• DE
  • ES
  • EN
  • NL

Blog

Estrategias de backup que realmente funcionan

Publicado el domingo, 1 de diciembre de 2024 por Jeroen Derks.

"No pensé que me pasaría a mí." Eso es lo que todos dicen después de perder sus datos. Los discos duros fallan. Los portátiles son robados. El ransomware encripta todo. Las casas se inundan. La pregunta no es si experimentarás pérdida de datos, sino cuándo.

Encripto todas mis copias de seguridad y las almaceno en múltiples ubicaciones, incluyendo diferentes países. A continuación encontrarás la estrategia que yo mismo utilizo, y que es una buena base para las copias de seguridad de cualquiera.

La regla de backup 3-2-1

La regla 3-2-1 es la base de cualquier estrategia de backup sólida:

  • 3 copias de tus datos (el original más dos backups)
  • 2 tipos de medios diferentes (disco interno, disco externo, nube, cinta, etc.)
  • 1 copia fuera del sitio (ubicación físicamente separada)

Esto protege contra varios modos de fallo. Un solo backup en un disco externo junto a tu ordenador no protege contra robo, incendio o inundación. Los backups solo en la nube no protegen contra bloqueos de cuenta o interrupciones del servicio. La combinación proporciona defensa en profundidad.

Por qué la encriptación no es negociable

Cada backup que creo está encriptado antes de salir de mi máquina. Esto no es paranoia — es higiene de seguridad básica. Aquí está el por qué:

  • Robo físico: Si alguien roba tu disco externo o portátil, los backups encriptados son inútiles para ellos
  • Almacenamiento en la nube: Estás confiando tus datos a un tercero. La encriptación significa que no pueden leerlos aunque quieran
  • Almacenamiento fuera del sitio: Los backups en casa de un amigo, caja de seguridad bancaria u otra ubicación deben ser ilegibles sin tu clave
  • Cumplimiento: Muchas regulaciones requieren encriptación de datos personales en reposo

La mayoría de las herramientas de backup modernas soportan encriptación nativamente. Actívala. Usa una frase de contraseña fuerte. Almacena la frase de contraseña de forma segura (un gestor de contraseñas funciona bien).

Mis ubicaciones de backup

Mantengo backups en múltiples ubicaciones, siguiendo la regla 3-2-1:

Backups locales

La primera línea de defensa. Rápidos de crear, rápidos de restaurar. Uso discos externos encriptados que ejecutan backups incrementales cada hora o diariamente. Esto detecta eliminaciones accidentales y corrupción de archivos rápidamente.

Backups fuera del sitio (mismo país)

Un backup en casa de un amigo u oficina protege contra desastres localizados — incendio, inundación, robo. Roto discos encriptados periódicamente. La clave es que está físicamente separado de la ubicación principal.

Backups fuera del sitio (diferentes países)

Para los datos verdaderamente críticos, mantengo backups encriptados en diferentes países. Esto protege contra desastres regionales, incautación legal, y asegura disponibilidad incluso durante grandes interrupciones. El almacenamiento en la nube con servidores en múltiples regiones funciona bien para esto.

Herramientas de backup por plataforma

macOS: Time Machine

Time Machine es excelente para backups locales. Está integrado en macOS, se ejecuta automáticamente y soporta encriptación. Conecta un disco externo, activa Time Machine, marca la casilla de encriptación, y listo.

Para backups fuera del sitio/nube, combina Time Machine con una herramienta como Arq, Duplicati, o restic para enviar backups encriptados al almacenamiento en la nube.

Windows: Historial de archivos

El Historial de archivos proporciona backups versionados de tus archivos a un disco externo o ubicación de red. Es más simple que las imágenes completas del sistema pero cubre los datos más importantes — tus documentos, fotos y archivos de trabajo.

Para backups más completos, considera Windows Backup (integrado) o herramientas de terceros como Veeam Agent (gratis), Duplicati, o Backblaze.

Linux: múltiples opciones excelentes

Los usuarios de Linux tienen varias herramientas de backup excelentes:

  • Borg Backup: Deduplicante, encriptado, eficiente. Mi elección personal para servidores. Funciona sobre SSH, soporta compresión, y maneja grandes conjuntos de datos bien
  • Kopia: Alternativa moderna a Borg con una buena GUI. Soporta múltiples backends incluyendo S3, Azure, Google Cloud, y almacenamiento local
  • Deja Dup: GUI amigable para escritorios GNOME. Usa duplicity internamente. Genial para usuarios de escritorio que quieren algo simple
  • restic: Rápido, seguro, soporta muchos backends. Buena documentación y desarrollo activo
  • rsync + scripts: No es una herramienta de backup per se, pero combinado con snapshots y rotación, funciona bien para necesidades simples

Qué respaldar

No todo necesita el mismo tratamiento de backup:

Crítico (3-2-1 con offsite)

  • Documentos, fotos, videos — archivos personales irremplazables
  • Repositorios de código (aunque estos también deberían estar en GitHub/GitLab)
  • Bases de datos del gestor de contraseñas
  • Claves de encriptación y certificados
  • Registros financieros
  • Archivos de configuración y dotfiles

Importante (local + una copia offsite)

  • Configuraciones y preferencias de aplicaciones
  • Archivos de email
  • Instaladores de software descargados
  • Máquinas virtuales

Reemplazable (solo backup local, o ninguno)

  • Archivos del sistema operativo (se pueden reinstalar)
  • Aplicaciones (se pueden volver a descargar)
  • Caché y archivos temporales

El paso olvidado: prueba tus restauraciones

Un backup que no has probado es un backup en el que no puedes confiar. Verifico regularmente mis backups:

  • Restaurando archivos aleatorios: Elige algunos archivos cada mes y restáuralos. ¿Se abren correctamente?
  • Simulacros de restauración completa: Anualmente, restauro un backup completo a un disco de repuesto o VM. Esto detecta problemas antes de que importen
  • Verificando checksums: La mayoría de las herramientas de backup pueden verificar la integridad sin hacer una restauración completa
  • Comprobando encriptación: Verifica que realmente puedes desencriptar tus backups con la frase de contraseña almacenada

He visto demasiados casos donde alguien ejecutó backups diligentemente durante años, solo para descubrir durante una crisis que los backups estaban corruptos, incompletos o imposibles de restaurar.

Consideraciones adicionales

Versionado

Mantén múltiples versiones de tus backups. Si el ransomware encripta tus archivos y solo tienes una copia de backup que se sincroniza inmediatamente, tu backup también se encripta. La recuperación point-in-time te permite volver a antes de que comenzara el problema.

Políticas de retención

No guardes todo para siempre (a menos que lo necesites por cumplimiento). Un esquema común: backups cada hora durante 24 horas, diarios durante 30 días, semanales durante 12 semanas, mensuales durante 12 meses. Esto equilibra la recuperabilidad con los costos de almacenamiento.

Automatización

Los backups manuales no ocurren. Automatiza todo. El mejor backup es el que se ejecuta sin que pienses en ello.

Documentación

Documenta tu estrategia de backup. ¿Dónde están los backups? ¿Cuál es la frase de contraseña de encriptación? ¿Cómo restauras? Almacena esta documentación separada de los propios backups. Un familiar o colega debería poder recuperar tus datos si no estás disponible.

Empezando

Si aún no tienes una estrategia de backup, empieza simple:

  1. Hoy: Compra un disco externo, configura Time Machine/Historial de archivos/Deja Dup con encriptación
  2. Esta semana: Regístrate en un servicio de backup en la nube o configura rsync/restic hacia almacenamiento en la nube
  3. Este mes: Organiza almacenamiento offsite — la casa de un amigo, una caja bancaria, o un segundo proveedor de nube
  4. Trimestralmente: Prueba tus restauraciones

El mejor momento para configurar backups fue antes de que los necesitaras. El segundo mejor momento es ahora.

Si necesitas ayuda diseñando una estrategia de backup para tu infraestructura, no dudes en ponerte en contacto conmigo.