La regla 3-2-1: tu seguro contra desastres
El ransomware, los fallos de hardware y los errores humanos no preguntan si tienes backup. La regla 3-2-1 es la estrategia de respaldos más probada y confiable de la industria, y toda empresa — sin importar su tamaño — debería implementarla.
¿Qué es la regla 3-2-1?
Es simple:
- 3 copias de tus datos (el original + 2 respaldos)
- 2 tipos diferentes de medio de almacenamiento
- 1 copia fuera del sitio (offsite)
Algunos expertos han actualizado la regla a 3-2-1-1-0: agregar 1 copia offline/inmutable y 0 errores en la verificación de restauración.
Por qué necesitas esta estrategia
Escenarios reales que hemos visto
- Ransomware: Cifra todos los archivos accesibles por red, incluyendo backups en carpetas compartidas.
- Fallo de RAID: Un RAID 5 con dos discos fallando simultáneamente — se pierde todo.
- Error humano: Un administrador ejecuta
DELETEsinWHEREen producción. - Desastre natural: Inundación, incendio o terremoto destruye el data center.
- Robo de equipo: Laptops o servidores robados sin backup externo.
Con la regla 3-2-1, sobrevives a todos estos escenarios.
Implementación práctica
Copia 1: Producción (el original)
Tus datos en el servidor o sistema de producción. Esta es la copia “viva” que usan tus empleados diariamente.
Copia 2: Backup local (NAS o servidor de respaldo)
Un respaldo en un dispositivo local diferente al de producción:
- NAS (Network Attached Storage): Synology, QNAP, o un servidor con TrueNAS.
- Servidor dedicado de backup: Con software como Veeam, Acronis o BareOS.
- Disco externo rotativo: Para empresas pequeñas, discos USB que se rotan semanalmente.
Frecuencia recomendada: Diaria (incremental) + semanal (completa).
Copia 3: Backup offsite (nube o ubicación remota)
La copia crítica que te salva cuando todo lo demás falla:
- Cloud storage: AWS S3, Azure Blob, Google Cloud Storage, Backblaze B2.
- Proveedor de backup gestionado: Veeam Cloud Connect, Acronis Cloud.
- Oficina remota: Si tienes múltiples sedes, replica entre ellas.
Frecuencia recomendada: Diaria (sincronización automática).
Herramientas recomendadas por tamaño
Empresas pequeñas (1-20 empleados)
| Componente | Herramienta | Costo aproximado |
|---|---|---|
| Backup local | Synology NAS DS220+ | $300-$500 + discos |
| Software | Synology Active Backup | Incluido con NAS |
| Offsite | Backblaze B2 | ~$5/TB/mes |
| Verificación | Synology Hyper Backup | Incluido |
Empresas medianas (20-200 empleados)
| Componente | Herramienta | Costo aproximado |
|---|---|---|
| Backup local | Servidor dedicado con Veeam | $2,000-$5,000 |
| Software | Veeam Backup & Replication | Desde $50/VM/año |
| Offsite | AWS S3 + Veeam Cloud Tier | Variable por consumo |
| Verificación | Veeam SureBackup | Incluido en Enterprise |
Definiendo RPO y RTO
Antes de implementar, define dos métricas críticas:
RPO (Recovery Point Objective)
¿Cuántos datos puedes perder? Si tu RPO es 4 horas, necesitas backups cada 4 horas como mínimo.
- RPO 1 hora: Replicación continua o snapshots frecuentes.
- RPO 4 horas: Backups incrementales cada 4 horas.
- RPO 24 horas: Backup nocturno diario (lo mínimo aceptable).
RTO (Recovery Time Objective)
¿En cuánto tiempo necesitas estar operativo? Si tu RTO es 2 horas, tu proceso de restauración no puede tardar más.
- RTO < 1 hora: Requiere replicación en caliente (failover automático).
- RTO 2-4 horas: Restauración desde backup local (NAS/servidor).
- RTO 24 horas: Restauración desde nube (dependiendo del volumen).
Buenas prácticas
1. Inmutabilidad
Configura al menos una copia como inmutable — que no pueda ser modificada ni borrada durante un período definido. Esto protege contra ransomware que intenta eliminar backups.
- S3 Object Lock en AWS
- Immutable backups en Veeam
- WORM en cintas LTO
2. Cifrado
Cifra tus backups en tránsito y en reposo:
- AES-256 para datos en reposo.
- TLS 1.3 para transferencias.
- Guarda las claves de cifrado en un lugar seguro y separado.
3. Pruebas de restauración
Un backup que no puedes restaurar no es un backup. Programa pruebas:
- Mensual: Restaurar archivos individuales aleatorios.
- Trimestral: Restauración completa de un servidor en entorno de prueba.
- Documentar: Tiempo de restauración real vs. RTO esperado.
4. Monitoreo y alertas
Configura alertas para:
- Backups fallidos o incompletos.
- Espacio de almacenamiento bajo.
- Cambios inusuales en el tamaño del backup (puede indicar ransomware).
- Backups que no se ejecutan según programación.
Errores comunes
- “Mi RAID es mi backup”: RAID protege contra fallo de disco, no contra ransomware, errores humanos o desastres.
- Backups solo en la misma ubicación: Si hay un incendio, pierdes producción Y backup.
- Nunca probar la restauración: El 37% de las empresas descubren que sus backups están corruptos al momento de necesitarlos.
- No incluir configuraciones: Respalda también configs de routers, switches, firewalls y aplicaciones.
- Backup de todo sin priorizar: Define qué datos son críticos y prioriza su protección.
Plan de implementación
- Semana 1: Inventario de datos críticos. Definir RPO/RTO por sistema.
- Semana 2: Adquirir e instalar NAS o servidor de backup local.
- Semana 3: Configurar backup local con software elegido. Programar jobs.
- Semana 4: Configurar replicación offsite a nube.
- Semana 5: Primera prueba completa de restauración. Documentar proceso.
- Ongoing: Monitoreo diario, pruebas mensuales, revisión trimestral.
Conclusión
La regla 3-2-1 no es complicada ni costosa de implementar. Lo que sí es costoso es no tenerla. El costo promedio de un incidente de pérdida de datos para una SMB es de $100,000-$500,000 USD — sin contar el daño reputacional.
Invertir $500-$5,000 en una estrategia de backup sólida es la mejor póliza de seguro que tu empresa puede comprar.
¿Necesitas ayuda para implementar tu estrategia de backups? En Monarc diseñamos planes de respaldo con RPO/RTO definidos, probamos la recuperación trimestralmente y monitoreamos tu infraestructura 24/7. Contáctanos para proteger tus datos hoy.