Cuando una empresa pierde sus datos sin tener una copia de respaldo, la consecuencia no es solo un mal día: muchas veces es el principio del fin. La agencia estadounidense FEMA (Federal Emergency Management Agency) estima que alrededor del 40% de los negocios no vuelve a abrir después de un desastre y que, de los que sí reabren, una cuarta parte adicional cierra dentro del primer año (FEMA, "Protecting Your Businesses"). La lección de fondo es la misma sin importar la causa: un incendio en la oficina, un disco duro que deja de funcionar, un empleado que elimina archivos por accidente o un ataque de ransomware que cifra toda la información producen el mismo resultado devastador. Sin una copia de respaldo, los datos desaparecen, y con ellos el historial de clientes, las facturas, los contratos, la propiedad intelectual y, frecuentemente, la capacidad de la empresa para seguir operando.
Este artículo no trata de cómo evitar los ataques —para eso puedes leer nuestra guía de ciberseguridad para PyMEs— sino de algo más fundamental: cómo garantizar que, pase lo que pase, puedas recuperar tu información y volver a operar. Un backup bien diseñado es el último seguro cuando todas las demás defensas fallan. Y los datos de la industria muestran que ese seguro suele fallar justo cuando más se lo necesita: según el Veeam Ransomware Trends Report 2025, entre las organizaciones que sufrieron un ataque, solo el 10% logró recuperar más del 90% de sus datos, mientras que el 57% recuperó menos de la mitad. Tener un backup no basta; hay que tenerlo bien hecho y haberlo probado.
Por qué el backup es tu seguro de vida digital
Muchos empresarios piensan en el backup como un gasto técnico, algo que "el de sistemas" debería estar haciendo. La realidad es que el backup es un seguro de continuidad del negocio, tan esencial como el seguro contra incendios o el seguro de responsabilidad civil. La diferencia es que un incendio en una oficina es un evento raro, mientras que la pérdida de datos digitales es casi inevitable si se opera el tiempo suficiente sin protección.
Las amenazas que pueden destruir tus datos son más variadas y frecuentes de lo que la mayoría imagina. El ransomware es la amenaza que acapara titulares y, lo que es peor para una estrategia de respaldo, ya no se limita a cifrar los archivos de producción: busca activamente las copias de seguridad para que la víctima no pueda recuperarse sin pagar. El Veeam Ransomware Trends Report 2025 documenta que en cerca del 96% de los incidentes los atacantes intentaron alcanzar los repositorios de backup, y que en buena parte de los casos lo lograron, modificando o eliminando esas copias. En otras palabras: el backup dejó de ser un detalle técnico para convertirse en el principal objetivo del atacante. Pero el ransomware es solo una de las muchas formas de perder datos.
Las 7 causas más frecuentes de pérdida de datos
- Fallo de hardware: ningún disco dura para siempre. Las estadísticas de fiabilidad de discos que publica Backblaze (Drive Stats 2025), basadas en cientos de miles de unidades en operación, ubican la tasa de fallo anualizada en torno al 1,36% y la tasa de por vida cerca del 1,30%. Parece poco, pero a escala de varios discos y varios años de uso, la probabilidad acumulada de que alguno falle deja de ser despreciable, y suele ocurrir sin aviso.
- Error humano: un empleado que elimina archivos por accidente, sobrescribe una base de datos o formatea el disco equivocado. Es una de las causas más comunes y frecuentes de pérdida de datos, precisamente porque no requiere mala intención ni un atacante: basta un descuido cotidiano.
- Ransomware y malware: software malicioso que cifra o destruye archivos. En Latinoamérica, los sectores más golpeados suelen ser salud, educación, gobierno y PyMEs con defensas débiles, justamente las organizaciones con menos margen para asumir una interrupción.
- Robo o pérdida de equipos: una laptop robada o un teléfono perdido pueden contener la única copia de archivos críticos. En Bolivia, el hurto de equipos electrónicos es una modalidad delictiva frecuente, y rara vez el problema es el costo del equipo: es la información que se va con él.
- Desastres naturales: inundaciones, incendios, deslizamientos. Bolivia experimenta periódicamente inundaciones en tierras bajas y deslizamientos en zonas montañosas que pueden afectar oficinas y servidores locales. Una copia guardada en el mismo edificio no sobrevive a lo que destruye el edificio.
- Fallo de software: una actualización que corrompe una base de datos, un bug que elimina registros o una migración que sale mal. Ocurre más a menudo de lo que se reporta, y a veces el daño no se nota hasta días después.
- Amenazas internas: un empleado descontento que borra archivos deliberadamente antes de irse, o que se lleva información. No es lo más frecuente, pero cuando ocurre suele apuntar justo a los datos más sensibles y difíciles de reconstruir.
La pregunta no es si tu empresa va a perder datos. La pregunta es cuándo, y si cuando ocurra, vas a tener una copia de respaldo para recuperarte. Un backup no previene la pérdida de datos: garantiza que puedas sobrevivir a ella.
El costo de la inacción es desproporcionadamente alto comparado con el de la prevención. El tiempo de inactividad (downtime) tiene un precio: distintos análisis del sector lo estiman en miles de dólares por hora para una PyME —una investigación de Datto, por ejemplo, lo situó en torno a los USD 8.000 por hora en promedio—, y el rango varía mucho según el tamaño de la empresa, el rubro y qué tan dependiente sea del sistema caído. Más allá de la cifra exacta, la idea importa: cada hora que tu negocio no puede facturar, atender clientes ni operar, se acumulan pérdidas directas, a las que hay que sumar el daño a la reputación, los clientes que se van y las oportunidades que no vuelven. Por eso la pregunta clave no es solo "¿tengo backup?", sino "¿en cuánto tiempo puedo estar operando de nuevo?".
La regla 3-2-1 explicada
La regla 3-2-1 es el estándar de referencia en backup. Se popularizó a partir del trabajo del fotógrafo Peter Krogh, autor de The DAM Book: Digital Asset Management for Photographers (mediados de la década de 2000), y con los años fue adoptada por toda la industria de TI. Hoy organismos de ciberseguridad como la CISA de Estados Unidos la recomiendan explícitamente a pequeñas y medianas empresas como defensa básica frente al ransomware y los fallos de hardware. Su simplicidad es su fortaleza: tres números que cualquier persona puede recordar y que, seguidos correctamente, protegen contra prácticamente cualquier escenario de pérdida de datos.
La regla 3-2-1
- 3 copias de tus datos: los datos originales más dos copias de respaldo. Si una copia falla, tienes otra. Si ambas fallan simultáneamente, la probabilidad estadística es infinitesimalmente pequeña.
- 2 tipos diferentes de medios de almacenamiento: no guardes todas las copias en el mismo tipo de dispositivo. Si los datos originales están en un SSD, una copia puede estar en un disco externo y otra en la nube. Esto protege contra fallas específicas de una tecnología.
- 1 copia fuera del sitio (offsite): al menos una copia debe estar físicamente separada de tu oficina. Si un incendio destruye tu oficina, la copia en la nube o en otra ubicación sobrevive.
En la práctica, para una PyME en Bolivia, la implementación más común de la regla 3-2-1 se ve así: los datos originales viven en las computadoras y servidores de la oficina. La primera copia de respaldo se hace en un disco duro externo o un NAS (Network Attached Storage) dentro de la oficina, que permite restauraciones rápidas. La segunda copia se almacena en la nube (Google Drive, OneDrive, AWS S3 o un servicio especializado de backup), que cumple el requisito de estar fuera del sitio.
La evolución: regla 3-2-1-1-0
En respuesta a la creciente amenaza del ransomware, la industria ha actualizado la regla clásica a 3-2-1-1-0, añadiendo dos requisitos adicionales que son especialmente relevantes en 2026:
Los dos dígitos adicionales
- 1 copia offline o inmutable (air-gapped): una copia que no esté conectada a la red y que no pueda ser modificada ni eliminada remotamente. El ransomware moderno busca y cifra las copias de respaldo que encuentre en la red. Una copia offline en un disco desconectado o un almacenamiento en la nube con bloqueo de inmutabilidad (como AWS S3 Object Lock o Backblaze B2 con retención) sobrevive incluso si el ransomware compromete todos los sistemas conectados.
- 0 errores verificados: cada copia de respaldo debe ser verificada periódicamente para confirmar que los datos se pueden restaurar correctamente. Un backup que no puedes restaurar es igual a no tener backup. La verificación incluye pruebas de restauración programadas (al menos trimestrales) y monitoreo de integridad automatizado.
El backup que nunca has probado restaurar es el backup que probablemente no funciona. Las pruebas de restauración son la parte más importante y más ignorada de cualquier estrategia de respaldo. No esperes a un desastre para descubrir que tus copias están corruptas.
Tipos de backup y soluciones
No todos los respaldos son iguales. Existen tres tipos principales de backup, cada uno con ventajas y desventajas que los hacen apropiados para diferentes escenarios y presupuestos. Entender las diferencias es clave para diseñar una estrategia que equilibre protección, velocidad de recuperación y costo de almacenamiento.
Backup completo (full)
Copia la totalidad de los datos seleccionados cada vez que se ejecuta. Es el método más simple y confiable para restaurar, porque cada copia es independiente: no necesitas ningún otro backup para recuperar tus datos. La desventaja es que consume más espacio de almacenamiento y más tiempo de ejecución, especialmente para empresas con grandes volúmenes de datos. Se recomienda ejecutar un backup completo al menos una vez por semana.
Backup incremental
Solo copia los archivos que han cambiado desde el último backup (sea completo o incremental). Es mucho más rápido y consume menos espacio que el completo. La desventaja es que para restaurar necesitas el último backup completo más todos los incrementales subsecuentes, lo que hace la restauración más lenta y más propensa a errores si algún eslabón de la cadena está corrupto. Es ideal para respaldos diarios entre backups completos semanales.
Backup diferencial
Copia todos los archivos que han cambiado desde el último backup completo. Es un punto medio entre el completo y el incremental: más rápido que el completo pero más lento que el incremental en ejecución, y más rápido que el incremental pero más lento que el completo en restauración. Para restaurar solo necesitas el último backup completo más el último diferencial, lo que simplifica significativamente el proceso de recuperación.
Soluciones de backup en la nube
Para las PyMEs que buscan cumplir el componente "offsite" de la regla 3-2-1, las soluciones en la nube ofrecen la mejor combinación de accesibilidad, escalabilidad y costo. Estas son las opciones más relevantes para empresas en Bolivia y Latinoamérica:
Comparación de soluciones cloud de backup
- Google Workspace (Google Drive): incluye almacenamiento en la nube (desde 30 GB gratuito hasta planes de 2 TB+). Integración nativa con documentos de Google. Google Vault permite retención y eDiscovery. Limitación: no es un sistema de backup formal, es almacenamiento con versionado.
- Microsoft 365 (OneDrive/SharePoint): 1 TB de almacenamiento por usuario en planes Business. Versionado de archivos integrado. Políticas de retención configurables. Misma limitación que Google: es almacenamiento, no backup dedicado.
- Backblaze B2: almacenamiento en la nube diseñado para backup. Al momento de escribir, su tarifa estándar es de USD 0,005/GB al mes (equivalente a unos USD 6 por TB al mes; conviene verificar el precio vigente). Compatible con herramientas como Duplicati, rclone y Veeam. Ofrece Object Lock para inmutabilidad. Buena relación costo-almacenamiento para PyMEs.
- AWS S3: el estándar de la industria para almacenamiento en la nube, con varios niveles según la frecuencia de acceso (S3 Standard para datos activos y clases tipo Glacier para archivado a largo plazo, más baratas pero con recuperación más lenta). Incluye S3 Object Lock para protección frente a ransomware. Es muy flexible, pero requiere más conocimiento técnico para configurarlo y su facturación tiene más variables (consultar la tarifa actual en el sitio de AWS).
- Acronis Cyber Protect: solución todo en uno que combina backup, antimalware y gestión de parches, con planes por equipo o servidor (consultar precio vigente). Interfaz pensada para PyMEs sin personal técnico dedicado e incluye restauración bare-metal (recuperar un equipo completo, sistema operativo incluido).
Es importante destacar una distinción que muchas PyMEs confunden: Google Drive y OneDrive no son soluciones de backup. Son soluciones de sincronización y almacenamiento. Si un ransomware cifra tus archivos locales, la sincronización puede propagar el cifrado a la nube antes de que te des cuenta. Un sistema de backup dedicado mantiene versiones históricas de los archivos que el ransomware no puede alcanzar, especialmente si tienen protección de inmutabilidad activada.
RTO y RPO: cuánto puedes perder
Dos métricas fundamentales definen la estrategia de backup de cualquier empresa: el RTO y el RPO. Entenderlas es esencial para tomar decisiones informadas sobre qué tan frecuentes deben ser tus respaldos y cuánto debes invertir en infraestructura de recuperación.
RTO y RPO: definiciones clave
- RPO (Recovery Point Objective): la cantidad máxima de datos que tu empresa puede permitirse perder, medida en tiempo. Si tu RPO es de 24 horas, significa que puedes tolerar perder hasta un día de trabajo. Si es de 1 hora, necesitas backups cada hora. Si es de 0, necesitas replicación en tiempo real.
- RTO (Recovery Time Objective): el tiempo máximo que tu empresa puede estar sin operar después de un incidente. Si tu RTO es de 4 horas, debes poder restaurar los sistemas y estar operativo en ese plazo. Un RTO más corto requiere mayor inversión en infraestructura de recuperación.
Para la mayoría de las PyMEs, un RPO de 24 horas (backup diario) y un RTO de 4-8 horas es razonable y alcanzable con un presupuesto moderado. Para procesos críticos como facturación, punto de venta o atención al cliente, puede ser necesario un RPO más agresivo de 1-4 horas. La clave es clasificar tus datos y sistemas por criticidad y asignar RPOs y RTOs diferenciados.
Estrategia anti-ransomware
El ransomware merece una mención especial porque es la amenaza que más ha cambiado las estrategias de backup en los últimos años. Los atacantes modernos no solo cifran los datos de producción: buscan y destruyen activamente las copias de respaldo, como confirma el dato de Veeam de que la enorme mayoría de los incidentes apuntan a los repositorios de backup. Además, es habitual que el atacante permanezca semanas dentro de la red antes de activar el cifrado (lo que en la jerga se llama dwell time): cuando finalmente actúa, las copias más recientes pueden estar ya comprometidas. Por eso no basta con tener backups frecuentes; hace falta conservar también versiones antiguas y, sobre todo, al menos una copia que el atacante no pueda tocar. Esta evolución es lo que hace crítica la regla 3-2-1-1-0, con énfasis especial en la copia inmutable y en la retención extendida.
Protección de backups contra ransomware
- Copias inmutables: almacenamiento que no puede ser modificado ni eliminado durante un período definido. Backblaze B2 Object Lock, AWS S3 Object Lock y Azure Immutable Blob Storage ofrecen esta funcionalidad. Es la defensa más efectiva contra ransomware que busca destruir backups.
- Air gap: una copia completamente desconectada de la red. Puede ser tan simple como un disco duro externo que se conecta solo durante el backup y luego se guarda en una ubicación segura. Económico y efectivo.
- Retención extendida: mantener copias de backup de 30, 60 y 90 días atrás. Si el ransomware estuvo latente 30 días antes de activarse, la copia de 60 días todavía será limpia.
- Verificación de integridad: escanear las copias de backup periódicamente para detectar archivos cifrados antes de que la ventana de retención expire.
El ransomware moderno no solo cifra tus datos: busca y destruye tus backups. Por eso una copia inmutable no es un lujo, es una necesidad. Si tu única copia de respaldo está conectada a la misma red que tus servidores, el ransomware la encontrará.
Lo que aprendimos construyendo sistemas críticos
En Bemorex no escribimos sobre continuidad de datos desde la teoría: la vivimos en cada proyecto que opera datos sensibles. Cuando desarrollamos y mantenemos Zyrax, el sistema ERP de gestión de la Empresa Metalúrgica Vinto —una operación estatal con más de tres años de desarrollo continuo y múltiples módulos en producción—, la pregunta que nunca se va de la mesa no es "¿qué hacemos si el sistema falla?", sino "¿cómo garantizamos que la información de la planta no se pierda jamás, pase lo que pase?". En un entorno así, una base de datos perdida no es un inconveniente: es producción detenida, trazabilidad rota y decisiones que se toman a ciegas.
La lección que más nos marcó no vino de un ataque sofisticado, sino de algo mucho más mundano, que vemos repetirse en empresas bolivianas de todos los tamaños: la copia de respaldo que se creía que existía. En más de una ocasión hemos llegado a revisar la infraestructura de un negocio y encontrado que el "backup" era un disco externo conectado permanentemente al mismo servidor (que un ransomware cifraría junto con todo lo demás), o un respaldo automático que llevaba meses fallando en silencio porque nadie revisaba los registros, o una carpeta sincronizada que alguien confundía con un backup. En todos esos casos, el problema no era la ausencia de tecnología, sino la falsa sensación de seguridad: la gente creía estar protegida y no lo estaba.
Por eso, en los sistemas que construimos —desde Zyrax hasta soluciones industriales como Romaneo (gestión de producción maderera) o Venture (ERP con control de inventario e importaciones)—, tratamos el respaldo y la restauración como parte del diseño desde el primer día, no como un agregado posterior. Y la práctica que más rendimiento da, con diferencia, es la más aburrida: probar la restauración periódicamente. Un backup que nunca se ha restaurado es una hipótesis, no un respaldo. La única forma de saber que tus datos están a salvo es haberlos recuperado al menos una vez, en un ensayo controlado, antes de necesitarlo de verdad.
Plan de backup para tu PyME
Diseñar e implementar un plan de backup puede parecer abrumador, pero con un enfoque por fases, cualquier PyME puede tener una protección sólida en menos de un mes. La clave es empezar con lo básico y mejorar progresivamente, en lugar de intentar implementar una solución perfecta desde el primer día.
Fase 1: Inventario y clasificación (Semana 1)
Antes de hacer backup de nada, necesitas saber qué datos tienes y cuáles son críticos. No todos los datos merecen el mismo nivel de protección. Identifica y clasifica la información de tu empresa en tres niveles:
Clasificación de datos para backup
- Críticos (RPO: 1-4 horas): bases de datos de clientes, sistema de facturación, correo electrónico, contratos vigentes, código fuente de aplicaciones propias. La pérdida de estos datos puede detener la operación inmediatamente.
- Importantes (RPO: 24 horas): documentos de trabajo, presentaciones, planillas, archivos de proyectos en curso, configuraciones de servidores. Su pérdida causa inconvenientes significativos pero no detiene la operación.
- Archivables (RPO: semanal): documentos históricos, registros contables cerrados, proyectos finalizados, material de marketing pasado. Datos que se consultan raramente pero deben conservarse.
Fase 2: Implementación de la regla 3-2-1 (Semana 2-3)
Con el inventario completo, implementa la infraestructura de backup siguiendo la regla 3-2-1. Para una PyME de 5-20 empleados en Bolivia, una configuración efectiva y accesible es la siguiente:
Los datos originales permanecen en las computadoras y servidores de trabajo. La primera copia se realiza en un NAS local (un equipo de almacenamiento en red de dos o más bahías, de marcas como Synology o QNAP) que ofrece backup automático, acceso compartido y restauración rápida a través de la red local; los modelos de entrada para PyMEs se consiguen en el mercado por un rango de unos pocos cientos de dólares sin discos, pero conviene cotizar el precio actual y la disponibilidad en Bolivia. La segunda copia se envía a la nube automáticamente cada noche utilizando Backblaze B2 (alrededor de USD 6 por TB al mes, según su tarifa vigente) con una herramienta como Duplicati (gratuita y de código abierto) o el software de backup integrado en el propio NAS.
Para la copia inmutable (el "1" adicional de la regla 3-2-1-1-0), configura la retención de objetos en Backblaze B2 para que las copias no puedan ser eliminadas durante 30 días, o mantén un disco duro externo que se conecta semanalmente para un backup completo y se guarda en una ubicación diferente a la oficina (la casa del dueño, una caja fuerte, la oficina de un socio).
Fase 3: Automatización y verificación (Semana 4)
Un backup que depende de que alguien se acuerde de ejecutarlo es un backup que eventualmente dejará de hacerse. La automatización es fundamental:
Calendario de backup recomendado para PyMEs
- Diario (automático, 2:00 AM): backup incremental de datos críticos e importantes al NAS local y a la nube. Tiempo estimado de ejecución: 15-60 minutos dependiendo del volumen de cambios.
- Semanal (automático, domingo 3:00 AM): backup completo al NAS local. Backup de datos archivables a la nube. Verificación automática de integridad de las copias incrementales de la semana.
- Mensual (manual, primer lunes del mes): backup completo al disco duro externo (air-gapped). Prueba de restauración de un archivo o carpeta aleatoria para verificar que el proceso funciona.
- Trimestral: prueba de restauración completa: simular la pérdida total de un equipo y restaurar todos los datos desde el backup. Documentar el tiempo de restauración (RTO real) y comparar con el RTO objetivo.
Comparación de costos
Pongamos un caso realista: una PyME con unos 500 GB de datos críticos (un volumen típico para una empresa de 10 a 20 empleados). La inversión inicial más fuerte es el hardware: un NAS de dos bahías con dos discos en RAID 1 y un disco duro externo para la copia air-gapped. Ambos son compras únicas que sirven varios años, y sus precios conviene cotizarlos al momento de comprar (varían según capacidad, marca y disponibilidad en Bolivia). El componente recurrente, en cambio, es sorprendentemente bajo: a la tarifa estándar de Backblaze B2 (alrededor de USD 6 por TB al mes), respaldar 500 GB en la nube cuesta unos pocos dólares mensuales, y el software Duplicati es gratuito. Dicho de otro modo: el gran desembolso es de una sola vez, y mantener la copia en la nube viva cuesta menos que muchos servicios que ya pagas sin pensarlo.
Proteger los datos críticos de tu empresa cuesta una fracción de lo que cuesta perderlos: clientes que no puedes facturar, contratos que no puedes demostrar y meses de trabajo que desaparecen. El backup no es un gasto de TI, es un seguro de vida para tu negocio.
La implementación de un plan de backup sólido no requiere ser ingeniero de sistemas ni tener un presupuesto empresarial. Con la regla 3-2-1-1-0 como guía y soluciones accesibles —un NAS local, almacenamiento inmutable en la nube y un disco externo desconectado—, cualquier PyME en Bolivia puede alcanzar un nivel de protección que hace pocos años solo estaba al alcance de grandes corporaciones. Lo que no puede esperar es el momento de empezar: cada día sin backup es un día en que un fallo de hardware, un error humano o un ataque de ransomware puede convertir años de trabajo en una carpeta vacía. Empieza hoy con el inventario de tus datos críticos, programa la primera restauración de prueba y, si quieres una mirada más amplia, complementa esta estrategia con nuestras guías de ciberseguridad para PyMEs y mantenimiento preventivo.
En Bemorex ayudamos a empresas de Oruro y de toda Bolivia a diseñar e implementar estrategias de respaldo y continuidad a la medida de su operación. Si manejas datos que tu negocio no puede permitirse perder, conversemos sobre cómo protegerlos antes de que ocurra el problema.
