Copias de seguridad 3-2-1: cómo proteger tus datos de verdad

Perder datos ya no es un problema reservado a empresas con grandes servidores. Puede pasar en un portátil doméstico, en un móvil, en un NAS, en una tienda online o en una pyme que guarda toda su facturación en una carpeta compartida. Un fallo de disco, un borrado accidental, una cuenta comprometida o un ransomware bastan para convertir años de información en un susto serio. Por eso conviene entender una idea sencilla: sincronizar no es hacer backup. Y tener archivos “en la nube” tampoco garantiza que estén protegidos. La regla 3-2-1 sigue siendo una de las formas más claras de ordenar el problema.

Qué significa realmente la regla 3-2-1

La regla 3-2-1 dice que debemos tener tres copias de los datos, en dos soportes distintos, y una de ellas fuera de la ubicación principal. No es una fórmula mágica, pero sí un criterio práctico para reducir riesgos. La copia principal sería, por ejemplo, el disco del ordenador o el servidor donde trabajamos. La segunda podría estar en un disco externo, un NAS o un sistema de backup local. La tercera debería estar fuera: nube, otra oficina, almacenamiento remoto o un soporte desconectado guardado en otro lugar.

Lo importante no es cumplir la regla de forma estética, sino cubrir escenarios distintos. Si se rompe el portátil, sirve la copia local. Si entra un ransomware y cifra la red, necesitamos una copia aislada. Si hay robo, incendio o inundación, la copia externa marca la diferencia. La redundancia solo tiene valor cuando no falla por la misma causa.

Nube, sincronización y backup no son lo mismo

Uno de los errores más habituales es pensar que Google Drive, OneDrive, iCloud o Dropbox son automáticamente una copia de seguridad. En realidad, muchas veces funcionan como sistemas de sincronización. Si borras un archivo en el ordenador, ese borrado puede replicarse en la nube. Si un malware modifica documentos, esos cambios también pueden sincronizarse. Y si alguien entra en tu cuenta, puede eliminar o alterar contenido desde cualquier dispositivo autorizado.

Esto no significa que la nube sea mala. Al contrario: bien usada, es una pieza muy útil dentro de una estrategia 3-2-1. Pero debe configurarse con versiones, papelera con retención, autenticación multifactor y, si el caso lo exige, copias independientes que no dependan de la misma cuenta. En backups conviene separar conceptos: sincronizar mantiene lo mismo en varios sitios; hacer backup permite volver a un punto anterior fiable. Esa diferencia es la que salva los datos cuando el problema no es solo “he perdido un archivo”.

El enemigo real: ransomware, errores humanos y falsa confianza

Cuando se habla de copias de seguridad, mucha gente piensa en fallos físicos: un disco duro que deja de funcionar o un móvil que cae al agua. Siguen siendo riesgos reales, pero hoy el peligro más incómodo es otro: perder acceso a datos que aparentemente seguían ahí. El ransomware cifra información, los errores humanos eliminan carpetas completas, una mala migración puede sobrescribir datos buenos y una automatización mal configurada puede propagar el desastre en segundos.

Aquí aparece la falsa confianza. “Tenemos backup” no significa gran cosa si nadie sabe qué se copia, cada cuánto, durante cuánto tiempo se conserva y cuánto se tarda en restaurar. En Tecnoic ya traté la recuperación y conservación de la información como parte esencial de cualquier arquitectura digital seria; la regla 3-2-1 encaja precisamente en esa lógica de resiliencia y continuidad.

Un backup debe responder a dos preguntas: cuánta información estoy dispuesto a perder y cuánto tiempo puedo estar parado. En lenguaje técnico, eso es RPO y RTO.

Cómo aplicarlo en casa sin complicarse demasiado

Para un usuario doméstico, la regla 3-2-1 puede ser bastante sencilla. Primera copia: los datos en el ordenador o el móvil. Segunda copia: un disco externo conectado solo cuando se va a hacer la copia. Tercera copia: un servicio en la nube con versiones activadas o una copia adicional guardada fuera de casa. No hace falta montar una infraestructura compleja; hace falta ser constante y evitar depender de un único sitio.

Mi recomendación práctica es clasificar primero. No todos los datos valen lo mismo. Las fotos familiares, documentos fiscales, contratos, claves, trabajos personales o proyectos creativos merecen prioridad. Las descargas, instaladores o archivos temporales no deberían condicionar la estrategia. Después, automatizar lo que se pueda: copia diaria o semanal, según el ritmo de cambio. Y, al menos una vez al mes, comprobar que se puede restaurar algo. No el backup entero: un archivo, una carpeta, una foto concreta. La prueba evita sorpresas.

Cómo aplicarlo en una pyme o entorno profesional

En una empresa, la regla 3-2-1 necesita algo más de disciplina. No basta con comprar un NAS y programar una tarea nocturna. Hay que definir qué sistemas entran en el backup: servidores, bases de datos, correo, ERP, web, repositorios, equipos críticos y configuraciones de red. También hay que fijar retenciones: copias diarias, semanales, mensuales o anuales, según obligaciones legales y necesidades operativas.

La parte más importante es aislar alguna copia. Si el backup está siempre montado, con permisos de escritura y accesible desde la misma red, puede caer junto al resto. Por eso ganan valor las copias inmutables, los repositorios con bloqueo contra borrado, las cintas, los snapshots protegidos y los sistemas con credenciales separadas. También conviene documentar el proceso: quién restaura, desde dónde, con qué prioridad y en qué orden. En un incidente real no hay tiempo para improvisar. La diferencia entre una interrupción molesta y una crisis suele estar en esa preparación.

Conclusión: un backup que no se prueba no existe

La regla 3-2-1 sigue funcionando porque obliga a pensar en fallos distintos: pérdida local, corrupción, ransomware, robo o desastre físico. No se trata de acumular discos ni de pagar más nube, sino de diseñar una recuperación creíble. Para casa, vale con una rutina simple y verificable. Para una empresa, hace falta política, aislamiento y pruebas.