Estrategia de respaldo (Regla 3-2-1)

Qué es la regla 3-2-1

La regla 3-2-1 es una estrategia de respaldo ampliamente adoptada como principio básico de protección de datos. Este principio, propuesto por el fotógrafo estadounidense Peter Krogh en 2005, se compone de tres elementos: 3 copias, 2 tipos diferentes de medios y 1 almacenamiento fuera del sitio.

Concretamente, (1) mantener al menos 3 copias de los datos (datos de producción + 2 respaldos), (2) almacenarlos en 2 o más tipos diferentes de medios de grabación (por ejemplo: SSD y HDD externo, NAS y nube), (3) mantener al menos 1 copia en una ubicación físicamente separada.

La razón por la que este principio es efectivo se basa en la teoría de probabilidades. Si la probabilidad de fallo de un almacenamiento es 1/100, la probabilidad de que dos almacenamientos independientes fallen simultáneamente es 1/10.000. Al distribuir en diferentes medios y diferentes ubicaciones, se eliminan los puntos únicos de fallo y se puede responder a riesgos físicos como incendios, robos y desastres naturales.

La regla extendida 3-2-1-1-0 para la era del ransomware

Con la creciente amenaza del ransomware, hay cada vez más casos en los que la regla 3-2-1 convencional es insuficiente. El ransomware también lanza ataques de cifrado contra los destinos de respaldo conectados a la red, por lo que existe el riesgo de que todos los respaldos en línea sean destruidos.

Por eso se propuso la regla 3-2-1-1-0. Además de la regla 3-2-1 convencional, se añaden dos elementos: mantener 1 copia con air gap (físicamente desconectada de la red) o inmutable (no modificable), y confirmar 0 errores en las pruebas de restauración de respaldos.

Los respaldos inmutables se pueden implementar con el bloqueo de objetos de AWS S3 o la función WORM (Write Once Read Many) del almacenamiento en la nube. Como los datos escritos una vez no se pueden eliminar ni modificar durante un período determinado, las copias seguras permanecen incluso si se infecta con ransomware.

Ejemplos prácticos de configuración de respaldo

Para usuarios individuales, una configuración realista es: datos de producción (almacenamiento interno del PC) + respaldo periódico en HDD externo + sincronización automática con almacenamiento en la nube. Conectar el HDD externo solo durante el respaldo y mantenerlo offline normalmente también sirve como medida contra ransomware.

En entornos empresariales, se recomienda una configuración multicapa: servidor de producción + NAS local (respaldo diario) + replicación a la nube (diaria) + cinta o almacenamiento inmutable (semanal).

Lo que más se pasa por alto en los respaldos es la prueba de restauración. Aunque los respaldos se realicen correctamente, no tienen sentido si no se pueden restaurar. Realiza pruebas de restauración al menos trimestralmente y confirma que el RTO (objetivo de tiempo de recuperación) y el RPO (objetivo de punto de recuperación) cumplen los requisitos.

La combinación con el cifrado de datos también es importante. Si los datos de respaldo no están cifrados, el robo de medios almacenados fuera del sitio puede provocar una filtración de información.

Errores comunes y contramedidas en la estrategia de respaldo

Existen patrones de fallo comunes en la operación de respaldos. Primero, la confusión entre "sincronización" y "respaldo". Los servicios de sincronización en la nube (Google Drive, Dropbox, etc.) reflejan los cambios de archivos en tiempo real, por lo que los archivos eliminados por error o cifrados por ransomware también se propagan al destino de sincronización. La sincronización no es un sustituto del respaldo.

Segundo, la gestión inadecuada de generaciones de respaldo. Si solo se mantiene la última generación de respaldo, no se pueden restaurar datos normales si la detección de corrupción de datos se retrasa. Se recomienda una gestión de generaciones que mantenga al menos 7 días de respaldos diarios y 4 semanas de respaldos semanales.

También es indispensable incorporar los procedimientos de recuperación desde respaldos en el plan de respuesta a incidentes. Documentar quién, desde qué respaldo y con qué procedimiento realizará la recuperación, y practicar periódicamente, permite responder rápidamente ante un fallo real.

La regla 3-2-1-1-0 en la era de la nube

En la actualidad, donde los ataques de ransomware que cifran incluso los destinos de respaldo conectados a la red se han vuelto habituales, la regla 3-2-1-1-0, que añade 2 elementos a la regla 3-2-1 convencional, se está convirtiendo en el estándar de la industria.

"1" - Respaldo inmutable: Mantener al menos 1 respaldo no modificable (inmutable). Con el bloqueo de objetos de AWS S3 (modo de cumplimiento) o el almacenamiento inmutable de Azure Blob Storage, ni siquiera un atacante con privilegios de administrador puede eliminar o modificar los datos durante el período de retención. Se recomienda un período de retención mínimo de 30 días basado en el RPO.

"1" - Copia con air gap: Mantener una copia físicamente desconectada de la red (air gap). Esto incluye la escritura en medios de cinta o almacenamiento externo que se desconecta de la red después de completar el respaldo. En entornos de nube, también se puede lograr un air gap lógico mediante replicación entre cuentas y regiones diferentes.

"0" - Verificación de cero errores: Realizar pruebas de restauración de respaldos periódicamente y confirmar que hay 0 errores de restauración. Los registros de éxito de los trabajos de respaldo no son suficientes. Solo se puede decir "0 errores" cuando se restauran los datos realmente y se realiza la verificación de integridad de archivos (comparación de checksums).

Para aumentar la resistencia al ransomware, también es importante separar completamente las credenciales de autenticación del entorno de respaldo del entorno de producción. Diseña de manera que incluso si el Active Directory del entorno de producción es comprometido, no se pueda acceder al sistema de respaldo. Se recomienda incorporar los procedimientos de restauración desde respaldos inmutables en la estrategia de recuperación del BCP y realizar simulacros trimestrales.

Conceptos erróneos comunes

Si guardas en almacenamiento en la nube, ya cumples la regla 3-2-1

Un solo almacenamiento en la nube es solo "1 copia en 1 tipo de medio". También existen riesgos de fallos del proveedor de nube o compromiso de cuenta, por lo que es necesario combinarlo con respaldos locales.

Si tienes RAID configurado, no necesitas respaldo

RAID proporciona redundancia contra fallos de disco, pero no es un respaldo. No puede manejar la eliminación accidental, el ransomware, la corrupción del sistema de archivos ni el fallo del controlador RAID. RAID y respaldo son tecnologías complementarias con propósitos diferentes.

Comparación de métodos de respaldo - Respaldo completo vs. respaldo incremental

Términos relacionados

Artículos relacionados