BG Beter Geregeld ICT
Security zonder IT-afdeling · 6 min leestijd · 14 junio 2026

La regla 3-2-1 para copias de seguridad: cómo aplicarla en tu pyme de forma práctica

Todo el mundo habla de copias de seguridad, pero casi nadie las prueba. Así aplicas la regla 3-2-1 sin convertirlo en un proyecto de IT — con una comprobación que puedes hacer hoy mismo.

Cuando llegamos a un nuevo cliente y preguntamos «¿cómo están las copias de seguridad?», solemos obtener una de estas tres respuestas: «de eso se encarga nuestro proveedor», «está en la nube, así que está cubierto» o un silencio incómodo. Ninguna de las tres es una estrategia de backup.

La regla 3-2-1 lleva décadas vigente y sigue funcionando perfectamente. Es lo bastante sencilla como para explicarla en una comida, y lo bastante concreta como para empezar mañana mismo. En este artículo te explicamos qué significa, cómo aplicarla sin un departamento de IT y cuál es el paso que casi todo el mundo se salta.

¿Qué dice la regla 3-2-1?

Tres números, tres compromisos:

  • 3 copias de tus datos importantes. El original cuenta, así que es el original más dos copias de seguridad.
  • 2 medios o tipos de almacenamiento diferentes. No todo en el mismo disco ni en el mismo proveedor.
  • 1 copia fuera de las instalaciones. Física o lógicamente en una ubicación distinta al original.

La idea de fondo: un fallo, un error o un ataque dirigido no debe poder afectar a todas las copias al mismo tiempo. ¿Incendio en la oficina? La copia externa te salva. ¿Ransomware en el servidor de archivos? El otro medio te salva. ¿El proveedor quiebra? Tu segunda copia en otro lugar te salva.

¿Qué hay de «pero si está en la nube»?

Microsoft 365, Google Workspace y la mayoría de los programas de contabilidad tienen una disponibilidad excelente. Pero disponibilidad no es lo mismo que copia de seguridad. Si un empleado vacía accidentalmente una biblioteca de SharePoint, si el ransomware cifra archivos a través de una carpeta compartida, o si una cuenta es hackeada y se eliminan carpetas de correo — ese daño se sincroniza alegremente con «la nube».

El propio Microsoft indica en sus condiciones de servicio que los clientes son responsables de sus propios datos. La papelera de reciclaje y el historial de versiones son útiles, pero no sustituyen a una copia de seguridad real con una retención de semanas o meses.

La regla 3-2-1 en la práctica: cuatro escenarios

1. Microsoft 365 o Google Workspace

El original está en la nube. Para tu segunda y tercera copia, elige un servicio de backup especializado (como Afi, Synology Active Backup, Veeam o Keepit). Estos servicios recuperan diariamente tu correo, OneDrive, SharePoint y Teams, y los almacenan en su propia infraestructura — lo que supone al mismo tiempo un medio diferente y una copia externa.

2. Contabilidad

Muchos programas de contabilidad ofrecen una función de exportación. Programa mensualmente una exportación de tu administración (en formato XML o Auditfile) a una ubicación separada. Si tienes dudas, pregunta a tu gestor o asesor si puede guardar una copia en su propio archivo. Dos pájaros de un tiro.

3. Tu sitio web

Aquí es donde más frecuentemente vemos problemas. El hosting tiene «copias de seguridad», pero están en el mismo servidor, se conservan solo 14 días, o únicamente el proveedor puede restaurarlas y cobra por hora. Asegúrate de tener tu propia copia además de la del hosting — por ejemplo, mediante un plugin que escriba semanalmente en almacenamiento externo (S3, Backblaze, un NAS propio).

4. Archivos locales y NAS

Si todavía tienes archivos en local o en un NAS: copia a la nube (fuera de las instalaciones) y, opcionalmente, un segundo disco externo que desconectes por la noche. Un disco siempre conectado no es una copia de seguridad — también se cifrará en caso de ransomware.

El paso que todo el mundo se salta: la prueba de restauración

Una copia de seguridad que nunca se ha restaurado es solo una suposición. Hemos visto cómo un cliente realizaba fielmente copias de seguridad de una base de datos durante tres años, pero el script de exportación omitía la tabla con los datos de los clientes. Durante tres años. Solo cuando tuvieron que restaurar de verdad se dieron cuenta.

Programa al menos una mini-prueba de restauración por trimestre:

  • Restaura un archivo de tu copia de seguridad de M365. ¿Funciona? ¿Es correcto el contenido?
  • Despliega tu copia de seguridad del sitio web en un entorno de staging. ¿Arranca?
  • Abre tu última exportación de contabilidad. ¿Está todo incluido?

Anota el resultado. Fecha, quién lo hizo y si fue exitoso. Con dos páginas al año es suficiente para demostrar en una auditoría o ante un incidente que realmente lo controlas.

¿Qué debes documentar?

Para cada sistema de tu pyme querrás saber:

  1. Qué se incluye en la copia de seguridad (qué carpetas, qué buzones, qué bases de datos).
  2. Con qué frecuencia (diariamente, semanalmente).
  3. Cuánto tiempo se conserva (retención).
  4. Dónde está almacenada la copia (proveedor, ubicación).
  5. Quién puede restaurar y cómo.
  6. Cuándo se probó por última vez.

Una tabla sencilla en un documento compartido es suficiente. Más importante que el formato es que exista y que alguien sea el responsable.

Empieza pequeño, empieza hoy

No tienes que organizarlo todo a la vez. Empieza por los dos sistemas de los que más depende tu empresa — habitualmente el correo y el sitio web. Después ve ampliando. Un 3-2-1 a medias en tus sistemas más importantes es infinitamente mejor que un plan perfecto que se queda en un cajón.

¿Quieres ayuda para configurar o probar las copias de seguridad de tu sitio web? Echa un vistazo a nuestro servicio de copia de seguridad y restauración de sitios web, o deja que te ayudemos con una revisión general de seguridad web. ¿Prefieres comprobar primero si tu sitio responde con rapidez? Haz nuestro test de velocidad — un sitio lento que no puedes restaurar es doblemente frustrante.

Onderwerpen

#mkb #security #disaster-recovery #Back Ups #Website Onderhoud

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Sin equipo de TI, pero con toda la responsabilidad. Este artículo te da una pila de prioridades: empieza por esto, luego esto otro, y después lo menos urgente. Cada apartado enlaza con una guía más detallada.

2 min
Security zonder IT-afdeling

Memorias USB en la oficina: por qué ese pendrive de regalo de la feria es un problema

Las memorias USB parecen inofensivas, pero son una de las formas más sencillas de introducir malware o de que datos confidenciales salgan sin que nadie se dé cuenta. Un enfoque práctico para pymes.

5 min
Security zonder IT-afdeling

Red wifi para invitados en la oficina: sencillo, pero la mayoría de las pymes lo hacen mal

Configurar una red de invitados lleva diez minutos, pero en las oficinas vemos una y otra vez los mismos errores. ¿Qué debe —y qué no debe— estar en tu wifi de invitados, y por qué importa?

5 min
Security zonder IT-afdeling

Extensiones de navegador en tu pyme: el riesgo que nadie controla

Conversores de PDF, herramientas de captura, asistentes de IA: las extensiones de navegador se cuelan en tu organización sin que te des cuenta. Cómo saber en una hora qué tienes instalado y qué hay que eliminar.

5 min
Security zonder IT-afdeling

Simulaciones de phishing en pymes: ¿útil o pérdida de tiempo?

Cada vez más pymes envían correos de phishing falsos a su propio equipo. ¿Realmente funciona, y cómo lo pones en marcha sin dañar el ambiente de trabajo?

6 min
Security zonder IT-afdeling

Elegir un gestor de contraseñas para tu pyme: ¿en qué fijarse de verdad?

Elegir un gestor de contraseñas no es cuestión de gustos, pero tampoco es ciencia de cohetes. Una guía práctica para empresarios sin departamento de IT.

6 min
← Alle artikelen in "Security zonder IT-afdeling"