Backup y recuperación de datos: guía para PYMEs
Regla 3-2-1, qué respaldar primero, cómo probar tus backups y cuánto cuesta protegerse. Todo lo que necesitas saber sobre copias de seguridad para tu empresa.
La estadística que todo dueño de empresa debe conocer
El 60% de las PYMEs que sufren pérdida significativa de datos cierran dentro de los 6 meses siguientes. El backup no es un lujo: es lo que separa a las empresas que sobreviven una crisis de las que no.
La regla 3-2-1: el estándar de la industria explicado
La regla 3-2-1 es la guía más citada del mundo de los backups, y por buenas razones: es simple, efectiva y cubre los escenarios más comunes de pérdida de datos.
3 copias de tus datos: el original más dos backups. No cuentes el original como copia: si tienes tus datos en un servidor y “un backup” en el mismo servidor, tienes cero copias útiles si ese servidor falla.
2 tipos de medios diferentes: no pongas todos los backups en el mismo tipo de soporte. Por ejemplo, un backup en disco externo y otro en la nube. Si el disco externo falla, tienes la nube. Si hay un problema con la nube, tienes el disco.
1 copia fuera del sitio (offsite): al menos una copia debe estar en una ubicación física diferente a tu oficina. Esto protege contra incendio, robo, inundación o un corte de suministro que deja la oficina inoperativa por días.
3-2-1 en la práctica para una PYME
| Copia | Dónde | Tipo |
|---|---|---|
| Original | Servidor/PC de la oficina | Local |
| Backup 1 | Disco externo en la oficina (o NAS) | Local, diferente medio |
| Backup 2 | Servicio de nube (Backblaze, AWS S3, etc.) | Offsite |
Algunas organizaciones hablan hoy de la regla 3-2-1-1-0: 3 copias, 2 medios, 1 offsite, 1 copia air-gapped (completamente desconectada de internet), 0 errores verificados. Para PYMEs, el 3-2-1 básico es un excelente punto de partida.
Qué datos respaldar primero: priorización
No todos los datos tienen el mismo valor. Antes de diseñar tu sistema de backup, clasifica qué información es crítica para tu operación.
Nivel 1 — Crítico: respaldo cada hora o continuo
- Bases de datos transaccionales: registros de ventas, facturas, inventario en tiempo real
- Correo corporativo: el historial de correos puede ser evidencia legal y operacional irreemplazable
- Datos de clientes activos: especialmente si son necesarios para entregas o servicios en curso
- Archivos de trabajo en progreso: proyectos, propuestas, contratos abiertos
Nivel 2 — Importante: respaldo diario
- Registros contables y financieros
- Contratos y documentos legales firmados
- Base de datos de clientes completa
- Archivos de recursos humanos
- Configuraciones de sistemas críticos
- Código fuente si desarrollas software o sistemas propios
Nivel 3 — Valioso: respaldo semanal
- Archivos de proyectos completados
- Material de marketing y diseño
- Documentación interna y manuales de procedimiento
- Registros históricos de menor actividad
Nivel 4 — Recuperable: respaldo mensual o según cambios
- Software de instalación y licencias (generalmente se puede redescargar)
- Archivos de referencia y plantillas
- Archivos multimedia de baja criticidad
El correo electrónico en la nube también necesita backup
Muchas empresas asumen que porque su correo está en Microsoft 365 o Google Workspace no necesita backup. Error: ambas plataformas ofrecen recuperación de correos eliminados por tiempo limitado (30-90 días según plan). Para recuperación de largo plazo, necesitas backup dedicado.
Frecuencia de backup según tipo de dato
| Tipo de dato | Frecuencia recomendada | Herramienta ejemplo |
|---|---|---|
| Base de datos ERP/POS | Cada hora o en tiempo real | Herramienta nativa del ERP |
| Correo corporativo | Diario | Veeam, Acronis, Dropsuite |
| Archivos compartidos de trabajo | Diario | Backblaze, Azure Backup |
| Configuración de servidor | Después de cada cambio | Snapshot de la VPS |
| Sitio web | Diario | Jetpack (WordPress), cPanel |
| Base de datos de clientes/CRM | Diario | Export automático + nube |
| Documentos contables | Diario durante cierre mensual | Backup del ERP contable |
Backup en la nube vs backup físico: no es una elección, son complementos
Backup en la nube: las ventajas
Automatización real: una vez configurado, funciona solo sin que nadie recuerde conectar un disco.
Offsite por diseño: está en los servidores del proveedor, no en tu oficina.
Escalabilidad: pagas por el espacio que usas, sin comprar hardware nuevo cuando creces.
Acceso desde cualquier lugar: si tu oficina es inaccesible por cualquier razón, puedes recuperar datos desde otro lugar.
Redundancia del proveedor: servicios como Backblaze B2, AWS S3 o Azure Blob Storage replican tus datos en múltiples datacenters automáticamente.
Backup físico: las ventajas
Velocidad de recuperación: restaurar terabytes desde un disco local es mucho más rápido que desde internet. Si necesitas recuperar todo el servidor, la nube puede tardar días.
Sin costo recurrente por transferencia: algunos servicios cloud cobran por bajar datos (egress). Un disco físico no cobra nada.
Independiente de internet: funciona aunque tu conexión esté caída.
Control total: nadie más tiene acceso a ese disco.
Crítico ante ransomware: un disco externo desconectado de la red es imposible de cifrar por un ransomware.
La solución híbrida recomendada
| Para empresas de hasta 10 personas | Para empresas de 11-50 personas |
|---|---|
| NAS local + servicio cloud (ej. Backblaze) | Servidor de backup local + replicación cloud |
| Costo aproximado: $200-400 USD setup + $10-30/mes cloud | Costo aproximado: $1.000-3.000 USD setup + $50-200/mes cloud |
Cómo probar que tus backups realmente funcionan
Esta es la parte que casi nadie hace y que se descubre con horror cuando ocurre una crisis: tener un backup no garantiza que ese backup funcione. Los backups deben probarse regularmente.
La prueba mínima: verificación de integridad
La mayoría de las herramientas de backup realizan checksums (verificaciones matemáticas) de los archivos respaldados. Asegúrate de que tu herramienta:
- Verifica el backup inmediatamente después de realizarlo
- Te alerta por correo si hay algún error
- Registra cuándo se realizó el último backup exitoso
La prueba real: restauración de prueba
Una vez al mes, realiza una restauración de prueba de un conjunto de archivos seleccionados aleatoriamente. El objetivo es confirmar que el proceso de recuperación funciona y que sabes cómo ejecutarlo.
Ejercicio trimestral recomendado: Simula que perdiste todos los datos de un sistema específico (ej: la base de datos de clientes). Mide cuánto tiempo tardas en restaurarlo completamente desde cero. Ese tiempo es tu RTO real.
Métricas clave de backup
RPO (Recovery Point Objective): ¿Cuántos datos puedes permitirte perder? Si haces backup diario y el servidor falla a las 5 PM, pierdes el trabajo del día. Si eso es inaceptable, necesitas backup más frecuente.
RTO (Recovery Time Objective): ¿Cuánto tiempo puedes estar sin operar? Si la respuesta es “máximo 4 horas”, tu plan de recuperación debe poder restaurarte en menos de eso.
Define estos números con la gerencia. Son decisiones de negocio, no solo técnicas.
Errores de backup que descubres cuando ya es tarde
Error 1: El backup existe pero nadie sabe cómo restaurarlo
Configuraron el backup hace dos años, el que lo hizo ya no trabaja en la empresa, y nadie documentó el proceso de recuperación. Cuando ocurre una crisis, nadie sabe a qué servicio entrar ni qué botón presionar.
Solución: documenta el proceso de restauración paso a paso y pruébalo al menos cada 3 meses.
Error 2: El backup está conectado a la misma red que los datos originales
Un ransomware cifra todos los archivos a los que puede acceder. Si tu NAS de backup está montado como unidad de red en los computadores de la empresa, el ransomware también cifrará el backup.
Solución: el backup must be air-gapped (disco desconectado) o usar un servicio cloud con versionamiento que te permita recuperar versiones anteriores a la infección.
Error 3: Solo respaldan los archivos, no las configuraciones del sistema
Después de un ataque o fallo de hardware, no solo necesitas los datos: necesitas el sistema configurado y funcionando. Si solo tienes los archivos pero no la configuración del servidor, una restauración que debería tomar horas puede tomar días.
Solución: incluye en el backup las configuraciones del sistema, las bases de datos completas (no solo los archivos que la componen), y documenta qué software y en qué versión tenías instalado.
Error 4: El backup se completa con errores que nadie revisa
El sistema de backup falla silenciosamente hace semanas. Las alertas van a un correo que nadie revisa. El responsable asume que todo anda bien.
Solución: configura las alertas de backup a un correo que alguien lee diariamente, y revisa activamente el estado del backup al menos cada semana.
Error 5: No hacen backup del correo electrónico
“Está en la nube, está respaldado”. Ver alerta anterior. El correo en Microsoft 365 o Google Workspace se puede eliminar accidentalmente (o maliciosamente) y el período de recuperación nativa es limitado.
Error 6: Los backups van al mismo lugar que los datos originales
Backup en la misma carpeta que los datos originales, o en el mismo servidor. Si el servidor falla o es robado, se pierde todo junto.
Ransomware y por qué el backup offline es crítico
El ransomware es hoy el escenario de pérdida de datos más frecuente en empresas. Funciona así: un malware se instala en tu red (generalmente por un correo de phishing), y silenciosamente cifra todos los archivos a los que puede acceder. Después de horas o días, revela que tus datos están cifrados y exige un pago para darte la clave de descifrado.
Por qué el backup en la nube con versionamiento salva el día
Servicios como Backblaze B2, AWS S3, Azure Blob o Cloudflare R2 ofrecen versionamiento de archivos: guardan no solo la versión actual, sino las versiones anteriores de cada archivo por un período configurable (por ejemplo, 30 días).
Si el ransomware cifra tus archivos y esos archivos cifrados se suben al backup en la nube, tienes la opción de restaurar la versión anterior al ataque.
Condición crítica: el versionamiento debe estar activado antes del ataque. Actívalo hoy.
Por qué el backup físico desconectado es la última línea de defensa
Un disco duro externo que solo conectas para hacer el backup y luego desconectas no puede ser alcanzado por un ransomware. Es literalmente imposible.
La estrategia más robusta es tener ambas capas:
- Backup cloud con versionamiento de 30 días (detecta y recupera de ransomware que se descubre rápido)
- Backup físico offline semanal o mensual (recuperación última instancia sin pagar rescate)
Sobre pagar rescates de ransomware
La policía y los expertos recomiendan no pagar. Pagar financia a los criminales y no garantiza que realmente entreguen la clave (30% de los que pagan no recuperan sus datos). Con un buen backup, el pago nunca es necesario.
Estimación de costos por tamaño de empresa
Empresa pequeña: 1-10 personas
| Componente | Herramienta | Costo estimado |
|---|---|---|
| NAS local de 4TB | QNAP o Synology básico | $300-500 USD (único) |
| Backup cloud de archivos | Backblaze Personal/Business | $9-99 USD/mes |
| Backup del correo M365 | Dropsuite o nativo | $3-5 USD/usuario/mes |
| Total mensual operativo | ~$50-150 USD/mes |
Empresa mediana: 11-30 personas
| Componente | Herramienta | Costo estimado |
|---|---|---|
| NAS empresarial de 10-20TB | Synology o QNAP pro | $800-2.000 USD (único) |
| Backup cloud (datos + correo) | Veeam + Backblaze B2 | $100-300 USD/mes |
| Licencias Veeam o Acronis | Por servidor | $200-500 USD/año por servidor |
| Total mensual operativo | ~$150-400 USD/mes |
Empresa grande: 31-100 personas
En este rango, la recomendación es hacer una evaluación formal con un proveedor de TI gestionado. Los costos varían ampliamente según la infraestructura existente. Como referencia, presupuesta entre $500 y $1.500 USD/mes para una solución de backup robusta.
Lista de verificación de backup
Usa esta lista para evaluar el estado actual de tu empresa:
- Tenemos identificados los datos críticos y su nivel de prioridad
- Hacemos backup de los datos de nivel 1 al menos una vez al día
- Tenemos al menos 2 copias en medios distintos
- Al menos una copia está fuera de la oficina (cloud u otra ubicación)
- El backup cloud tiene versionamiento activado (protección ante ransomware)
- Tenemos al menos un backup físico desconectado de la red (protección ante ransomware)
- Alguien recibe alertas por correo cuando el backup falla
- Hemos probado la restauración en los últimos 3 meses
- El proceso de restauración está documentado
- Tenemos definidos el RPO y RTO para nuestros sistemas críticos
Si puedes marcar todos, tienes una protección de backup sólida. Si hay más de tres sin marcar, tu empresa tiene riesgo real de pérdida de datos irrecuperable.