Regla 3-2-1 de backup: la guía completa para no perder datos nunca

1

Identifica qué datos son críticos

No necesitas hacer backup de todo. Prioriza: fotos y vídeos personales, documentos de trabajo, bases de datos, proyectos en curso, configuraciones y licencias de software. En empresas: datos de clientes, contabilidad, contratos, proyectos activos.

2

Define los 3 soportes

Ejemplo para particular: (1) disco duro interno del ordenador — el original; (2) disco duro externo USB o NAS doméstico — copia local; (3) nube (Google Drive, iCloud, OneDrive, Backblaze) — copia offsite. La clave: cada soporte debe ser independiente. Si los 3 están en la misma habitación, no es 3-2-1.

3

Elige la herramienta de backup

Windows: Windows Backup integrado + Macrium Reflect (gratis) para backup completo del sistema. macOS: Time Machine para copia local + iCloud/Backblaze para offsite. Linux: rsync + cron para automatización. NAS Synology: Hyper Backup con task programada diaria.

4

Automatiza y programa los backups

El backup manual que dependes de recordar fallará en el peor momento. Programa copias automáticas: copia local — diaria (mínimo); copia en nube — continua o diaria; backup completo del sistema — semanal. Comprueba que las notificaciones de error lleguen a tu email.

5

Prueba la restauración regularmente

Un backup que nunca has restaurado puede estar corrupto o incompleto. Cada trimestre, restaura un archivo aleatoriamente y verifica su integridad. Una vez al año, prueba una restauración completa del sistema en un entorno de prueba. El CCN-CERT recomienda documentar estas pruebas.

6

Mantén al menos una copia air-gap

Air-gap = físicamente desconectada de la red y del ordenador. Una copia en un disco duro externo que mantienes desenchufado la mayor parte del tiempo es inmune al ransomware. Actualízala semanalmente y guárdala en un lugar seguro (idealmente en otra ubicación).

Regla 3-2-1-1-0 (estándar actual para empresas)

3 copias totales • 2 soportes diferentes • 1 copia offsite • 1 copia air-gap (desconectada físicamente de la red) • 0 errores verificados en las copias

El "1 air-gap" es la respuesta directa al ransomware: una copia que el malware nunca puede alcanzar porque no está conectada. El "0 errores" obliga a verificar regularmente la integridad de todos los backups.

Regla 4-3-2 (para datos críticos empresariales)

4 copias totales • 3 soportes diferentes • 2 copias en ubicaciones externas

Recomendada para datos bajo regulación (RGPD, PCI-DSS, NIS2, HIPAA). La segunda copia offsite puede ser en un centro de datos secundario o en un proveedor de backup gestionado.

Regla 3-2-1 con inmutabilidad (WORM)

Las copias de nube con almacenamiento WORM (Write Once, Read Many) — disponible en Backblaze B2, AWS S3 con Object Lock, Azure Blob Immutable — no pueden ser borradas ni cifradas por ransomware aunque este tenga acceso a las credenciales de la cuenta.

Es la configuración más robusta para el entorno actual de amenazas. Combinado con MFA en la cuenta de nube, hace prácticamente imposible la destrucción del backup remoto.

Windows

• Macrium Reflect Free — Backup completo del sistema + imágenes de disco. La mejor opción gratuita para Windows.
• Veeam Agent for Windows (Free) — Backup profesional gratuito hasta 1 TB. Soporta backup a nube, NAS y disco externo.
• Duplicati — Open source, cifrado AES-256, soporta Backblaze B2, Google Drive, S3, OneDrive.

macOS

• Time Machine — Integrado en macOS. Backup incremental automático a disco externo o NAS.
• Carbon Copy Cloner — Backup booteable y sincronización de discos. Interfaz muy intuitiva.
• Arq Backup — Backup cifrado a nube (S3, Backblaze, Google Cloud). Excelente para offsite.

NAS / Servidor

• Hyper Backup (Synology) — Backup a nube o NAS secundario con deduplicación y versiones.
• Active Backup (Synology) — Backup de PCs, VMs y servidores Microsoft 365 desde el NAS.
• Veeam Backup & Replication — Estándar para entornos VMware/Hyper-V en empresas.

Nube offsite

• Backblaze B2 — Almacenamiento más económico (6$/TB/mes). Soporte para WORM e inmutabilidad.
• AWS S3 + Object Lock — Inmutabilidad WORM. Más caro pero integración total con ecosistema AWS.
• Rclone — Herramienta CLI gratuita para sincronizar a cualquier nube. Compatible con 70+ proveedores.

1. Contar la nube como 2 copias

Si tu único backup es Google Drive y tienes Google Drive sincronizado, eso es 1 copia, no 2. La sincronización replica los borrados y cifrados por ransomware en tiempo real.

2. No probar la restauración nunca

Los estudios de Veeam muestran que el 58% de las organizaciones que intentaron restaurar de backup fallaron al menos una vez. Un backup sin test no es un backup.

3. Backup en el mismo disco que el original

La partición D: del mismo disco físico que C: no es un soporte diferente. Si el disco falla mecánicamente, ambas particiones son inaccesibles.

4. RAID como sustituto del backup

RAID 1 no es backup. Protege contra fallo de disco, no contra borrado accidental, ransomware, fallo del controlador RAID o incendio.

5. No cifrar los backups offsite

Un disco de backup enviado a casa de un empleado sin cifrado es un riesgo de RGPD. Usa VeraCrypt o el cifrado nativo de la herramienta de backup.

6. Backups sin fecha de retención definida

Sin política de retención, o bien el almacenamiento se llena y empieza a sobrescribir versiones antiguas, o acumulas años de backups sin usar espacio. Define: retención diaria 30 días, semanal 3 meses, mensual 1 año.

7. Depender solo de una nube

Las cuentas de nube pueden ser suspendidas (por error, phishing o incidente del proveedor). El outage de AWS S3 en 2017 dejó sin backup a miles de empresas. Siempre 2 destinos independientes.

8. Backup de archivos sin backup del sistema

Recuperar solo los archivos sin el sistema operativo, aplicaciones y configuraciones puede significar días de trabajo para volver a estar operativos. Incluye una imagen completa del sistema.

9. No excluir archivos temporales del backup

Archivos .tmp, caché de navegadores, archivos de paginación — estos archivos cambian constantemente y hacen los backups incrementales innecesariamente grandes y lentos.

10. Asumir que el backup funciona porque no hay errores

Algunos sistemas de backup reportan éxito aunque algunos archivos no se hayan copiado correctamente (archivos bloqueados, permisos, rutas largas en Windows). Verifica el log completo, no solo el resultado global.

Depende de cuánto datos puedes permitirte perder (RTO/RPO). Para un particular: backup semanal mínimo, diario recomendado. Para una empresa: backup diario mínimo para datos críticos, con snapshots horarios para bases de datos activas. La frecuencia debe coincidir con tu tolerancia a la pérdida: si un día de trabajo es inaceptable de perder, necesitas backup al menos diario.

No. La nube es excelente como copia offsite (el '1' de la regla 3-2-1), pero no como única copia. Razones: (1) requiere conexión a internet para restaurar; (2) las cuentas pueden ser suspendidas; (3) la sincronización bidireccional (Google Drive, Dropbox) propaga borrados y cifrado por ransomware; (4) el tiempo de restauración de grandes volúmenes puede ser días.

Las medidas clave: (1) Una copia air-gap — disco externo desconectado físicamente; (2) Almacenamiento inmutable (WORM) en nube; (3) Credenciales de backup separadas de las credenciales del sistema — el ransomware no puede borrar lo que no puede acceder; (4) Autenticación multifactor (MFA) en todas las cuentas de backup en nube.

Regla práctica: planifica 3x el tamaño de tus datos actuales para el backup local (para retención de versiones) y al menos 1x para la copia offsite. Si tienes 500 GB de datos, planifica 1,5 TB para backup local y 500 GB de almacenamiento en nube. Con deduplicación y compresión (herramientas como Veeam), el espacio real necesario suele ser el 50-70% de esa estimación.

Solución básica para PYME de 10 usuarios: NAS 2 bahías Synology DS223j (~220€) + 2 discos WD Red 4TB (~160€ c/u) + licencia Hyper Backup (incluida) + Backblaze B2 ~6€/TB/mes = ~700€ inicial + ~36€/mes para 6 TB offsite. Es una inversión que se recupera con la primera incidencia evitada.