresas.
Solo parcialmente. OneDrive y Google Drive pueden contar como la copia offsite (el "1" de la regla), pero no son un backup completo. Son herramientas de sincronización: si borras un archivo en tu PC, se borra también en la nube; si el ransomware cifra tus archivos, sube las versiones cifradas. Para que cuenten como copia válida necesitas activar el historial de versiones y combinarlo con una herramienta de backup real que gestione la retención por separado.
Depende de cuántos datos puedes permitirte perder (lo que en continuidad de negocio se llama Recovery Point Objective). Para un particular, el mínimo recomendable es backup semanal para archivos personales y diario para documentos de trabajo activos. Para una empresa, los datos críticos como bases de datos activas deben tener copias horarias o continuas, con imagen completa del sistema diaria o semanal. La copia en nube puede ser continua de forma automática (Backblaze, Azure Backup).
La regla 3-2-1-1-0 añade dos elementos a la regla original: una copia air-gap (físicamente desconectada de la red, inaccesible para el ransomware) y verificación de 0 errores en todas las copias. Es el estándar recomendado por Veeam y el NIST para entornos empresariales. Para particulares, la versión air-gap se implementa fácilmente con un disco duro externo desenchufado que se conecta solo para actualizar la copia. Es especialmente importante si manejas datos sensibles o si una pérdida de datos podría tener un impacto económico significativo.
Para una PYME de 5-15 empleados, una solución 3-2-1 completa cuesta aproximadamente: NAS Synology 2 bahías (~220 €) + 2 discos WD Red 4 TB (~160 € c/u) + Backblaze B2 u otro almacenamiento en nube (~6 €/TB/mes) + disco externo para air-gap rotativo (~80 €). Total inicial aproximado: 620 € + 36-72 €/mes según volumen de datos. La mayoría de software de backup tiene versión gratuita para volúmenes pequeños (Veeam Agent Free, Windows Server Backup). Es una inversión que se amortiza con el primer incidente evitado.
Sí, en muchos casos los datos son recuperables aunque no exista backup. Un laboratorio profesional de recuperación de datos puede recuperar archivos de discos duros dañados, SSDs con fallo electrónico o de firmware, memorias USB y tarjetas SD dañadas, sistemas RAID con fallos múltiples y dispositivos afectados por ransomware (en ciertos casos). La tasa de éxito global en laboratorio especializado ronda el 85%. Lo más importante es dejar de usar el dispositivo inmediatamente y no intentar recuperar los datos con software genérico, que puede sobrescribir sectores y reducir las posibilidades de recuperación.
WhatsApp