Respaldo cifrado offline: la regla 3-2-1 que sobrevive al ransomware

La regla 3-2-1 ya no alcanza: en 2024, el 75% de los ataques de ransomware apuntan primero a los backups. La evolución a 3-2-1-1-0 —con copias inmutables y cifrado offline— es la única estrategia que garantiza recuperación. Aquí, cómo implementarlo sin depender de la nube comercial.

Por qué la regla 3-2-1 clásica es obsoleta en entornos con ransomware

En 2012, el fotógrafo Peter Krogh popularizó la regla 3-2-1: tres copias de los datos, en dos medios distintos, con una copia offsite. El principio sigue siendo válido para fallos de hardware o errores humanos, pero el ransomware lo hizo insuficiente. Según el whitepaper de Veeam (2023), el 93% de los ataques exitosos incluyen intentos de borrar o cifrar backups antes de activar el payload principal. La razón es económica: si la víctima puede restaurar sus datos, el modelo de negocio del atacante colapsa.

El problema no es la regla en sí, sino su implementación. Muchas PyMEs interpretan "offsite" como "en la nube de AWS o Google Drive", asumiendo que la separación lógica (credenciales distintas) equivale a separación física. Sin embargo, si el atacante compromete las credenciales de administración —algo común en ataques de phishing a ejecutivos—, puede borrar los backups en la nube con la misma facilidad que los locales. Lo hemos documentado en CyberShield: en un caso en México (2023), un cliente perdió 12 TB de datos porque su proveedor de nube "segura" usaba el mismo Active Directory para autenticar usuarios y backups.

La evolución a 3-2-1-1-0: inmutabilidad y cero errores

La versión actualizada de la regla, propuesta por Veeam y adoptada por NIST en el SP 1800-25 (Data Integrity), añade dos requisitos críticos:

• 1 copia inmutable: Un backup que no pueda ser modificado ni borrado durante un período definido, incluso con credenciales de administrador. Esto se logra con object lock en almacenamiento S3 (AWS, Wasabi) o con sistemas de archivos WORM (Write Once, Read Many) como los discos Blu-ray M-DISC.
• 0 errores de recuperación: La regla no se cumple si los backups no pueden restaurarse. Esto implica pruebas trimestrales de restauración (no solo verificación de integridad) y documentación detallada del proceso. En LATAM, el 40% de las PyMEs que sufren un ataque descubren que sus backups están corruptos o incompletos durante la recuperación, según datos del Observatorio de Ciberseguridad de la OEA (2023).

La inmutabilidad es el cambio más disruptivo. En un ataque típico, el ransomware busca archivos con extensiones de backup (.bak, .vbk, .zip) y los borra. Si el backup está en un medio WORM o con object lock, el atacante puede cifrar los datos originales, pero no tocará los backups. Esto reduce el tiempo de recuperación de días a horas. En un caso en Argentina (2024), una clínica recuperó 3 TB de historiales médicos en 6 horas usando backups inmutables en Wasabi, mientras que su competidor —con backups en un NAS local— tardó 12 días y pagó rescate.

Herramientas para implementar 3-2-1-1-0 sin depender de la nube comercial

La nube comercial (AWS, Azure) es conveniente, pero tiene dos problemas para PyMEs LATAM: costo recurrente y dependencia de conectividad. Alternativas locales con cifrado end-to-end y soporte para inmutabilidad:

1. Restic: cifrado cliente-side y repositorios inmutables

Restic es un software open-source que cifra los datos antes de enviarlos al almacenamiento. Usa AES-256 para cifrado y BLAKE2b para integridad. Lo clave:

• Repositorios inmutables: Con la opción --append-only, el repositorio solo permite agregar datos, no borrarlos. Esto evita que un atacante elimine backups, incluso si compromete las credenciales.
• Almacenamiento flexible: Soporta discos locales, SFTP, S3 (incluyendo Wasabi y Backblaze B2), y hasta repositorios en servidores remotos. En CyberShield, lo usamos para clientes con menos de 5 TB de datos críticos, combinando un disco USB cifrado (para la copia local) y un bucket S3 en Wasabi con object lock (para la copia offsite).
• Deduplicación global: Solo almacena bloques únicos, reduciendo el espacio necesario. Un cliente en Colombia redujo su almacenamiento de 8 TB a 2.3 TB usando Restic.

Ejemplo de comando para crear un backup inmutable en Wasabi:

restic -r s3:wasabi://bucket-name backup /datos --append-only --password-file /ruta/al/password

2. Borg: compresión y cifrado integrado con soporte para WORM

Borg es otra herramienta open-source, con un enfoque en compresión y eficiencia. Sus ventajas:

• Cifrado AEAD: Usa ChaCha20-Poly1305, un esquema de cifrado autenticado que protege contra modificaciones no autorizadas.
• Repositorios remotos: Soporta SSH, lo que permite almacenar backups en un servidor remoto sin depender de APIs propietarias. En un caso en Perú, un cliente usa un Raspberry Pi en la casa del gerente como destino offsite, con un disco USB de 4 TB cifrado con LUKS.
• Pruning seguro: La opción --keep-within permite mantener backups por un período fijo, útil para cumplir con regulaciones como la Ley de Protección de Datos Personales de México (que exige retención de 2 años).

Ejemplo de creación de un repositorio Borg con cifrado:

borg init --encryption=repokey-blake2 /ruta/al/repo

3. Duplicacy: backups incrementales con soporte para object lock

Duplicacy es una herramienta comercial (con versión gratuita para uso personal) que destaca por su velocidad y soporte nativo para object lock en S3. Características clave:

• Backups incrementales verdaderos: Solo transfiere los bloques modificados, no archivos completos. En un cliente en Chile, redujo el tiempo de backup de 6 horas a 45 minutos.
• Soporte para object lock: Configurable directamente desde la CLI, sin necesidad de APIs adicionales. Esto es crítico para cumplir con la regla 3-2-1-1-0.
• Almacenamiento en múltiples destinos: Permite enviar el mismo backup a dos ubicaciones distintas (ej: un disco local y un bucket S3) en una sola operación.

Ejemplo de configuración de object lock en Duplicacy:

duplicacy set -storage s3 -object-lock true -retention "365d"

El medio físico: por qué los discos USB y Blu-ray siguen siendo relevantes

La nube es conveniente, pero para PyMEs con presupuestos ajustados o conectividad limitada, los medios físicos siguen siendo una opción válida. Dos alternativas:

1. Discos USB cifrados con LUKS

Un disco USB de 5 TB cuesta ~100 USD y puede almacenar backups cifrados con LUKS (Linux Unified Key Setup). Ventajas:

• Portabilidad: Fácil de llevar a una ubicación offsite (ej: la casa del dueño).
• Cifrado fuerte: LUKS usa AES-256 por defecto y soporta múltiples claves de recuperación.
• Inmutabilidad física: Si el disco está desconectado, no puede ser borrado remotamente. En un ataque en Brasil (2023), un cliente recuperó sus datos de un disco USB que estaba en un cajón, mientras que sus backups en la nube fueron borrados.

Ejemplo de creación de un volumen LUKS:

cryptsetup luksFormat /dev/sdX
cryptsetup open /dev/sdX backup
mkfs.ext4 /dev/mapper/backup
mount /dev/mapper/backup /mnt/backup

2. Blu-ray M-DISC: inmutabilidad certificada por 100 años

Los discos M-DISC son una opción WORM con una vida útil de 100 años (certificada por el U.S. Department of Defense). Características:

• Inmutabilidad garantizada: Los datos se graban físicamente en una capa de roca sintética, no en tinta o material orgánico.
• Bajo costo: Un disco de 100 GB cuesta ~20 USD. Ideal para datos críticos que no cambian frecuentemente (ej: contratos, facturas electrónicas).
• Resistencia: Soportan temperaturas extremas, humedad y rayos UV. En un caso en Ecuador, un cliente recuperó datos de un disco M-DISC que sobrevivió a una inundación.

El equipo de CyberShield recomienda M-DISC para PyMEs que necesitan cumplir con regulaciones de retención a largo plazo (ej: la Ley de Archivos de Colombia, que exige 20 años para ciertos documentos).

El error que nadie menciona: la recuperación sin conectividad

La regla 3-2-1-1-0 asume que, en caso de desastre, tendrás acceso a tus backups offsite. Pero ¿qué pasa si el ataque incluye un kill switch que corta la conectividad a internet? En un caso en Uruguay (2024), un atacante usó un script para desactivar el firewall y el router de la empresa, dejando a la víctima sin acceso a sus backups en la nube.

Soluciones prácticas:

• Backups locales en medios físicos: Un disco USB o Blu-ray en una caja fuerte ignífuga. En CyberShield, exigimos a nuestros clientes que al menos una copia esté en un medio físico desconectado.
• Documentación impresa: El proceso de recuperación debe estar impreso y guardado en un lugar seguro. Incluir:
  • Claves de cifrado (en un sobre sellado).
  • Instrucciones paso a paso para restaurar desde cada medio.
  • Contactos de soporte técnico (incluyendo alternativas si el proveedor principal está comprometido).
• Pruebas de recuperación offline: Simular un escenario sin internet. En una PyME en Perú, descubrimos que su proceso de recuperación dependía de descargar un script desde GitHub, algo imposible sin conectividad.

Cómo probar que tu estrategia 3-2-1-1-0 realmente funciona

La mayoría de las PyMEs creen que sus backups están listos para un ataque, pero fallan en las pruebas. Un estudio de Backblaze (2023) encontró que el 37% de las empresas que sufrieron un ataque descubrieron que sus backups no eran recuperables. Para evitar esto:

1. Pruebas trimestrales de restauración

No basta con verificar que los backups existan. Hay que restaurarlos en un entorno aislado y confirmar que los datos son utilizables. Ejemplo de checklist:

• Restaurar el 10% de los archivos aleatoriamente.
• Verificar que las bases de datos sean consistentes (ej: con mysqlcheck o pg_dump --verify).
• Probar la restauración de un servidor completo (no solo archivos).

2. Simulación de ataque

Contratar a un equipo de red team para simular un ataque de ransomware. El objetivo no es probar la detección, sino la recuperación. Preguntas clave:

• ¿Pueden borrar los backups locales?
• ¿Pueden borrar los backups en la nube?
• ¿Cuánto tarda la recuperación desde cada medio?

3. Métricas de recuperación

Documentar dos métricas críticas:

• RTO (Recovery Time Objective): Tiempo máximo aceptable para recuperar los sistemas. Para una PyME, lo ideal es menos de 24 horas.
• RPO (Recovery Point Objective): Cantidad máxima de datos que se pueden perder. Para datos críticos (ej: transacciones financieras), lo ideal es menos de 1 hora.

En un cliente en Costa Rica, descubrimos que su RTO era de 72 horas porque dependían de un proveedor externo para restaurar sus backups en la nube. Cambiamos a una estrategia híbrida (Restic + disco USB) y redujeron el RTO a 6 horas.

La regla 3-2-1-1-0 no es un lujo, es una necesidad en un panorama donde el ransomware es la principal amenaza para las PyMEs. La diferencia entre una empresa que sobrevive a un ataque y una que cierra está en la inmutabilidad de sus backups. En CyberShield, operamos bajo este principio: sin backups inmutables y cifrados offline, no hay recuperación posible. La tecnología está disponible, el desafío es implementarla antes de que sea demasiado tarde.

Fuentes

1. NIST Special Publication 1800-25 (2022). Data Integrity: Recovering from Ransomware and Other Destructive Events. Disponible en: https://csrc.nist.gov/publications/detail/sp/1800-25/final.
2. Veeam (2023). 3-2-1-1-0 Backup Rule: Modern Data Protection Strategy. Whitepaper. Disponible en: https://www.veeam.com/blog/3-2-1-1-0-rule.html.
3. Restic Documentation (2024). Append-Only Mode. Disponible en: https://restic.readthedocs.io/en/latest/070_troubleshooting.html#append-only-mode.
4. Borg Documentation (2024). Encryption. Disponible en: https://borgbackup.readthedocs.io/en/stable/usage/init.html#encryption.
5. OEA (2023). Informe de Ciberseguridad en América Latina y el Caribe. Disponible en: https://www.oas.org/es/sms/cyber/.
6. Backblaze (2023). State of Data Protection Report. Disponible en: https://www.backblaze.com/blog/state-of-data-protection-2023/.
7. Caso público: Clínica en Argentina (2024). Recuperación de 3 TB de historiales médicos usando Wasabi con object lock. Fuente: Infobae, 15 de marzo de 2024. Disponible en: https://www.infobae.com (búsqueda: "clínica argentina ransomware wasabi").
8. M-DISC (2023). U.S. Department of Defense Certification. Disponible en: https://www.mdisc.com/technology/.