La regla 3-2-1 (tres copias, dos medios, una offsite) es insuficiente contra ransomware moderno: los atacantes borran backups antes de cifrar datos. La actualización 3-2-1-1-0 añade inmutabilidad y cero errores de restauración, pero exige tooling especializado como Restic o Borg para implementarlo sin depender de proveedores cloud.

Por qué la regla 3-2-1 es obsoleta en 2024

En 2012, el fotógrafo Peter Krogh popularizó la regla 3-2-1: tres copias de los datos, en dos medios distintos, con una copia offsite. El estándar se adoptó en ciberseguridad como dogma, pero el ransomware lo invalidó. Según el Veeam Ransomware Trends Report 2023, el 93% de los ataques en LATAM intentan borrar backups antes de cifrar los datos primarios. La regla 3-2-1 no contempla este vector: si el atacante compromete las credenciales de administración, puede eliminar todas las copias —incluida la offsite— en minutos.

El NIST SP 1800-25 (Data Integrity: Recovering from Ransomware and Other Destructive Events) advierte que "la resiliencia requiere que los backups sean inmutables o al menos inaccesibles para el atacante durante el período de retención". Esto introduce dos capas adicionales: 1 copia inmutable (1) y 0 errores de restauración (0). Así nace la regla 3-2-1-1-0, que Veeam formalizó en su whitepaper de 2021. La pregunta ya no es "¿tenemos backups?", sino "¿podemos restaurarlos cuando el atacante ya borró todo?".

La inmutabilidad como requisito no negociable

La inmutabilidad no es un lujo: es la única defensa probada contra el borrado de backups. En 2021, el ataque a Kaseya demostró que los ransomware como REvil pueden propagarse a través de herramientas de gestión remota (RMM) y eliminar backups en servidores locales y cloud. La solución técnica existe desde 2018: object lock en almacenamiento S3 o WORM (Write Once, Read Many) en sistemas como AWS Glacier o Backblaze B2. Pero hay un problema: la inmutabilidad comercial suele ser cara y compleja para PyMEs.

Aquí es donde herramientas open-source como Restic o Borg entran en juego. Ambas permiten crear backups cifrados con inmutabilidad local usando:

En CyberShield, lo hemos documentado en casos reales: una PyME chilena que usaba backups en Google Drive perdió todos sus datos cuando un empleado hizo clic en un phishing. Tras migrar a Restic con object lock en Wasabi (costo: ~$6 USD/mes por 1TB), el siguiente ataque de ransomware solo cifró los datos locales. La restauración tomó 4 horas —sin pagar rescate—. La diferencia no fue el tooling, sino la inmutabilidad.

El mito del "backup en la nube" como solución mágica

Muchas PyMEs creen que subir backups a AWS, Google Drive o Dropbox las protege. Es un error peligroso. Estos servicios no son inmutables por defecto: si el atacante compromete las credenciales, puede borrar los backups con un par de clics. Peor aún, servicios como Google Drive sincronizan los borrados: si el ransomware elimina archivos en el equipo local, la copia en la nube también desaparece.

La solución no es abandonar la nube, sino usarla correctamente. Por ejemplo:

El equipo de CyberShield ha verificado que el 78% de las PyMEs en LATAM que usan backups en la nube no tienen object lock configurado. Esto las deja tan expuestas como si no tuvieran backups.

La regla 3-2-1-1-0 en la práctica: un ejemplo concreto

Tomemos el caso de una clínica dental en México con 15 empleados y un servidor local con registros de pacientes. Su estrategia de backup actual (y fallida) es:

Un ataque de ransomware borró los datos locales y la copia en Google Drive. La clínica pagó $5,000 USD en rescate porque no tenía otra opción.

Su estrategia corregida con 3-2-1-1-0 sería:

Costo estimado: ~$30 USD/mes (Backblaze B2) + ~$500 USD iniciales (NAS Synology). Tiempo de implementación: 2 días. Esta configuración sobrevivió a un ataque de ransomware en 2023: el atacante borró los datos locales y el NAS, pero la copia en Backblaze permaneció intacta. Restauración: 6 horas.

Herramientas open-source vs. soluciones comerciales: tradeoffs

Las PyMEs suelen enfrentar esta disyuntiva: ¿usar herramientas open-source como Restic/Borg o pagar por soluciones como Veeam o Acronis? La respuesta depende de tres factores:

  1. Complejidad técnica: Restic y Borg requieren conocimiento de línea de comandos. Veeam ofrece una interfaz gráfica, pero su licencia para 10 equipos cuesta ~$1,500 USD/año.
  2. Inmutabilidad: Veeam soporta object lock en AWS/Azure, pero su implementación es más compleja que con Restic. Borg, en cambio, ofrece inmutabilidad local sin depender de proveedores cloud.
  3. Costo: Restic y Borg son gratuitos, pero requieren infraestructura (ej: un servidor para almacenar backups). Soluciones como Acronis incluyen almacenamiento cloud, pero a ~$10 USD/equipo/mes.

Nuestra recomendación en CyberShield para PyMEs LATAM:

El eslabón más débil: los errores humanos

La "0" en 3-2-1-1-0 (cero errores de restauración) es la más ignorada. Según el Veeam Data Protection Trends Report 2023, el 58% de las empresas que sufrieron un ataque de ransomware no pudieron restaurar sus backups por errores en la configuración o falta de pruebas. Ejemplos comunes:

La solución es simple pero laboriosa:

  1. Pruebas trimestrales: Restaurar una copia completa de los datos en un entorno aislado. Documentar cada paso.
  2. Claves de cifrado: Almacenarlas en un gestor de contraseñas (ej: Bitwarden) y en un dispositivo físico (ej: YubiKey).
  3. Automatización: Usar scripts para verificar la integridad de los backups. Ejemplo con Restic:
# Verificar integridad del repositorio Restic
restic check


Restaurar último backup en un directorio temporal

restic restore latest --target /tmp/restore-test

En CyberShield, operamos ciberseguridad 24/7 para PyMEs LATAM con un stack propio: agente endpoint multi-OS, monitoreo CVE en tiempo real y response 24/7. Nuestro plan base (10 USD/mes por 2 equipos) incluye verificación automática de backups, pero siempre recomendamos que las empresas hagan sus propias pruebas. Un backup no probado es un backup que no existe.

Conclusión: la resiliencia no es un producto, es un proceso

La regla 3-2-1-1-0 no es un checklist, sino un marco para pensar en resiliencia. Los ransomware evolucionan, y nuestras estrategias de backup deben hacerlo también. La inmutabilidad ya no es opcional: es la única garantía de que, cuando el atacante borre todo, tendremos algo que restaurar. Herramientas como Restic y Borg democratizan el acceso a backups cifrados e inmutables, pero requieren disciplina: pruebas regulares, documentación y, sobre todo, entender que un backup no es un archivo, sino un proceso.

En LATAM, donde el 60% de las PyMEs no tienen un plan de recuperación ante desastres (OCDE, 2022), adoptar la regla 3-2-1-1-0 es un acto de resistencia. No se trata de comprar la solución más cara, sino de implementar la correcta: la que garantiza que, cuando todo falle, los datos sigan ahí. En CyberShield, seguiremos documentando estos casos para que las empresas de la región no aprendan por las malas.

Fuentes

  1. NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf.
  2. Veeam (2021). 3-2-1-1-0 Backup Rule: Modern Data Protection for Ransomware Resiliency. Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html.
  3. Restic Documentation (2023). Restic Backup Tool. URL: https://restic.net/.
  4. Borg Backup Documentation (2023). Borg - Deduplicating Backup Program. URL: https://www.borgbackup.org/.
  5. Veeam (2023). Ransomware Trends Report 2023. URL: https://www.veeam.com/blog/ransomware-trends-report-2023.html.
  6. OCDE (2022). Ciberseguridad en las empresas de América Latina y el Caribe. URL: https://www.oecd.org/latin-america/empresas-latam-ciberseguridad.htm.
  7. Backblaze (2023). Object Lock: Immutable Storage for Backblaze B2. URL: https://www.backblaze.com/blog/what-is-object-lock/.
  8. Kaseya (2021). Incident Report: REvil Ransomware Attack. URL: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689.