En breve: La regla 3-2-1 dice que necesitas al menos tres copias de tus datos, guardadas en dos soportes distintos, con una copia fuera de la oficina. Es el mínimo razonable para que un incendio, un robo o un ataque de ransomware no te deje sin negocio de un día para otro. La versión moderna, la 3-2-1-1-0, añade una copia inmutable y la obligación de comprobar que las restauraciones funcionan de verdad.

Llevo años viendo el mismo patrón en pymes españolas: hay copia de seguridad, pero nadie ha comprobado si se puede restaurar. El día que un ransomware cifra los archivos del servidor y también el NAS de la oficina, esa "copia de seguridad" no sirve de nada. La regla 3-2-1 no es una moda de consultor, es la forma más barata de evitar que un mal día se convierta en el cierre del negocio.

¿Qué es la regla 3-2-1 de copias de seguridad?

La regla 3-2-1 es un principio de toda la vida en gestión de datos, y sigue siendo el punto de partida más razonable para cualquier empresa, tenga cinco empleados o quinientos. Se resume en tres números:

Con un ejemplo se entiende mejor. Imagina una gestoría con diez empleados: el original vive en el servidor de la oficina, la primera copia se guarda en un disco externo que se lleva alguien a casa cada semana, y la segunda copia se sube automáticamente cada noche a un proveedor de nube. Tres copias, dos soportes, una fuera del edificio. Esa gestoría puede sufrir un robo, un incendio o un ataque informático y seguir facturando al día siguiente.

¿Por qué el NAS de la oficina no cuenta como copia offsite?

Este es el error más habitual que me encuentro al revisar la infraestructura de una pyme. Compran un NAS (un servidor de almacenamiento en red), copian ahí los archivos del ordenador principal y dan el tema por resuelto. Tienen, como mucho, dos copias en dos soportes... pero las dos siguen en la misma sala, conectadas a la misma red eléctrica y a la misma conexión a internet.

Si hay un incendio, una inundación o un robo, el original y la copia desaparecen juntos. Y si hay un ataque de ransomware que se propaga por la red local, el malware suele cifrar también las unidades de red mapeadas, incluido el NAS, en la misma pasada. He visto casos donde la "copia de seguridad" se cifró exactamente al mismo tiempo que los datos originales, porque estaba montada como una unidad de red más, sin ningún aislamiento.

El NAS es un soporte perfectamente válido como segunda copia local, pero nunca puede ser tu única copia adicional. Necesitas, además, algo que viva fuera de ese edificio: una nube, una sede distinta o un disco que físicamente sale de la oficina.

¿Por qué el ransomware ha cambiado las reglas del backup?

Durante años la regla 3-2-1 se pensaba sobre todo para desastres físicos: incendios, robos, un disco que se estropea. Hoy el motivo número uno para aplicarla en serio es otro: el ransomware. Un atacante que entra en tu red no solo cifra los archivos de trabajo, busca activamente las copias de seguridad para inutilizarlas antes de pedir el rescate, porque sabe que una copia sana es lo único que te permite decir que no y recuperarte sin pagar.

Explico con más detalle cómo detectar y responder a un ataque de este tipo en mi artículo sobre prevención, detección y recuperación ante ransomware, pero el resumen para este tema es simple: si tus copias de seguridad son accesibles desde el mismo usuario y la misma red que se puede ver comprometida, no son una defensa real contra el ransomware, son otro archivo más que cifrar.

¿Qué añade la versión moderna 3-2-1-1-0?

La 3-2-1 clásica se ha quedado corta frente al ransomware moderno, y por eso se ha extendido una versión ampliada, la 3-2-1-1-0, que añade dos condiciones más:

La parte de la inmutabilidad es la que marca la diferencia real frente al ransomware moderno: si un atacante consigue credenciales de administrador y borra o cifra tus copias de seguridad "normales", la copia inmutable sigue ahí, intacta, porque ni siquiera el administrador puede modificarla durante el plazo configurado.

¿Cómo aplicar la regla 3-2-1 en una pyme sin gastar una fortuna?

No hace falta un departamento de sistemas para cumplir la regla 3-2-1. La mayoría de proveedores de nube ofrecen hoy planes pensados justamente para pymes, con copia automática, versionado e inmutabilidad opcional a un coste razonable. La combinación más habitual y práctica es esta:

CopiaDónde viveFunción principal
1 · OriginalServidor o equipos de trabajo de la oficinaLos datos que se usan a diario
2 · LocalNAS, disco externo o servidor secundario en la oficinaRecuperación rápida ante un fallo puntual (disco roto, borrado accidental)
3 · OffsiteAlmacenamiento en la nube, con versionado e idealmente inmutabilidadRecuperación ante incendio, robo, inundación o ransomware

Algunas recomendaciones prácticas que aplico con clientes:

¿Cómo se comprueba que las copias de seguridad realmente funcionan?

Esta es, con diferencia, la parte que más pymes se saltan. Un backup que nunca se ha restaurado es una promesa, no una garantía. Recomiendo un calendario sencillo:

  1. Restauración de prueba mensual de un archivo o carpeta al azar, para confirmar que el proceso funciona y que el contenido es correcto y legible.
  2. Simulacro trimestral de restauración completa de un sistema o servidor crítico en un entorno aislado, midiendo cuánto tiempo se tarda en tener todo operativo de nuevo.
  3. Revisión anual de la política completa: qué se está copiando, con qué frecuencia, quién tiene acceso y si el volumen de datos sigue encajando con el espacio contratado.

Si nunca has probado una restauración completa, ese es el primer ejercicio que te recomiendo hacer esta misma semana, antes de seguir leyendo sobre nada más relacionado con ciberseguridad. Muchas empresas descubren que "algo falla" en la copia de seguridad precisamente el día que más la necesitan, y para entonces ya es tarde.

¿Qué exigen el ENS y la ISO 27001 sobre las copias de seguridad?

Si tu empresa presta servicios a una administración pública o trabaja con clientes que exigen certificación, la regla 3-2-1 deja de ser solo sentido común y pasa a ser, además, un requisito de cumplimiento.

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, recoge 73 medidas de seguridad en su Anexo II, repartidas en tres marcos: organizativo, operacional y de protección. Las medidas de protección son las que, entre otras cosas, obligan a garantizar la disponibilidad de la información frente a incidentes, y su exigencia concreta depende de la categoría del sistema (básica, media o alta), que se calcula según el impacto en cinco dimensiones: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. Cuanto más crítica es la información que manejas, más exigente es lo que se espera de tu política de copias de seguridad y de tu capacidad real de recuperación.

La ISO/IEC 27001:2022, por su parte, organiza sus 93 controles del Anexo A en cuatro grandes temas: organizativos, de personas, físicos y tecnológicos. La disponibilidad y recuperación de la información se aborda dentro de los controles tecnológicos, y cada empresa certificada debe justificar en su Declaración de Aplicabilidad (SoA) cómo gestiona sus copias de seguridad: qué se copia, con qué frecuencia, dónde se almacena y cómo se verifica que la recuperación funciona. No es un trámite de papel: un auditor puede pedir evidencia de que las restauraciones se han probado.

En ambos casos, la lógica es la misma que la de la regla 3-2-1: no basta con tener copias, hay que poder demostrar que están protegidas, que hay al menos una fuera del alcance de un incidente local, y que funcionan cuando se necesitan. Si quieres ver cómo encaja esto dentro de un plan de seguridad completo para una pyme, lo desarrollo con más detalle en mi plan de ciberseguridad con 20 medidas esenciales para pymes.

La regla 3-2-1, y su versión ampliada 3-2-1-1-0, no exige un presupuesto de gran empresa. Exige, sobre todo, criterio: separar físicamente las copias, automatizar lo que se pueda automatizar y, sobre todo, comprobar que funciona antes de que un incidente te obligue a comprobarlo bajo presión. Si quieres que revisemos juntos cómo está tu empresa frente a esto y frente al resto de riesgos digitales, en mi servicio de ciberseguridad para pymes es exactamente el punto de partida habitual.