Regla de backup 3-2-1: cómo proteger los datos de tu empresa

La regla de backup 3-2-1 establece que toda empresa debe mantener 3 copias de sus datos en 2 soportes distintos, con al menos 1 copia almacenada fuera de las instalaciones. Aplicada correctamente, permite recuperar toda la información ante un ataque de ransomware, un fallo de hardware o un desastre físico sin pagar rescates ni perder datos críticos.

Por qué las copias de seguridad siguen fallando en las PYMEs

Muchas empresas creen tener sus datos protegidos porque existe algún tipo de backup configurado. La realidad es distinta: en las revisiones de seguridad que IBERSYA Consultoría S.L. realiza para PYMEs, entre el 20 y el 30% de los backups existentes presentan problemas que habrían impedido una restauración completa. El error más habitual no es no tener copias —es no verificar que funcionan.

Según el balance del INCIBE, en 2025 se gestionaron 122.223 incidentes de ciberseguridad en España, un 26% más que el año anterior (INCIBE, Balance de Ciberseguridad 2025). El ransomware sigue siendo la amenaza que más daño económico genera: según el informe Sophos State of Ransomware 2024, solo el 56% de las empresas que pagan el rescate recupera toda su información, y muchas reciben archivos corruptos o incompletos (Sophos, State of Ransomware 2024). La alternativa al pago es, y siempre ha sido, una copia de seguridad que realmente funcione.

Qué significa cada número de la regla de backup 3-2-1

La regla 3-2-1 fue formulada a principios de los 2000 por el fotógrafo Peter Krogh para proteger archivos digitales. Desde entonces, organismos como el INCIBE y el NIST la han adoptado como marco de referencia para la continuidad de negocio empresarial.

Las 3 copias: producción más dos backups independientes

La copia uno es la información en uso: el servidor de archivos, la base de datos del ERP, los correos. Las copias dos y tres son los backups. Dos backups independientes garantizan que si uno falla durante la restauración —por corrupción, error de software o problema de hardware— existe una segunda línea de defensa.

Una copia de seguridad ubicada en la misma unidad o en el mismo servidor que los datos originales no cuenta. Si el disco falla o el servidor queda cifrado, la copia desaparece junto con los datos.

Los 2 soportes: eliminar el punto único de fallo

Guardar las dos copias en el mismo tipo de soporte introduce un punto único de fallo. Dos discos externos USB del mismo modelo, o dos servicios de almacenamiento de un mismo proveedor, pueden verse afectados simultáneamente por una caída de tensión, un fallo de firmware específico o un robo.

La regla exige soportes tecnológicamente diferentes. Las combinaciones más habituales en PYMEs:

  • NAS en la red local + servicio de backup en la nube (la más recomendada para PYMEs)
  • Disco externo en sede + almacenamiento en Azure Backup o AWS S3
  • Servidor de backup local + cinta magnética (entornos con grandes volúmenes de datos)

La copia offsite: protección frente a desastres físicos

La copia fuera de las instalaciones protege contra los escenarios que eliminan el entorno completo: incendio, inundación, robo de todos los equipos o un corte de suministro prolongado. Si las tres copias están en el mismo edificio y ese edificio queda inutilizable, el resultado es idéntico a no tener backup.

Para la mayoría de PYMEs, la copia offsite más práctica y económica es un servicio de copias de seguridad en la nube con retención histórica de versiones. Permite restaurar desde cualquier punto anterior al incidente y no depende de que alguien recuerde llevar físicamente un soporte fuera de las instalaciones cada día.

Por qué la regla 3-2-1 ya no es suficiente frente al ransomware moderno

La regla 3-2-1 clásica tiene un punto ciego crítico en 2026: no contempla que el atacante pueda tener acceso prolongado a la red antes de ejecutar el cifrado. El ransomware moderno no actúa de forma inmediata. Grupos como LockBit, Cl0P o BlackCat escalan privilegios y permanecen días o semanas identificando y atacando los sistemas de backup antes de lanzar el cifrado masivo.

Si las copias de seguridad están en la misma red y son accesibles con las mismas credenciales del entorno comprometido, quedan cifradas o eliminadas antes de que el ataque sea visible para los usuarios.

La evolución: regla 3-2-1-1 con copia inmutable

La respuesta a esta amenaza es la regla 3-2-1-1: al cuarto número se le añade una copia inmutable u offline. Una copia inmutable es aquella que no puede modificarse ni eliminarse aunque el atacante haya comprometido todas las credenciales administrativas del entorno.

Se implementa mediante tres vías principales:

  • Object Lock / WORM en almacenamiento cloud: la copia se escribe una vez y queda bloqueada por un período definido, inmodificable incluso para el administrador. Disponible en Azure Blob Storage, AWS S3 y soluciones especializadas de backup en la nube.
  • Air-gap físico: un dispositivo de almacenamiento desconectado físicamente de la red durante el período entre copias. Puede ser una cinta o un disco externo que solo se conecta para realizar el backup y se retira inmediatamente después.
  • Snapshots inmutables en plataformas de backup: soluciones como Veeam, Acronis o Rubrik permiten configurar repositorios con protección de escritura donde ni el propio software de backup puede modificar los puntos de restauración existentes.

La versión extendida como 3-2-1-1-0 añade un quinto requisito: 0 errores de verificación. Todas las copias deben pasar una comprobación periódica automática que garantice su integridad y restaurabilidad. Sin este paso, la inmutabilidad protege un backup que puede estar corrupto.

RPO y RTO: las dos métricas que definen cuánto cuesta un fallo

Antes de configurar la frecuencia de los backups, una PYME necesita responder dos preguntas concretas. La mayoría de responsables IT las conoce; la mayoría de gerentes no las ha visto nunca por escrito en su empresa.

RPO (Recovery Point Objective) — ¿cuántos datos podemos perder? Si el backup se hace una vez al día a las 2:00 h y el fallo ocurre a las 23:00 h, se pierden hasta 21 horas de trabajo. Si eso es inaceptable —facturación en tiempo real, base de datos de pedidos activos, expedientes clínicos— el RPO debe ser de horas o minutos, no de días.

RTO (Recovery Time Objective) — ¿en cuánto tiempo debemos estar operativos? Una empresa de servicios puede asumir 4 horas de inactividad. Una empresa de logística con pedidos en curso quizás no puede permitirse más de 1 hora. El RTO define qué tecnología de backup es necesaria: restauración desde cinta (varias horas), desde NAS local (30-60 minutos) o desde cloud con replicación continua (minutos).

La mayoría de PYMEs no tienen estos valores definidos por escrito. Cuando ocurre el incidente, las decisiones de restauración se toman bajo presión y sin criterios claros. Definir el RPO y el RTO antes de configurar los backups —y documentarlos en la política de ciberseguridad de la empresa— es el paso que más valor aporta y que casi nadie da.

¿Tus copias de seguridad actuales no han sido probadas o no sabes cuánto tardarías en restaurar? En IBERSYA diseñamos e implementamos estrategias de backup en la nube para PYMEs, incluyendo pruebas de restauración periódicas y verificación automática de integridad. Cuéntanos tu situación.

Cómo verificar que las copias de seguridad realmente funcionan

Esta es la parte que diferencia a una empresa protegida de una empresa que cree estarlo.

Verificación automática de integridad tras cada backup: configura el software para que compruebe el hash o checksum de cada copia tras su creación. Veeam, Acronis y soluciones similares incluyen esta función. Una alerta de error en la verificación debe tratarse igual que una alerta de seguridad: con respuesta inmediata.

Prueba de restauración real cada trimestre: el único modo de saber si un backup es recuperable es restaurarlo en un entorno aislado y verificar que los datos son coherentes y completos. Muchos responsables IT descubren que sus backups tienen errores silenciosos cuando ya es demasiado tarde para que importe.

Retención suficiente para cubrir el tiempo de permanencia del atacante: el ransomware puede haber accedido a la red días antes del cifrado visible. Los backups deben conservar versiones con suficiente antigüedad —mínimo 30 días, idealmente 90— para poder restaurar desde antes del punto de infección real.

Credenciales separadas para el sistema de backup: la cuenta que accede a la consola de gestión de backups debe ser diferente de las cuentas de dominio habituales. Si las credenciales corporativas quedan comprometidas, el atacante no debe poder acceder ni modificar el sistema de backup.

Para saber qué hacer si el ataque de ransomware ya se ha producido, consulta el protocolo de respuesta ante ransomware paso a paso.

Errores frecuentes en la gestión de copias de seguridad

Backup conectado permanentemente a la red con las mismas credenciales corporativas. Es el error más grave y el más habitual. Un disco externo conectado al servidor como unidad de red, o un NAS accesible con el usuario de dominio, quedará cifrado junto con los datos originales. La separación lógica o de credenciales no basta frente a un atacante con privilegios de administrador comprometidos.

No probar nunca la restauración. Un backup sin probar es una esperanza, no una garantía. Si la última prueba de restauración fue hace más de seis meses —o nunca se ha realizado— la empresa no tiene certeza de recuperabilidad. IBERSYA Consultoría S.L. detecta problemas en el 20-30% de los backups revisados en auditorías de PYMEs: errores silenciosos de rotación, copias incompletas o configuraciones que dejaron de funcionar sin generar alerta.

Retención de solo 7 días. Una retención de 7 días expone a perder todos los datos si el ransomware estuvo latente más de una semana. El estándar mínimo es 30 días de retención, con versiones diarias y al menos una versión semanal. Para datos críticos o bajo RGPD, 90 días es más adecuado.

No incluir bases de datos en el backup de forma consistente. Las bases de datos de ERPs, CRMs o aplicaciones web necesitan un backup consistente —con la base de datos detenida o usando snapshots propios de la aplicación— para garantizar su coherencia. Un backup de archivos de una base de datos activa puede restaurar un estado corrupto o incompleto.

Solo copia local, sin offsite. Ante un incendio, inundación o robo del hardware completo, los backups locales desaparecen junto con los datos. La copia fuera de las instalaciones no es una medida avanzada: es el tercer número de la regla más básica de protección de datos.

Preguntas frecuentes sobre la regla de backup 3-2-1

¿Qué diferencia hay entre la regla de backup 3-2-1 y la regla 3-2-1-1?

La regla 3-2-1 establece 3 copias en 2 soportes distintos con 1 copia fuera de la empresa. La versión 3-2-1-1 añade un cuarto requisito: 1 copia inmutable u offline, que ni los administradores ni el ransomware pueden modificar ni eliminar. La variante extendida es imprescindible desde que el ransomware moderno ataca específicamente las copias de seguridad conectadas a la red antes de ejecutar el cifrado masivo.

¿Con qué frecuencia debe hacerse una copia de seguridad en una empresa?

La frecuencia depende del RPO (Recovery Point Objective) que la empresa pueda asumir: la pérdida de datos máxima tolerable. Para la mayoría de PYMEs, backups diarios de datos críticos y semanales del sistema completo es el estándar mínimo recomendado. Las empresas con facturación continua o producción en tiempo real necesitan backups cada 4 o 6 horas como máximo.

¿Qué pasa si el ransomware cifra también las copias de seguridad?

Si las copias están en la misma red o accesibles con las mismas credenciales que el entorno comprometido, el ransomware moderno las cifrará junto con el resto de los datos. La única protección efectiva es disponer de al menos una copia inmutable —con Object Lock en la nube o en un dispositivo air-gap desconectado físicamente de la red— que no pueda modificarse aunque el atacante haya comprometido las credenciales administrativas.


En IBERSYA gestionamos copias de seguridad en la nube para PYMEs de 15 a 100 empleados, con verificación automática de integridad, retención mínima de 30 días y pruebas de restauración periódicas incluidas. Si quieres saber si tus backups actuales resistirían un ataque hoy, solicita una revisión sin compromiso.

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.