Copia de seguridad en la nube: una guía práctica para equipos de TI y proveedores de servicios gestionados (MSP)

Según el informe «State of the MSP» de Kaseya de 2026, el 50 % de los proveedores de servicios gestionados (MSP) registraron un crecimiento interanual de los ingresos por BCDR, impulsado por clientes que se han dado cuenta de que las plataformas en la nube no sustituyen a las copias de seguridad. Se trata de una de las señales comerciales más claras en managed services : la demanda de copias de seguridad que realmente funcionan en situaciones de presión está creciendo, no disminuyendo.

El término «copia de seguridad en la nube» se utiliza para describir tres problemas fundamentalmente distintos. Realizar copias de seguridad de servidores locales en la nube supone un reto diferente al de realizar copias de seguridad de cargas de trabajo que se ejecutan en AWS o Azure, lo cual, a su vez, difiere de la copia de seguridad de datos almacenados en aplicaciones SaaS como Microsoft 365. Cada uno de ellos presenta sus propios modos de fallo, requisitos de recuperación y soluciones adecuadas.

Esta guía aborda los tres aspectos. Datto, que forma parte de la familia Kaseya, ha protegido a más de 500 000 empresas a través de proveedores de servicios de gestión (MSP) en todo el mundo, lo que nos permite conocer en detalle en qué aspectos cada enfoque funciona y en cuáles falla cuando se enfrenta a la presión real de una recuperación.

Copias de seguridad en la nube: protección de los servidores locales

Este es el caso de uso más habitual. Los servidores locales, las máquinas virtuales y los dispositivos finales generan copias de seguridad que se replican en un almacenamiento en la nube para garantizar la protección fuera de las instalaciones. La nube es el destino, no el entorno que se protege.

El principal reto es la tensión entre la velocidad de recuperación y el coste. Recuperar un terabyte de datos a las velocidades habituales de Internet puede llevar horas o días. La recuperación exclusivamente en la nube resulta insuficiente para cumplir requisitos de RTO inferiores a una hora. Las organizaciones que se topan con esta limitación durante un incidente real se enfrentan a tiempos de inactividad que se miden en días, en lugar de en horas.

La solución es el modelo híbrido de dispositivo más nube. Un dispositivo de copia de seguridad local, como Datto SIRIS, se encarga de la rápida recuperación de los datos recientes a la velocidad de la red local, incluida la virtualización local instantánea, de modo que un servidor averiado puede volver a funcionar en cuestión de minutos. Esa misma copia de seguridad se replica simultáneamente en la nube de Datto para garantizar la protección fuera del sitio y la retención a largo plazo. Si se pierde por completo el sitio principal, la virtualización en la nube permite que las cargas de trabajo se pongan en marcha en la nube de Datto mientras se restaura el entorno físico.

Esta es la arquitectura que mejor se adapta a la mayoría de los clientes de pymes: una recuperación local rápida cuando la velocidad es fundamental, y una copia en la nube independiente e inmutable cuando la resiliencia es lo más importante.

En qué se equivocan los MSP en este caso: consideran que la replicación en la nube constituye la estrategia completa de copia de seguridad y prescinden del dispositivo local para reducir los costes iniciales. Sobre el papel, la propuesta resulta más atractiva desde el punto de vista económico. Sin embargo, en caso de un ataque de ransomware que cifre el entorno local y requiera una recuperación completa del servidor a través de Internet, el cliente tarda días en recuperarse en lugar de horas, y es el MSP quien asume el coste de ese retraso.

Descubre Datto SIRIS copias de seguridad híbridas y recuperación ante desastres

Copias de seguridad en la nube: protección de las cargas de trabajo de AWS y Azure

La infraestructura en la nube no se respalda por sí sola. AWS y Azure funcionan según un modelo de responsabilidad compartida: el proveedor es responsable de la resiliencia de la infraestructura; el cliente es responsable de los datos y las cargas de trabajo que se ejecutan en ella. Si una instancia de EC2 o una máquina virtual de Azure resulta cifrada por un ransomware, se borra accidentalmente o se daña debido a una implementación defectuosa, la recuperación es responsabilidad del cliente.

Los riesgos específicos de las copias de seguridad nativas en la nube:

Las herramientas nativas como AWS Backup y Azure Backup ofrecen cierta protección, pero funcionan dentro del ecosistema del proveedor. Una cuenta en la nube comprometida, un ataque de ransomware que acceda a las credenciales de la nube o un incidente por parte del proveedor pueden afectar simultáneamente tanto a las cargas de trabajo principales como a las copias de seguridad de la misma cuenta. Además, las copias de seguridad nativas rara vez cumplen los requisitos de independencia de las pólizas de seguro cibernético, que exigen copias inmutables y fuera de las instalaciones.

Datto Backup for Microsoft Azure este problema replicando las máquinas virtuales de Azure y los archivos de Azure en la nube de Datto, fuera del ecosistema de Azure por completo, con almacenamiento inmutable y una tarifa plana que elimina la imprevisibilidad de los costes de salida de Azure Backup nativo. La replicación cada hora ofrece un objetivo de punto de recuperación de 60 minutos. Las opciones de recuperación incluyen la restauración a nivel de archivo, la restauración completa de la máquina virtual y la virtualización en la nube directamente en la nube de Datto.

En qué se equivocan los MSP en este caso: dan por sentado que, por el mero hecho de que un cliente esté «en la nube», está automáticamente protegido. AWS y Azure ofrecen resiliencia de la infraestructura, pero no copias de seguridad de los datos. Los MSP que gestionan entornos en la nube sin realizar copias de seguridad independientes de esas cargas de trabajo están operando con un importante vacío en materia de responsabilidad.

Copia de seguridad de aplicaciones en la nube: protección de datos SaaS

Las aplicaciones SaaS constituyen una categoría distinta de la infraestructura en la nube. Microsoft 365, Google Workspace y otras plataformas similares gestionan la aplicación y su disponibilidad, pero no ofrecen copias de seguridad que permitan una recuperación efectiva. Los ajustes predeterminados de retención de Microsoft están pensados para el cumplimiento normativo y para casos de eliminación accidental con plazos de tiempo reducidos. No están diseñados para la recuperación a un momento concreto tras un ataque de ransomware, una eliminación maliciosa por parte de una cuenta comprometida o una configuración errónea a gran escala.

El modelo de responsabilidad compartida también se aplica en este caso. Microsoft es responsable de la plataforma. La organización es responsable de los datos que contiene.

Lo que realmente está en peligro son: el correo electrónico, los calendarios, los contactos, los sitios de SharePoint, los archivos de OneDrive y los datos de Teams. En la mayoría de los entornos de pymes, esto representa la mayor parte de los datos operativos. Un ataque de ransomware que cifre SharePoint o OneDrive, o una cuenta de administrador comprometida que elimine masivamente buzones de correo, puede causar daños importantes de los que las políticas de retención nativas no permiten recuperarse.

Datto SaaS Protection los datos de Microsoft 365 y Google Workspace tres veces al día en un repositorio independiente de Datto Cloud con retención ilimitada. La recuperación es granular: se pueden restaurar correos electrónicos individuales, archivos, carpetas o cuentas completas a cualquier momento del tiempo. SaaS Protection añade detección integrada de amenazas con análisis automatizados contra el ransomware y el phishing en todo el entorno de Microsoft 365.

En qué se equivocan los MSP en este caso: no ofrecen en absoluto copias de seguridad SaaS, o las venden como un complemento opcional. Todos los clientes que utilizan Microsoft 365 o Google Workspace tienen datos en riesgo que la plataforma no les recuperará. Las copias de seguridad SaaS deberían ser un componente imprescindible de cualquier managed services que incluya Microsoft 365.

La regla del 3-2-1 y por qué sigue siendo válida

La regla 3-2-1 es anterior a las copias de seguridad en la nube, pero sigue siendo el marco más útil para evaluar si una arquitectura de copias de seguridad es sólida: tres copias de los datos, en dos tipos de soportes diferentes, con una copia fuera de las instalaciones.

La copia de seguridad en la nube cumple el requisito de ubicación externa. Lo que no cumple automáticamente es el requisito de independencia. Las copias de seguridad almacenadas en la misma cuenta de la nube que los datos principales están expuestas a las mismas amenazas: un ataque de ransomware o el compromiso de una cuenta que destruya los datos de producción puede afectar con la misma facilidad a las copias de seguridad de esa misma cuenta.

Para cualquier cliente con obligaciones de recuperación significativas, la copia en la nube externa debe encontrarse en un entorno independiente y controlado de forma autónoma, con almacenamiento de objetos inmutables. Esto se aplica a los tres casos de uso mencionados anteriormente. Las copias de seguridad locales que se replican en Datto Cloud se encuentran fuera del entorno principal del cliente. Las cargas de trabajo de Azure de las que se realiza una copia de seguridad en Datto se encuentran fuera de Azure. Los datos de SaaS de los que se realiza una copia de seguridad en Datto SaaS Protection fuera del inquilino de Microsoft 365. Esa independencia es la clave.

El ransomware y los argumentos a favor de la inmutabilidad

Los autores de ataques de ransomware han cambiado de táctica para centrarse específicamente en la infraestructura de copias de seguridad. El Informe de investigaciones sobre filtraciones de datos de 2025 de Verizon relacionó el ransomware con el 75 % de las filtraciones por intrusión en los sistemas. Los atacantes que comprometen o eliminan las copias de seguridad antes de cifrar los datos de producción eliminan la posibilidad de recuperación y obligan a pagar el rescate.

Una arquitectura de copias de seguridad resistente al ransomware requiere tres características que las copias de seguridad tradicionales no garantizan.

Aislamiento. Las copias de seguridad a las que se puede acceder mediante las mismas credenciales o a través de la misma red que los sistemas de producción pueden quedar expuestas a un atacante que haya comprometido dichos sistemas. La copia externa debe estar verdaderamente aislada.

Inmutabilidad. Una vez creadas, las copias de seguridad no deben poder modificarse ni eliminarse mediante ningún proceso, salvo al vencimiento del plazo de retención establecido. El almacenamiento de objetos inmutables con un periodo de bloqueo definido evita que el ransomware y las cuentas de administrador comprometidas destruyan los datos de las copias de seguridad. Datto Cloud se basa en este principio, con una protección contra la eliminación en la nube que bloquea las modificaciones o eliminaciones no autorizadas, independientemente de lo que ocurra en el entorno protegido.

Recuperabilidad probada. Según un estudio de Sophos, el 45 % de las víctimas de ransomware que utilizaron copias de seguridad se recuperaron en el plazo de una semana. Aquellos que no pudieron recurrir a las copias de seguridad se enfrentaron a tiempos de recuperación de entre uno y seis meses en el 31 % de los casos. La diferencia radica casi siempre en si la recuperación se había probado antes del incidente. La verificación de capturas de pantalla basada en IA SIRISDatto SIRISofrece una precisión superior al 99 %, señalando las tareas de copia de seguridad sospechosas antes de que se conviertan en fallos de recuperación. Una copia de seguridad no probada no es una copia de seguridad.

Gestión de copias de seguridad en la nube a gran escala como proveedor de servicios gestionados (MSP)

Para los proveedores de servicios gestionados (MSP), los requisitos operativos de las copias de seguridad en la nube van más allá de la protección de los clientes individuales. La rentabilidad de managed services que la gestión de las copias de seguridad se pueda ampliar sin que ello suponga un aumento proporcional del tiempo dedicado por los técnicos.

Visibilidad unificada en los tres casos de uso. La deficiencia operativa más evidente en la mayoría de las plataformas de copia de seguridad de los MSP es la fragmentación de la visibilidad: la recuperación ante desastres y la continuidad del negocio (BCDR) en las instalaciones en una consola, la copia de seguridad de la infraestructura en la nube en otra y la copia de seguridad de SaaS en una tercera. La página de estado de copias de seguridad unificada de Datto consolida SIRIS, Datto Endpoint Backup recuperación ante desastres, Datto Backup for Microsoft Azure y SaaS Protection todos los clientes en una única vista. Una sola consola, un único conjunto de alertas, un único flujo de trabajo de generación de informes.

Políticas de protección estandarizadas. Los MSP que definen políticas de copia de seguridad estándar según el nivel de cada cliente y las aplican de manera coherente en toda su cartera presentan menos lagunas de cobertura, menores costes de corrección y unos informes más claros a efectos de cumplimiento normativo y de seguros cibernéticos. Las configuraciones ad hoc para cada cliente son las que provocan que las lagunas se acumulen de forma imperceptible.

Alertas automáticas e informes de estado. Los fallos en las copias de seguridad que requieren la intervención de un técnico para ser detectados son fallos en potencia. Las alertas automáticas sobre fallos en las tareas, copias de seguridad omitidas y errores de verificación, combinadas con informes periódicos dirigidos al cliente que muestran el estado de las copias de seguridad, convierten la gestión de las copias de seguridad de una actividad reactiva en un servicio documentado.

Previsibilidad de los precios. Las plataformas de copia de seguridad en la nube con tarifas por GB o con precios variables por transferencia de datos de salida generan una facturación impredecible para los clientes y márgenes inciertos. Una tarifa plana que abarque el almacenamiento, las pruebas de recuperación ante desastres y la transferencia de datos de salida convierte a la copia de seguridad en una fuente fiable de margen, en lugar de una variable de coste.