El tamano real del riesgo
- El 60% de las pequenas empresas que pierden todos sus datos cierra en los 6 meses posteriores al incidente
- Los ataques de ransomware contra empresas se han triplicado desde 2020, y el rescate medio en Europa en 2025 supero 1,5 millones de euros
- El 29% de las perdidas de datos se debe a fallos de hardware, mas a menudo discos de mas de 4 anos
- Solo el 25% de las pequenas empresas tiene una estrategia de copia de seguridad documentada y probada, mientras que el 50% hace 'algo' que nunca se ha verificado
- El 22% de las perdidas esta causado por error humano: un empleado borra por error una carpeta, formatea el disco equivocado, sobreescribe un archivo sin copia previa
Por que la copia local no es copia de seguridad
Disco duro externo conectado al servidor, NAS en la sala de servidores, memoria USB en el cajon del director. Todo eso no es copia de seguridad en el sentido de proteccion del negocio. La razon es simple: una copia que comparte ubicacion fisica o red con el original no esta protegida frente a las mismas amenazas que afectan al original.
- Incendio e inundacion: la sala de servidores y el NAS al lado arden juntos
- Robo de equipos: un robo se lleva servidor, NAS y todos los discos
- Ransomware: los virus modernos cifran no solo los archivos originales, sino cada disco y cada segmento de red al que tienen acceso, incluidas las ubicaciones de 'copia de seguridad' montadas
- Sobretension: destruye todos los aparatos del mismo enchufe o cuadro electrico
- Empleado malicioso: un insider con acceso al servidor borra original y copia antes de marcharse
La regla 3-2-1, estandar vigente tambien en 2026
La formula de copia de seguridad mas conocida, suficiente para el 95% de los escenarios empresariales:
- 3 copias de cada archivo (original mas dos copias)
- 2 medios distintos (por ejemplo disco local y nube, no dos discos del mismo tipo)
- 1 copia fuera del lugar (nube, otra ciudad, otra region)
El estandar mas moderno 3-2-1-1-0 anade dos condiciones mas: 1 copia inmutable (que no puede modificarse ni siquiera por el administrador) y 0 errores en la verificacion (cada copia se prueba automaticamente en su legibilidad).
RTO y RPO: dos numeros que debe conocer
RTO (Recovery Time Objective) es el tiempo en el que la empresa puede recuperarse tras un incidente. La pregunta: cuantas horas puede operar nuestra empresa sin acceso a la documentacion? La respuesta dicta el tipo de solucion de copia de seguridad.
RPO (Recovery Point Objective) es la cantidad maxima de datos que esta dispuesto a perder, expresada en tiempo. Si hace copia una vez al dia, el RPO es de 24 horas, lo que significa que en el peor caso pierde una jornada laboral completa.
| Tipo de empresa | RTO tipico | RPO tipico |
|---|---|---|
| Pequena empresa, copia manual | 2 a 5 dias | 24 a 48 horas |
| PYME, copia diaria en nube | 4 a 24 horas | 4 a 24 horas |
| DMS profesional con copia continua | 15 minutos a 2 horas | 1 a 15 minutos |
| Bancos, hospitales, infraestructura critica | menos de 5 minutos | cerca de 0 |
Que exigir exactamente a una solucion de copia en nube
Cifrado
AES-256 tanto en transito (TLS 1.3) como en reposo. La clave de cifrado debe estar bajo su control (opcion BYOK) para sectores sensibles, o como minimo el proveedor debe garantizar que no tiene acceso a los archivos en claro.
Geo-redundancia
Copia en al menos dos ubicaciones fisicamente separadas, idealmente en regiones diferentes de la UE. Si la region principal del proveedor no esta disponible (terremoto, corte electrico, ciberataque al centro de datos), la secundaria toma el relevo.
Versionado
Posibilidad de volver a cualquier version anterior del documento, no solo a la ultima. El estandar es conservar al menos 30 versiones o 90 dias de historial, lo que protege frente al ransomware (que cifra el archivo actual pero no las copias historicas).
Inmutabilidad (WORM)
El modo 'Write Once, Read Many' significa que ciertas instantaneas de copia no pueden modificarse ni borrarse, ni siquiera por el administrador. Es la unica defensa real frente al ransomware moderno, que ataca primero el sistema de copias antes de empezar a cifrar la produccion.
Verificacion automatica
El sistema debe probarse a si mismo: una vez al mes, intento automatico de restauracion de una muestra y reporte del exito. Una copia que nunca se ha probado no cuenta como copia.
Restauracion granular
Posibilidad de restaurar un solo archivo, una sola carpeta o todo el sistema, sin recrear la instancia completa. Cuando un empleado borra por error un solo contrato, no necesita una restauracion de cinco horas de toda la base.
Obligacion legal segun GDPR y la LOPDGDD
El articulo 32 del GDPR y la Ley Organica 3/2018 de Proteccion de Datos Personales y Garantia de los Derechos Digitales (LOPDGDD) exigen expresamente 'la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rapida en caso de incidente fisico o tecnico'. Si su empresa trata datos personales (y practicamente toda empresa los trata, al menos los de los empleados), la copia de seguridad no es una opcion sino una obligacion legal. Las sanciones por incumplimiento del GDPR llegan al 4% de la facturacion anual o 20 millones de euros, lo que sea mayor.
Para centros sanitarios, instituciones financieras, despachos de abogados y empresas que tratan datos de menores, se aplican ademas obligaciones sectoriales que a menudo exigen un RPO inferior a 1 hora y pruebas de restauracion obligatorias al menos una vez al ano.
Errores mas frecuentes en la practica
- Copia solo de archivos importantes: cuando llega el incidente, resulta que la carpeta 'no importante' era en realidad critica. Regla: copia de toda la documentacion, la seleccion es un ahorro arriesgado.
- Copia que comparte red con la produccion: NAS en la misma LAN que el servidor. El ransomware lo ve y lo cifra.
- Nadie prueba la restauracion: la copia funciona durante anos, pero cuando se necesita, resulta que los archivos no son legibles o estan parcialmente corruptos.
- Contrasena de la copia en el mismo correo que las alertas: un atacante que tome el control del correo toma tambien el de la cuenta de copia.
- Sin politica de retencion: la copia crece infinitamente, consume recursos, y cuando se necesita un dato de hace 5 anos, nadie sabe donde esta.
- Sincronizacion en nube confundida con copia: Google Drive, Dropbox y OneDrive sincronizan el estado actual, lo que significa que cuando borra un archivo o un ransomware lo cifra, el cambio se propaga inmediatamente a todos los dispositivos. Sin versionado, es un antibackup.
