NetGoos
Seguridad 04 de abril de 2026 · 6 min de lectura

3 señales de que tu sistema de backups es una falsa sensación de seguridad

3 señales de que tu sistema de backups es una falsa sensación de seguridad

TL;DR

  • Tener backup no es lo mismo que poder restaurar: el 40% de las empresas descubre que su copia no funciona cuando ya la necesita.
  • La copia en el mismo sitio que el original no cuenta: el ransomware cifra todo lo que está conectado, incluyendo discos USB siempre enchufados.
  • Sin inmutabilidad, el ransomware borra también las copias antes de cifrar los datos principales. Es su primer movimiento.
  • La regla 3-2-1 sigue siendo el estándar: 3 copias, 2 soportes, 1 fuera de la ubicación física.
  • Un simulacro de restauración trimestral es la única forma real de saber si el sistema funciona antes de necesitarlo.

"El backup solo existe cuando has verificado que se puede restaurar. Todo lo demás es fe, y la fe no recupera bases de datos."

La mayoría de empresarios con los que hablamos nos dicen: "Sí, tenemos copias". El problema es que cuando profundizamos, descubrimos que esas copias son frágiles, incompletas o que nadie las ha verificado en meses. Tener un sistema de backups mediocre es peor que no tener nada, porque genera una falsa sensación de seguridad que lleva a no tomar otras precauciones. La confianza en un sistema no probado es el escenario perfecto para un desastre sin salida. Este artículo recorre las cinco señales que indican que tu sistema de copias de seguridad no está a la altura de lo que protege.

Señal 1: La copia está en el mismo sitio que el original

Es el error más extendido y el más devastador cuando ocurre lo inesperado. Un disco duro USB siempre conectado al servidor, una carpeta de backup en el mismo NAS que contiene los datos originales, una copia en la misma red local que puede verse afectada por cualquier incidente físico o lógico. Ante un incendio, una inundación o un corte eléctrico con sobretensión, perderás el original y la copia al mismo tiempo. Ante un ataque de ransomware, que es la amenaza más frecuente en pymes españolas hoy, el malware cifrará todo lo que esté accesible desde el sistema infectado: servidor, unidades de red, discos conectados y, si tiene las credenciales, también el NAS.

La regla 3-2-1 nació precisamente para eliminar este riesgo. Necesitas tres copias de los datos: la original y dos copias adicionales. Esas copias deben estar en dos tipos de soporte diferentes (no dos discos del mismo modelo en el mismo armario). Y al menos una copia debe estar en una ubicación físicamente separada de la oficina: un centro de datos, la nube, o las instalaciones de un proveedor de confianza. El tercer elemento —la copia offsite— es el que más pymes omiten y el que más diferencia hace cuando ocurre lo peor.

Una empresa de servicios de Sevilla con 12 empleados perdió en 2024 tres años de histórico de clientes porque su backup diario se hacía en un disco externo conectado permanentemente al servidor. El ransomware cifró el servidor, los documentos en red y el disco de backup en menos de cuatro horas. La recuperación les costó siete semanas y más de 18.000 euros entre recuperación parcial de datos, rediseño de sistemas y pérdida de productividad del equipo. La copia offsite que no tenían habría costado unos 40 euros mensuales.

Señal 2: Nadie ha hecho un simulacro de restauración

Esta es la señal más silenciosa y la más peligrosa. El sistema de backup lleva meses ejecutándose sin errores aparentes, el log dice "completado" cada noche, y nadie se ha molestado en comprobar si los datos que dice haber guardado son realmente restaurables. La prueba definitiva de cualquier sistema de backup no es que el proceso de copia funcione, sino que el proceso de restauración funcione. Y esas son dos cosas muy distintas.

Los errores de corrupción de datos, los problemas de permisos en destino, las bases de datos en estado inconsistente por haber sido copiadas mientras estaban abiertas, o simplemente los formatos propietarios que ya no son compatibles con la versión actual del software: todos estos problemas solo aparecen cuando intentas restaurar. Si nunca lo intentas, no sabrás que existen hasta el momento en que ya no hay tiempo de actuar.

Un simulacro de restauración básico para una pyme no tiene que ser un evento complejo. Basta con elegir un conjunto de datos concreto (la base de datos del ERP de la semana anterior, por ejemplo), intentar restaurarlo en un entorno de prueba o en un equipo alternativo, y verificar que los datos son accesibles y coherentes. Si esto no se hace al menos una vez al trimestre, el sistema de backup es teóricamente correcto pero prácticamente desconocido. Nuestro servicio de servidores NAS y copias incluye simulacros de restauración documentados como parte del mantenimiento regular.

¿Sabes cuánto tiempo tardaría tu empresa en volver a funcionar si hoy se borra todo? ¿Una hora? ¿Tres días? Define ese número antes de necesitarlo. Un backup que tarda 72 horas en restaurarse en una empresa que necesita operar cada día es un sistema fallido, independientemente de que técnicamente "funcione".

Señal 3: No hay inmutabilidad en las copias

Los ransomwares modernos no atacan de forma inmediata. Pasan días, a veces semanas, en la red antes de ejecutar el cifrado. Durante ese tiempo, hacen exactamente lo mismo que haría un atacante inteligente: mapear la red, identificar los sistemas de backup y eliminarlos o cifrarlos antes de que el objetivo principal reciba el golpe. Si tu copia puede ser borrada por el mismo usuario que tiene permisos en el servidor, el ransomware que comprometa esa cuenta también podrá borrarla.

La inmutabilidad es la respuesta técnica a este problema. Una copia inmutable es aquella que, una vez escrita, no puede ser modificada ni borrada durante un periodo de tiempo definido: 7 días, 30 días, 90 días. No importa qué credenciales tenga el proceso que intente eliminarla: el sistema de almacenamiento rechazará la operación. Plataformas como Veeam con repositorios inmutables, Backblaze B2 o soluciones empresariales con Object Lock de S3 implementan esta característica. No es tecnología cara ni difícil de implementar; es simplemente la configuración correcta del sistema de backup.

La protección frente a ransomware tiene múltiples capas, pero la copia inmutable es la red de seguridad final: la que permite recuperarte aunque todo lo demás haya fallado. Sin inmutabilidad, el resto de las defensas tienen que ser perfectas para que el backup sea útil. Con inmutabilidad, puedes recuperarte incluso de los ataques más sofisticados.

Señal 4: No hay alertas cuando el backup falla

Un sistema de backup que falla en silencio es casi tan peligroso como no tener backup. El proceso se ejecuta, el servidor envía la tarea al agente de backup, pero el disco de destino está lleno, la conexión con la nube falla por un cambio de credenciales, o el software lanza un error que nadie ve porque nadie mira los logs. Semanas o meses después, cuando ocurre el incidente, la última copia buena tiene una antigüedad que hace inviable la recuperación.

El sistema mínimo de alertas para backup incluye: notificación inmediata cuando una tarea de backup no completa correctamente, alerta cuando el tamaño de la copia cae por debajo de un umbral esperado (señal de que algo no se está copiando), y confirmación diaria de que la tarea más crítica se ha completado. Esas alertas tienen que ir a alguien que las lea y pueda actuar. Una alerta que llega a una bandeja de entrada sin monitorizar es ruido.

El mantenimiento informático gestionado incluye esta capa de monitorización activa: no solo que el sistema de backup esté configurado, sino que alguien con criterio técnico reciba y actúe sobre las alertas de fallo. En las pymes sin IT interno, esta función la asume el proveedor externo.

Señal 5: Se hacen copias de lo incorrecto

Este es uno de los errores más sutiles y más frecuentes. La empresa tiene backup, el sistema funciona, los simulacros salen bien, pero lo que se está copiando no es lo que realmente importa. Se hace copia de la carpeta de documentos compartidos pero no de la base de datos del ERP. Se replica el servidor de ficheros pero no la configuración del servidor de correo. Se guarda el directorio de proyectos pero no los datos de la aplicación de gestión de proyectos, que viven en otra ubicación que nadie documentó.

El inventario de datos críticos es el punto de partida de cualquier estrategia de backup seria. Qué sistemas, bases de datos, carpetas y configuraciones son imprescindibles para operar. Qué antigüedad máxima de los datos es aceptable si hay que restaurar (algunas empresas pueden permitirse perder los datos de ayer; otras no pueden permitirse perder los de hace dos horas). Y qué tiempo máximo de recuperación es aceptable para cada sistema: el ERP puede necesitar recuperación en horas; los archivos históricos de proyectos cerrados pueden esperar días.

Una auditoría informática completa incluye siempre un mapeo de datos críticos y su estado de protección actual. En la mayoría de pymes que auditamos, hay al menos un sistema de datos críticos que no está incluido en el backup, normalmente porque nadie lo documentó en su momento y nunca se actualizó el alcance de las copias.

Tabla comparativa: señales de backup seguro vs backup inseguro

Aspecto Backup inseguro Backup seguro
Ubicación Mismo disco, mismo servidor o misma red Copias en sitios físicos distintos (regla 3-2-1)
Inmutabilidad La copia puede borrarse o modificarse Object Lock o repositorio inmutable activo
Verificación Nunca se ha probado la restauración Simulacro de restauración trimestral documentado
Alertas Logs que nadie lee Notificación activa cuando falla con destinatario real
Alcance Carpetas de ficheros, no bases de datos Inventario documentado de todos los sistemas críticos
Retención Última copia, sin histórico 30+ días de retención con versiones diarias

El coste de no tenerlo bien: un ejemplo con cifras

Una consultoría de ingeniería de Barcelona con 8 empleados sufrió en 2023 un ransomware que cifró el servidor principal y todas las unidades de red. El backup existía: un disco externo conectado permanentemente que también fue cifrado. El proceso de recuperación incluyó contratar a una empresa especializada en recuperación forense (4.200 euros), rediseñar e implementar la infraestructura desde cero (6.800 euros), recuperar parcialmente algunos datos de versiones antiguas en los equipos portátiles de los empleados (1.500 euros de horas técnicas), y calcular la pérdida de datos irrecuperables de los últimos tres meses de trabajo. El equipo estuvo operativo a mínimos durante 11 días laborables. Coste total estimado: entre 35.000 y 45.000 euros contando productividad perdida y retrasos en proyectos con clientes.

Un sistema de backup correctamente diseñado con NAS local y replicación a nube con inmutabilidad habría costado unos 1.200 euros de implementación más 60 euros mensuales de almacenamiento cloud. Amortización: primer mes de no incidente evitado. Puedes ver cómo planteamos estos sistemas en el servicio de servidores NAS y copias de seguridad, y complementarlo con una lectura del artículo sobre estrategia mínima de backup y continuidad para pymes.

Por dónde empezar mañana

  1. Haz una restauración de prueba esta semana. Coge la copia de ayer de tu sistema más crítico (ERP, base de datos de clientes) e intenta restaurarla en un equipo alternativo. Si no puedes o no sabes cómo, ya tienes la primera tarea.
  2. Comprueba si tu copia está en la misma red que el original. Si está en un disco USB conectado permanentemente o en el mismo servidor, planifica su traslado a una ubicación externa o a la nube con retención de al menos 30 días.
  3. Activa las alertas de fallo de backup. Tu software de backup tiene configuración de notificaciones. Actívalas y dirige los avisos al email del responsable IT o del proveedor externo, no a una bandeja genérica.
  4. Documenta qué se está copiando y qué no. Haz una lista de todos los sistemas que generan datos críticos para el negocio. Comprueba cuáles están incluidos en el backup y cuáles no. Los que falten tienen que incorporarse en la siguiente iteración.

Preguntas frecuentes

¿Con qué frecuencia debo verificar que mis copias de seguridad funcionan?

Como mínimo, una restauración de prueba real cada trimestre. La verificación automática de integridad (logs sin errores) debe ser semanal. Si dependes de esos datos para facturar o atender clientes, mensual es mejor.

¿Qué es una copia inmutable y por qué la necesito?

Una copia inmutable es aquella que, una vez escrita, no puede ser borrada ni modificada durante un periodo definido, ni siquiera por un administrador. Es el único tipo de copia que resiste a un ransomware que tiene acceso a tus credenciales de sistema.

¿El backup en la nube (Dropbox, Google Drive) es suficiente?

No por sí solo. Dropbox y Google Drive sincronizan archivos, lo que significa que si el ransomware cifra los originales, la versión cifrada también se sincroniza. Necesitas un sistema de backup con retención y versionado real, no solo sincronización.

¿Cuánto tiempo tardaría en restaurar mi empresa si fallara el servidor hoy?

Si no sabes la respuesta, ahí está el problema. Define tu RTO: cuántas horas puede estar tu empresa parada. Luego verifica que tu sistema de backup puede cumplirlo. Si no puede, hay que rediseñarlo.

¿Qué es la regla 3-2-1 y cómo se aplica en una pyme?

3 copias de los datos, en 2 soportes distintos, con 1 copia fuera de la ubicación física. En la práctica para una pyme: datos originales en servidor, copia en NAS local, copia en nube con retención de 30 días.

¿Qué datos son los más críticos para hacer backup?

Los que, si se pierden, paralizan el negocio: base de datos del ERP, contabilidad, contratos firmados, base de datos de clientes. Todo lo demás puede tener una cadencia de backup menos frecuente.

¿Cuánto cuesta un sistema de backup serio para una pyme?

Un NAS básico para 5-10 usuarios con replicación a nube puede estar entre 600 y 1.500 euros en hardware más 30-80 euros mensuales en almacenamiento cloud. Comparado con el coste medio de recuperación tras un ransomware, es la inversión de mayor retorno posible.

Servicio relacionado

Implementamos servicios de backup gestionado e inmutable, con simulacros de restauración periódicos para que duermas tranquilo.

Ver servicios de backup y continuidad