Según el informe «State of the MSP» de Kaseya de 2026, el 50 % de los MSP registraron un crecimiento interanual de los ingresos en los servicios de BCDR, lo que los convierte en el segundo sector con mayor crecimiento después de la ciberseguridad. Descarga el informe completo aquí.
Tener instalado un programa de copias de seguridad y contar con una estrategia de copias de seguridad no es lo mismo. Esta diferencia es fundamental cuando surge algún problema.
Una estrategia de copias de seguridad es un enfoque definido y documentado para proteger los datos: qué se copia, con qué frecuencia, dónde se almacenan las copias, cuánto tiempo se conservan y con qué rapidez debe realizarse la recuperación. Sin ella, las copias de seguridad se convierten en una serie de decisiones puntuales tomadas de forma independiente, que abarcan algunos sistemas pero no otros, cumplen algunos requisitos de recuperación pero no todos, y transmiten una falsa sensación de seguridad que solo se pone de manifiesto cuando se intenta la recuperación bajo presión.
Esta guía explica cómo diseñar una estrategia de copias de seguridad que sea integral, se ajuste a los requisitos de recuperación del negocio y sea resistente frente a las amenazas específicas que se dirigen contra la infraestructura de copias de seguridad.
Diseña una estrategia de copias de seguridad adaptada a la era del ransomware
Datto BCDR es compatible con la arquitectura 3-2-1-1-0, dispositivos de copia de seguridad locales y copias inmutables en la nube, además de ofrecer verificación automatizada, lo que proporciona a los proveedores de servicios gestionados (MSP) y a los equipos de TI una ruta de recuperación resiliente y resistente al ransomware.
Empieza por los requisitos de recuperación, no por la tecnología de copia de seguridad
La mayoría de las organizaciones abordan el tema de las copias de seguridad desde el punto de vista tecnológico: qué software, qué dispositivo, qué servicio en la nube. El punto de partida adecuado es la pregunta empresarial: ¿cómo debe ser la recuperación?
Hay dos indicadores que definen los requisitos de recuperación:
Objetivo de tiempo de recuperación (RTO), el tiempo máximo que un sistema o servicio puede estar inactivo antes de que el impacto resulte inaceptable. Un RTO de cuatro horas significa que el departamento de TI dispone de cuatro horas desde el momento del fallo para restablecer el servicio. Los RTO deben definirse por sistema en función del impacto empresarial del tiempo de inactividad, y no como una cifra única para todo el entorno.
Objetivo de punto de recuperación (RPO), la cantidad máxima de pérdida de datos que se considera aceptable, medida en tiempo. Un RPO de 24 horas significa que la organización acepta perder hasta 24 horas de datos. Un RPO de una hora significa que la copia de seguridad debe realizarse al menos cada hora para los sistemas cubiertos.
Una vez definidos el RTO y el RPO para cada nivel del sistema, la elección de la tecnología de copia de seguridad se reduce a determinar qué soluciones pueden cumplir esos requisitos. Un sistema con un RTO de cuatro horas necesita una capacidad de recuperación instantánea o casi instantánea, copias de seguridad basadas en imágenes con recuperación de virtualización, o un dispositivo BCDR capaz de poner en marcha el sistema protegido en la nube en cuestión de minutos. Un sistema con un RTO de 24 horas puede utilizar copias de seguridad de archivos convencionales con copias de seguridad completas diarias.
Este proceso evita el error habitual de elegir herramientas de copia de seguridad basándose únicamente en el coste o en la familiaridad con ellas, para luego descubrir, en caso de incidente, que la recuperación lleva mucho más tiempo del que la empresa puede permitirse.
Clasificación de datos y sistemas según la prioridad de recuperación
No todos los sistemas requieren la misma inversión en cuanto a velocidad, frecuencia y periodo de retención de las copias de seguridad. Clasificar los sistemas por prioridad de recuperación permite orientar adecuadamente la inversión en copias de seguridad:
Nivel 1, de misión crítica. Sistemas cuyo fallo detiene inmediatamente las operaciones empresariales: aplicaciones empresariales básicas, bases de datos, controladores de dominio, sistemas ERP y procesamiento de pagos. El Nivel 1 requiere los valores más bajos de RTO y RPO, normalmente inferiores a una hora. Tecnología: copias de seguridad basadas en imágenes con virtualización local, dispositivo BCDR con continuidad en la nube y CDP para las bases de datos de mayor criticidad.
Nivel 2, importante para el negocio. Sistemas cuyo fallo afecta significativamente a las operaciones, pero no las detiene de inmediato: servidores de correo electrónico, servidores de archivos y aplicaciones empresariales secundarias. El nivel 2 puede admitir RTO ligeramente más largos (normalmente unas pocas horas) y RPO (normalmente de unas pocas horas a un día).
Nivel 3, Estándar. Terminales, entornos de desarrollo, aplicaciones no críticas. El Nivel 3 admite copias de seguridad diarias con tiempos de recuperación de varios días. Tecnología: copias de seguridad diarias de archivos o imágenes, copias exclusivas en la nube, retención estándar.
Este marco de clasificación no se limita a la gestión de costes, sino que tiene por objeto garantizar que los sistemas más críticos cuenten con la capacidad de recuperación que la empresa realmente necesita, y que la inversión en tecnologías de recuperación más costosas se concentre allí donde aporte mayor valor.
Elegir la arquitectura de copias de seguridad adecuada
La combinación de un dispositivo local y la nube es la arquitectura más resistente para las organizaciones que cuentan con una infraestructura local significativa. El dispositivo ofrece una copia de seguridad local que permite una recuperación rápida ante situaciones habituales de fallo; la copia en la nube proporciona una copia de seguridad externa y aislada que resiste incidentes a nivel de la sede y ataques de ransomware dirigidos al almacenamiento local. Datto SIRIS esta arquitectura: se trata de un dispositivo Linux reforzado con capacidad de virtualización local para una rápida recuperación in situ y replicación automática en la nube para la protección externa.
Las copias de seguridad «Cloud-first» son ideales para organizaciones con una infraestructura predominantemente en la nube o SaaS, o para aquellas que carecen de centros de datos locales. Las copias de seguridad se almacenan directamente en la nube, y el almacenamiento de objetos inmutables garantiza la protección frente al ransomware. La recuperación se realiza de la nube a la nube o de la nube a las instalaciones locales.
La copia de seguridad híbrida da respuesta a las necesidades de las organizaciones con entornos múltiples que cuentan tanto con cargas de trabajo locales como en la nube. Por lo general, se requieren diferentes herramientas para cada entorno: una solución basada en dispositivos para el entorno local, copias de seguridad nativas de la nube para la infraestructura en la nube y copias de seguridad SaaS para las aplicaciones SaaS. El requisito fundamental es una gestión centralizada que ofrezca visibilidad de todos los entornos de copia de seguridad desde una única consola.
La arquitectura centrada en BCDR da prioridad a la rapidez de la recuperación frente a la rentabilidad de las copias de seguridad. Los dispositivos BCDR pueden virtualizar los sistemas protegidos a nivel local en cuestión de minutos tras un fallo, lo que permite mantener las operaciones empresariales mientras la recuperación en el hardware principal se lleva a cabo en segundo plano. Esta arquitectura es adecuada para sistemas de nivel 1 con requisitos de RTO inferiores a cuatro horas.
Políticas de conservación: cuánto tiempo hay que conservar cada tipo de documento
La política de retención es una de las decisiones más importantes desde el punto de vista estratégico en materia de copias de seguridad y, sin embargo, una de las que menos se tienen en cuenta. Hay dos factores contrapuestos que determinan la duración de la retención:
El tiempo de permanencia del ransomware aboga por una retención más prolongada. Los ataques modernos de ransomware suelen implicar semanas o meses de reconocimiento antes de que se despliegue la carga destructiva. Si el periodo de retención de las copias de seguridad de una organización es de 30 días y el atacante estableció el acceso 45 días antes de desplegar el ransomware, todas las copias de seguridad podrían encontrarse dentro del periodo de compromiso, y contener potencialmente archivos cifrados o infectados. Las organizaciones necesitan una retención que se extienda mucho más allá del tiempo de permanencia máximo previsto para garantizar la disponibilidad de puntos de restauración limpios.
El coste del almacenamiento justifica una retención más breve. Una retención más prolongada implica un mayor consumo de almacenamiento.
La resolución consiste en una política de retención por niveles:
- Copias de seguridad recientes (últimos 7-30 días): intervalos frecuentes, alto nivel de detalle, acceso rápido
- Copias de seguridad mensuales: se conservan durante 12 meses
- Copias de seguridad anuales: se conservan durante un periodo de entre 3 y 7 años (en función de los requisitos de cumplimiento normativo)
Las obligaciones de cumplimiento normativo también determinan los plazos mínimos de conservación. La HIPAA exige que se realicen copias de seguridad de los datos sujetos a su ámbito de aplicación y que estos se conserven durante el tiempo adecuado. El RGPD impone límites a la conservación de datos que deben conciliarse con los requisitos de conservación de las copias de seguridad. Las normativas específicas de cada sector (servicios financieros, sanidad, administración pública) suelen establecer plazos mínimos de conservación con fines de auditoría y de retención legal.
Las copias de seguridad inmutables, que no pueden modificarse ni eliminarse durante su periodo de retención definido, protegen tanto contra el ransomware como contra el borrado involuntario, garantizando que los puntos de restauración históricos sigan estando disponibles independientemente de lo que ocurra en el entorno principal.
Seguridad de las copias de seguridad: protección de la ruta de recuperación
La infraestructura de copias de seguridad se ha convertido en uno de los principales objetivos de los ataques. Más del 90 % de los ataques de ransomware se dirigen a las copias de seguridad; los atacantes saben que una organización que conserve sus copias de seguridad intactas no tendrá que pagar el rescate, por lo que eliminar las opciones de recuperación forma parte de su estrategia de ataque.
La seguridad de las copias de seguridad requiere:
Aislamiento de la red de producción. Los sistemas de copia de seguridad a los que se accede mediante recursos compartidos de archivos SMB estándar o credenciales de dominio son vulnerables al ransomware que haya comprometido las cuentas del dominio. La infraestructura de copia de seguridad debe utilizar credenciales independientes, segmentos de red separados y, a ser posible, almacenamiento basado en dispositivos o exclusivamente en la nube que no presente la superficie de ataque propia de un sistema de archivos estándar de Windows.
Almacenamiento inmutable. El almacenamiento de objetos con configuración WORM (Write Once Read Many) o la inmutabilidad proporcionada por el proveedor impide que las copias de seguridad se modifiquen o se eliminen, ni siquiera por ransomware que cuente con credenciales administrativas.
Cifrado. Los datos de las copias de seguridad deben cifrarse tanto durante su transmisión como cuando están almacenados. Esto protege contra el robo de datos de los repositorios de copias de seguridad, que se está convirtiendo cada vez más en un objetivo secundario de los ataques, junto con el uso de ransomware.
Controles de acceso y autenticación multifactorial (MFA). Las consolas de gestión de copias de seguridad deben exigir la autenticación multifactorial y un acceso basado en roles. Las credenciales para gestionar las copias de seguridad deben ser distintas de las que se utilizan en el entorno de producción.
Análisis de ransomware. Las plataformas de copia de seguridad que analizan las copias de seguridad en busca de malware antes de guardarlas garantizan que los puntos de restauración estén libres de malware, lo que evita que, al restaurar los datos desde la copia de seguridad, se recupere también el ransomware.
Pruebas y verificación: la parte más importante que nadie lleva a cabo
Una copia de seguridad que nunca se ha probado es una mera suposición. El hardware falla. Las configuraciones cambian. Las actualizaciones de software pueden afectar a la compatibilidad. Es posible que la tarea de copia de seguridad que se completó con éxito el mes pasado no genere hoy una imagen que se pueda restaurar.
Las pruebas de copia de seguridad deben incluir:
Pruebas periódicas de restauración. Restaure archivos específicos, bases de datos o sistemas completos a partir de copias de seguridad según un calendario definido: mensualmente para los sistemas críticos y trimestralmente para el resto. Documente qué se ha restaurado, de qué copia de seguridad y cuánto tiempo ha tardado.
Pruebas completas de recuperación ante desastres. Al menos una vez al año, simule un escenario de fallo total: restaure el entorno de producción a partir de una copia de seguridad en un entorno de prueba, compruebe que las aplicaciones funcionan correctamente y compare el RTO real con el objetivo. Esta es la única prueba que permite verificar si la estrategia de copias de seguridad ofrece el rendimiento de recuperación que necesita la empresa.
Verificación automática de copias de seguridad. Las plataformas modernas de copias de seguridad pueden comprobar automáticamente la capacidad de recuperación tras cada tarea de copia de seguridad, arrancando una instancia virtualizada del sistema del que se ha realizado la copia y comprobando que se inicia correctamente. Esto proporciona una confianza continua sin la carga que suponen las pruebas manuales. La función «Screenshot Verification» de Datto hace precisamente esto: captura automáticamente una captura de pantalla de cada sistema tras la copia de seguridad para verificar que se inicia correctamente.
La práctica de realizar pruebas periódicas suele poner de manifiesto problemas antes de que se conviertan en descubrimientos fortuitos, como un alcance de copia de seguridad incorrecto, lagunas en la retención de datos o una tecnología incapaz de cumplir el RTO requerido.
Estrategia de copias de seguridad para proveedores de servicios gestionados (MSP)
Para los MSP, la estrategia de copias de seguridad se sitúa en la encrucijada entre la protección del cliente y la prestación de servicios:
Una base estandarizada con personalización por cliente. Defina una arquitectura de copias de seguridad y una política de retención estándar que se apliquen a todos los clientes de forma predeterminada, con variaciones documentadas por cliente cuando los requisitos específicos de cada uno difieran. Esto resulta más escalable y más fácil de auditar que desarrollar enfoques a medida para cada cliente de forma independiente.
Documentación de RTO/RPO por cliente. Los acuerdos con los clientes deben documentar los objetivos de recuperación a los que se compromete el MSP, y se debe verificar que la configuración de las copias de seguridad respalde dichos compromisos. Un RTO no documentado genera responsabilidad civil cuando la recuperación tarda más de lo que el cliente esperaba.
Supervisión y generación de informes de copias de seguridad. Se debe supervisar el estado de las tareas de copia de seguridad en todos los entornos de los clientes, con alertas automáticas en caso de fallos. Los informes de copias de seguridad dirigidos a los clientes, que muestran la cobertura de protección y los índices de éxito de las tareas, constituyen tanto una herramienta de prestación de servicios como de retención.
Las copias de seguridad como servicio comercializable. Muchos clientes de pymes cuentan con una protección insuficiente y, o bien no son conscientes de ello, o bien no comprenden en qué consiste una protección integral. Los proveedores de servicios gestionados (MSP) que sean capaces de explicar, en términos empresariales, la diferencia entre lo que tiene un cliente y lo que necesita —utilizando conceptos como RTO y RPO y haciendo hincapié en el coste del tiempo de inactividad— podrán aumentar los ingresos por copias de seguridad a partir de las relaciones con los clientes actuales.
Descubre por qué los MSP necesitan ciberresiliencia ahora mismo
Puntos clave
- Empiece por los requisitos de recuperación (RTO y RPO por nivel de sistema), no por la tecnología; la solución de copia de seguridad adecuada es aquella que pueda cumplir esos requisitos a un coste aceptable.
- Los sistemas de clasificación por prioridad de recuperación permiten centrar la inversión en aquellos sistemas en los que realmente se requiere una recuperación rápida, en lugar de aplicar el mismo enfoque a todos los casos.
- El ransomware ha convertido la seguridad de las copias de seguridad en una prioridad absoluta: las copias de seguridad inmutables y aisladas, con credenciales independientes, son ahora requisitos fundamentales, y no una medida de refuerzo opcional.
- Las pruebas periódicas de recuperación son el elemento más descuidado y más importante de cualquier estrategia de copia de seguridad; las copias de seguridad que no se prueban dan una falsa sensación de seguridad que falla en el peor momento posible.
