Perder datos no suele ser un evento repentino y espectacular: a veces es una carpeta borrada por error, un ransomware que cifra un disco, un fallo de SSD, una actualización que rompe un servicio o una cuenta en la nube bloqueada. La estrategia 3-2-1 es una forma sencilla y muy efectiva de diseñar copias de seguridad que resistan la mayoría de escenarios reales, tanto en casa como en entornos de empresa.

Qué significa exactamente la regla 3-2-1

La regla 3-2-1 resume un objetivo de resiliencia:

  • 3 copias de tus datos: el original + 2 copias adicionales.
  • 2 medios diferentes: por ejemplo, disco interno y disco externo, o NAS y almacenamiento en la nube. La idea es evitar un fallo común que afecte a todas las copias.
  • 1 copia fuera de sitio (offsite): en otra ubicación física o en la nube, para sobrevivir a robo, incendio, inundación o ataques que afecten a toda la red local.

Un matiz importante: 3-2-1 no es un producto ni un software concreto, es un diseño. Puedes cumplirlo con muchas combinaciones, siempre que se garantice la separación de riesgos.

Antes de implementarla: decide qué proteger y con qué objetivos

Para que 3-2-1 funcione sin volverse caro o inmanejable, conviene clasificar datos y establecer objetivos:

  • Datos críticos: contabilidad, proyectos, bases de datos, CRM/ERP, repositorios, material de clientes.
  • Datos importantes: documentos internos, recursos de marketing, plantillas, configuraciones.
  • Datos prescindibles: descargas, cachés, entornos temporales.

Con esa clasificación, define dos métricas:

  • RPO (cuánto puedes permitirte perder): por ejemplo, 24 horas en un PC personal, 1 hora en un servidor de facturación.
  • RTO (cuánto puedes tardar en recuperar): minutos u horas según el servicio.

Estas decisiones marcan la frecuencia de copias, el tipo (completa, incremental) y la infraestructura necesaria.

Componentes de un 3-2-1 bien hecho

Tipos de copia: completa, incremental y diferencial

  • Completa: copia todo. Suele ser más lenta y ocupa más, pero simplifica restauraciones.
  • Incremental: guarda solo cambios desde la última copia (sea completa o incremental). Es eficiente, pero depende de la cadena.
  • Diferencial: guarda cambios desde la última copia completa. Restaura más rápido que incremental, pero crece con el tiempo.

En la práctica, para la mayoría de usuarios y pymes funciona bien: una copia completa semanal + incrementales diarias, con retención de varias semanas.

Retención y versiones: defensa contra borrados y ransomware

No basta con “tener una copia”; necesitas versionado para volver a un punto anterior. Define una política simple:

  • Diarias: conservar 7 a 14 versiones.
  • Semanales: conservar 4 a 8 versiones.
  • Mensuales: conservar 6 a 12 versiones si el negocio lo requiere.

Si tu almacenamiento lo permite, el versionado es una de las mejores protecciones ante cifrado o corrupción silenciosa.

Cifrado y control de acceso

La copia fuera de sitio suele contener datos sensibles. Recomendaciones mínimas:

  • Cifrado en reposo (antes de subir o almacenado de forma cifrada).
  • Cifrado en tránsito (conexiones seguras).
  • MFA en cuentas cloud y paneles de gestión.
  • Separación de credenciales: la cuenta que hace backups no debería poder borrar sin restricciones.

Pruebas de restauración: la parte que más se omite

Una estrategia 3-2-1 solo es real cuando restauras. Establece un hábito:

  • Prueba mensual: restaurar un archivo, una carpeta y verificar integridad.
  • Prueba trimestral: restauración completa en un equipo de prueba o máquina virtual.
  • Registro: fecha, qué se restauró, tiempo empleado, incidencias.

Cómo aplicar 3-2-1 en un PC (Windows, macOS y Linux)

En un PC el objetivo típico es proteger documentos, fotos, proyectos, configuraciones y, si aplica, entornos de trabajo. Un esquema 3-2-1 muy efectivo para usuario avanzado o estudiante es:

  • Copia 1 (datos originales): disco interno del PC.
  • Copia 2 (local): disco externo USB o un NAS en la red.
  • Copia 3 (fuera de sitio): almacenamiento en la nube con versionado.

Configuración práctica recomendada

  • Backup local automático diario al disco externo o NAS (incremental).
  • Backup en nube continuo o diario de las carpetas críticas (Documentos, Escritorio, Proyectos) con retención.
  • Imagen del sistema (opcional) semanal o mensual si necesitas recuperar el PC completo rápido.

Si usas disco externo, un detalle clave para ransomware: no lo dejes conectado todo el tiempo si tu solución no protege contra cifrado. Conectar, ejecutar, verificar y desconectar es una medida simple y efectiva.

Qué carpetas incluir (y cuáles excluir)

Incluye:

  • Documentos de trabajo, contabilidad personal, material académico.
  • Fotos y vídeos originales.
  • Carpetas de proyectos (código, diseños, bases de datos locales).
  • Exportaciones de apps clave (marcadores, configuraciones, perfiles).

Excluye o trata aparte:

  • Juegos y descargas reproducibles.
  • Cachés y temporales.
  • Máquinas virtuales enormes si no necesitas restaurarlas completas (mejor respaldar configuraciones y datos internos).

Checklist rápido para PC

  • Automatiza el backup local.
  • Activa versionado en la nube.
  • Cifra si el disco externo puede perderse.
  • Prueba restauración de un archivo al mes.

Cómo aplicar 3-2-1 en servidores (pymes, VPS y on-premise)

En servidores, 3-2-1 debe cubrir no solo archivos, también servicios: bases de datos, directorios, máquinas virtuales, contenedores y configuraciones. Una implementación típica para una pyme:

  • Copia 1: datos en producción (almacenamiento del servidor).
  • Copia 2: repositorio local en otro equipo o NAS dedicado (idealmente con almacenamiento redundante y snapshots).
  • Copia 3: copia fuera de sitio en cloud o en otra sede (objeto con inmutabilidad si es posible).

Prioridad: bases de datos y consistencia

El error más común es copiar archivos de una base de datos “en caliente” sin asegurar consistencia. Buenas prácticas:

  • Backups nativos de la base de datos (volcados, backups físicos o herramientas del motor) según el caso.
  • Ventanas y logs para reducir RPO: backups frecuentes y, si aplica, logs de transacciones.
  • Verificación: comprobar que el backup puede restaurarse y arrancar.

Snapshots no son un backup por sí solos

Los snapshots (en NAS, cabinas o hipervisores) son excelentes para recuperar rápido ante errores, pero suelen vivir en el mismo entorno. Úsalos como capa adicional, no como sustituto de la copia fuera de sitio. Un patrón sólido:

  • Snapshots frecuentes locales para recuperación rápida.
  • Backup al repositorio local para consolidación y retención.
  • Replicación offsite con retención e, idealmente, inmutabilidad.

Ejemplo de calendario para servidores

  • Cada hora: incremental de datos críticos o logs (según RPO).
  • Diario: incremental del sistema y datos.
  • Semanal: completo.
  • Mensual: archivo de largo plazo si hay requisitos legales o de negocio.

Separación y mínimos privilegios

Para minimizar impacto de un incidente:

  • Repositorio de backup aislado en red separada o con credenciales distintas.
  • Cuenta de backup con permisos mínimos, sin acceso interactivo innecesario.
  • Protección de borrado: retención con bloqueo o políticas que impidan eliminar copias recientes.

Cómo aplicar 3-2-1 en la nube (sin caer en falsas sensaciones de seguridad)

Usar cloud no elimina la necesidad de backup. Muchos servicios protegen contra fallos de infraestructura, pero no garantizan recuperación ante borrados accidentales, ataques a la cuenta, errores de sincronización o retenciones insuficientes. En cloud, 3-2-1 suele verse así:

  • Copia 1: datos en el servicio principal (por ejemplo, almacenamiento corporativo o app SaaS).
  • Copia 2: backup a otro almacenamiento dentro del mismo proveedor pero en un repositorio dedicado con retención y políticas estrictas.
  • Copia 3: backup fuera de ese proveedor (multicloud) o exportación periódica a on-premise/offline.

Protege la cuenta: el “punto único” más frecuente

  • MFA obligatorio para administradores y usuarios con acceso a backups.
  • Alertas ante inicios de sesión anómalos y borrados masivos.
  • Principio de mínimo privilegio y roles separados (operación vs administración vs auditoría).

Inmutabilidad y retención en almacenamiento de objetos

Si tu proveedor lo permite, activa mecanismos de inmutabilidad o bloqueo de objetos por un periodo. Esto dificulta que un atacante borre o modifique copias incluso con credenciales comprometidas. Complementa con:

  • Versionado activado.
  • Políticas de ciclo de vida para mover datos a capas más baratas pasado cierto tiempo.
  • Separación entre el entorno de producción y el de backups.

Plantillas de implementación 3-2-1 según escenario

Escenario A: usuario doméstico o estudiante con portátil

  • Original: portátil.
  • Copia local: SSD externo (con cifrado) ejecutado a diario o cada 2-3 días.
  • Offsite: nube con versionado para Documentos y Proyectos.

Objetivo típico: RPO de 24-72 horas y RTO de 1-4 horas para archivos, más si es restauración completa.

Escenario B: despacho o pyme con NAS y varios PCs

  • Original: PCs y servidor/NAS.
  • Copia local: NAS con snapshots y copias programadas desde los PCs.
  • Offsite: replicación del NAS a cloud o a una segunda ubicación.

Recomendación práctica: separar un espacio de almacenamiento dedicado para backups, con cuentas distintas y retención bloqueada.

Escenario C: infraestructura virtualizada o VPS con servicios críticos

  • Original: VMs/contendedores y bases de datos.
  • Copia local: repositorio de backup en otra máquina/volumen independiente con retención.
  • Offsite: almacenamiento de objetos con versionado e inmutabilidad, más exportaciones periódicas.

En este escenario, prioriza backups consistentes de bases de datos y pruebas de restauración completas en entorno aislado.

Errores comunes al intentar cumplir 3-2-1 (y cómo evitarlos)

  • Confundir sincronización con backup: la sincronización puede propagar borrados. Solución: versionado y retención real.
  • Tener “dos copias” en el mismo disco: particiones no cuentan como medios diferentes. Solución: almacenamiento físicamente distinto.
  • Offsite en la misma red: un ransomware puede alcanzar todo. Solución: aislamiento, inmutabilidad y credenciales separadas.
  • No probar restauraciones: el backup puede estar corrupto o incompleto. Solución: pruebas periódicas y registro.
  • No incluir configuraciones: recuperar datos sin poder levantar el servicio alarga el RTO. Solución: respaldar configuraciones, secretos y documentación operativa de forma segura.

Medidas extra que refuerzan 3-2-1 sin complicarlo

  • Regla 3-2-1-1-0 (si aplica): añadir 1 copia offline o inmutable y 0 errores verificados con comprobaciones. Es una extensión útil para entornos con riesgo de ransomware.
  • Etiquetado de datos: decidir qué va a nube, qué se cifra, qué retención requiere.
  • Monitorización: alertas cuando un backup falla o cuando el tamaño cambia de forma anómala.
  • Documentación: dónde están las copias, quién accede, cómo restaurar, tiempos estimados.

Aplicar 3-2-1 no es solo acumular copias, sino diseñar una ruta clara de recuperación para el día en que realmente la necesites: con medios separados, una copia fuera de sitio, retención suficiente y restauraciones comprobadas.

Comments are closed.

También podría gustarte