3-2-1: la regla de oro de las copias de seguridad — prácticas globales, la extensión 3-2-1-1-0, aislamiento físico y copias inmutables

3-2-1: la regla de oro de las copias de seguridad — prácticas globales, la extensión 3-2-1-1-0, aislamiento físico y copias inmutables

Regla de copias de seguridad 3-2-1: práctica mundial, 3-2-1-1-0, air-gap y copias inmutables

La copia de seguridad es aburrida hasta el momento en que de pronto se convierte en la parte más emocionante de la vida TI. Una actualización “equivocada”, un error humano, un incendio en la sala de servidores, un cifrador en la red —y resulta que “tenemos copia de seguridad” no era una estrategia, sino un conjuro. Para dejar de confiar en la suerte, en el mundo hace tiempo se usa una metodología sencilla: la regla 3-2-1.

Su valor no está en la magia de los números, sino en el sentido común: obliga a distribuir los riesgos. Si las copias están juntas, en un mismo formato, en un mismo tipo de almacenamiento y el acceso es común, entonces no ha construido redundancia sino un único punto de fallo. La regla 3-2-1 organiza las copias para que una falla no borre todo de golpe.

En lo que sigue en el artículo: qué significa exactamente 3-2-1, por qué hoy se habla a menudo de 3-2-1-1-0, cómo encajan en ese esquema el aislamiento (air-gap) y las copias inmutables, y cómo se ve en la práctica: desde una pequeña oficina hasta una infraestructura con varias ubicaciones y nube.

Qué significa la regla 3-2-1 y por qué se considera básica

La regla 3-2-1 se formula de forma corta y práctica: debe haber tres copias de los datos, en dos tipos diferentes de soporte, y al menos una copia fuera del sitio principal (offsite). En lenguaje claro: están los datos de producción, una copia local para recuperaciones rápidas y otra copia que sobrevivirá a una catástrofe local.

Componentes de la regla:

  • 3 copias: los datos originales más al menos dos copias de seguridad.
  • 2 soportes diferentes: por ejemplo, almacenamiento en disco y almacenamiento de objetos, o disco y cinta, o un NAS y la nube. La idea no es “dos discos diferentes”, sino dos clases de riesgo distintas.
  • 1 copia fuera del sitio: físicamente o lógicamente separada de la infraestructura principal.

¿Por qué se acepta globalmente? Porque es un marco universal que sirve tanto para un ordenador doméstico como para un banco. No dicta productos concretos, no se aferra a una sola tecnología ni discute con el presupuesto: simplemente obliga a repartir los riesgos y disciplina la arquitectura.

Al mismo tiempo es importante recordar: 3-2-1 no garantiza la “vida eterna” de los datos si las copias son igual de accesibles para un atacante que el entorno de producción. Los incidentes recientes (especialmente ransomware) enseñaron al mercado que una copia de seguridad debe ser no solo “en otro lugar”, sino “inalcanzable para su eliminación o cifrado”. Así nació la siguiente etapa de evolución.

Extensión 3-2-1-1-0: por qué lo clásico ya no basta

3-2-1-1-0 es una actualización pragmática de la regla básica frente a la realidad de ataques y errores humanos. La interpretación habitual es: tres copias, dos soportes, una fuera del sitio, otra adicional —offline o inmutable— y cero fallos de restauración (es decir, comprobaciones regulares de que la copia realmente se restaura).

Elementos de la adición:

  • +1: una copia adicional que está aislada (air-gap) o es inmutable (WORM/inmutable).
  • 0: “cero fallos” se logra no con esperanza sino con pruebas: restauraciones de prueba, validación, control de integridad e informes.

Suena más estricto, pero es más honesto: los cifradores llevan tiempo buscando almacenamientos de respaldo, borrando puntos de restauración, cifrando recursos compartidos de red y atacando cuentas con privilegios. Por eso “offsite en el mismo dominio con los mismos administradores” a menudo no es offsite en términos de riesgo, sino solo “otra carpeta que también sufrirá”. 3-2-1-1-0 obliga a disponer mecanismos que impidan destruir todas las copias con un solo comando.

Un beneficio aparte: el punto “0” elimina el principal autoengaño del sector. Una copia que nunca se ha probado puede ser en la práctica solo un conjunto de registros bonitos y promesas vacías. En la metodología eso no se considera copia de seguridad sino coleccionar esperanzas.

Aislamiento (air-gap) y copia inmutable: cómo hacer que las copias sean inalcanzables

Air-gap es la ruptura de conexión entre producción y la copia de seguridad. En lo ideal es física: el soporte o el sistema de copias no están conectados a la red, o se conectan solo según un horario y en una sola dirección. En la práctica a menudo se aplica también un air-gap lógico: cuentas separadas, dominio separado, claves de acceso separadas, privilegios mínimos, políticas estrictas de acceso y segmentación de red.

La copia de seguridad inmutable es un enfoque en el que los puntos de copia no se pueden modificar ni eliminar hasta que expire el periodo de retención establecido. Normalmente se implementa mediante modos WORM (write once, read many) y bloqueo de objetos/snapshots. La idea clave: incluso si un atacante obtiene acceso de administrador a una parte de la infraestructura, no podrá “borrar las huellas” en la copia de seguridad.

Las variantes prácticas de inmutabilidad hoy suelen basarse en almacenamiento de objetos y plataformas especializadas. Como referencia, los proveedores en la nube tienen mecanismos nativos: Amazon S3 Object Lock ( enlace), Azure Immutable Blob Storage ( enlace) y Google Cloud Bucket Lock / políticas de retención ( enlace). Para sistemas de copia clásicos conviene comprobar si soportan repositorios inmutables y roles administrativos separados (como mínimo, separación entre el administrador de copias y el administrador de almacenamiento).

Importante: la inmutabilidad no reemplaza al air-gap. La inmutabilidad protege contra eliminación/reescritura, pero no salva de una falla total del proveedor, de un error de configuración, de periodos de retención mal definidos o de la compromisión de claves de gestión. Y el air-gap, a su vez, protege contra cadenas de ataque pero puede ser incómodo y más caro de operar. En esquemas maduros, estos enfoques se complementan.

Ejemplos de implementación: desde una pequeña oficina hasta una infraestructura madura

Para que la regla no quede en un lema, es útil ver cómo se “asienta” en la práctica. Abajo hay varios escenarios típicos que encajan bien con 3-2-1 y 3-2-1-1-0.

Escenario para un negocio pequeño (archivos, contabilidad, 1C, varios servidores):

  • Copia 1: datos de trabajo en el servidor/maquinas virtuales.
  • Copia 2 (local): respaldo en un NAS/repositorio separado en otra subred, acceso estrictamente mediante una cuenta de servicio sin derechos de acceso interactivo.
  • Copia 3 (fuera del sitio): replicación a un almacenamiento de objetos en la nube con retención y, si es posible, inmutabilidad.
  • +1: descarga semanal de datos críticos a un soporte offline o a una cuenta/tenant “fría” separada a la que los administradores de producción no tienen acceso permanente.
  • 0: una vez al mes —restauración de prueba en un entorno de ensayo y verificación de que no solo se recupera el archivo sino también el servicio.

Escenario para una infraestructura con virtualización y varias ubicaciones:

  • Copias locales rápidas en un repositorio en disco para un RTO que permita “volver en horas”.
  • Copia en una segunda ubicación (offsite) con cuentas separadas y segmentación de red.
  • Capa inmutable: almacenamiento de objetos con WORM/retention o un almacenamiento especializado con snapshots inmutables.
  • Políticas: roles diferenciados, MFA, contraseñas/clave separadas y registro de acciones administrativas.
  • Ejercicios regulares: restauración de máquinas virtuales, bases de datos y archivos individuales, además de un escenario específico de “recuperación tras un ransomware”.

Escenario para un usuario particular (sí, esto también es “práctica mundial”, pero a nivel doméstico):

  • Datos en el ordenador/teléfono.
  • Copia local en un disco externo que no permanezca siempre conectado al puerto USB.
  • Copia en la nube con control de versiones (y periodos de retención claros).

En todos los escenarios hay un principio común: la copia debe ser un sistema separado con su propia lógica de acceso. Si “el administrador de producción” puede con un solo movimiento borrar tanto producción como todos los puntos de restauración, eso es un problema de arquitectura, no una cuestión de elegir un programa concreto.

Lista de comprobación: cómo implantar 3-2-1-1-0 sin heroísmos ni turnos nocturnos

La metodología funciona bien si se convierte en un conjunto de pasos verificables. En la vida real nadie quiere reescribir todo en una semana, así que es mejor empezar por lo simple: separar las copias y cerrar las brechas de acceso más peligrosas.

  1. Definir qué se debe salvar: sistemas críticos, bases de datos, archivos, configuraciones, claves de acceso, cuentas, documentación.
  2. Registrar objetivos de tiempo y pérdidas: pérdida de datos tolerable (RPO) y tiempo de recuperación (RTO).
  3. Hacer al menos dos copias independientes: una local (rápida) y otra offsite (que sobreviva a desastres locales).
  4. Añadir el “+1”: ya sea un air-gap real (offline/cinta/descarga) o una capa inmutable con retención que no se pueda anular “a voluntad”.
  5. Separar accesos: cuentas independientes, MFA, principio de mínimos privilegios y prohibición de acceso interactivo para cuentas de servicio.
  6. Configurar monitoreo: informes de tareas, control de ocupación de los almacenes y alertas por eliminaciones/errores.
  7. Introducir el “0”: restauraciones de prueba regulares, al menos con la cadencia “mensual/trimestral”.

Y un detalle pequeño pero importante: si el sistema de copias se administra “por añadidura”, con el tiempo se convierte en un museo de configuraciones aleatorias. Por eso una práctica eficaz casi siempre incluye documentación: qué se copia, dónde, cuánto tiempo se conserva, quién tiene acceso y cómo restaurar. Sin eso, cualquier incidente se convierte en una búsqueda para sobrevivir.

Conclusión: por qué la regla 3-2-1 sigue siendo pertinente

La regla 3-2-1 es la gramática básica de la copia de seguridad: simple, universal y aplicable casi en todos los casos. Pero la realidad actual con ransomware y ataques a la cadena de administración hizo lógico el siguiente paso —3-2-1-1-0— en el que aparece una copia inalcanzable y la verificación obligatoria de restauración.

Air-gap y la copia inmutable no son palabras de moda, sino la reacción de la industria a escenarios típicos de compromiso. Su objetivo es evitar que todas las copias se destruyan a la vez y asegurar una posibilidad real de recuperarse cuando “todo va mal”. Al final gana no quien compró el software más caro, sino quien distribuyó riesgos, cerró accesos y se entrena periódicamente en la recuperación de datos.

En el mundo eso se considera la norma: la copia de seguridad no es una acción aislada sino un proceso. Y si está organizada según 3-2-1-1-0, la probabilidad de sobrevivir a un incidente deja de ser una lotería y se convierte en un resultado de ingeniería.

Alt text
article-title

Deni Haipaziorov