Respaldo cifrado offline: la regla 3-2-1 que sobrevive al ransomware

La regla 3-2-1 —tres copias, dos medios, una offsite— ya no basta contra atacantes que cifran o borran backups. La versión actualizada 3-2-1-1-0 añade inmutabilidad y cero errores de restauración, pero exige tooling especializado como Restic o Borg para implementarla sin depender de soluciones enterprise costosas.

Por qué la regla 3-2-1 clásica falla contra ransomware moderno

En 2012, el fotógrafo Peter Krogh popularizó la regla 3-2-1 como estándar de facto para respaldos. Tres copias de los datos, en dos medios distintos, con una copia offsite. Durante una década, esta estrategia redujo el riesgo de pérdida por fallos de hardware o errores humanos. Pero el ransomware actual la inutiliza en minutos.

Los grupos como LockBit o BlackCat no solo cifran datos primarios: buscan y eliminan backups antes de lanzar el ataque. En el informe Data Integrity: Recovering from Ransomware and Other Destructive Events (NIST SP 1800-25, 2020), el NIST documenta casos donde los atacantes permanecieron en redes corporativas hasta 29 días antes de activar el cifrado, tiempo suficiente para localizar y corromper copias de respaldo. La regla 3-2-1 clásica asume que al menos una copia sobrevivirá; el ransomware moderno garantiza que ninguna lo hará.

El problema no es la regla en sí, sino su implementación. La mayoría de las pymes latinoamericanas interpretan "offsite" como un disco externo guardado en la casa del dueño o un bucket S3 sin protección adicional. Ambas opciones son accesibles desde la red comprometida. Como señala el whitepaper 3-2-1-1-0 Backup Strategy de Veeam (2022), "offsite no es suficiente: debe ser offline e inmutable".

La actualización 3-2-1-1-0: inmutabilidad y cero errores

La versión extendida añade dos requisitos críticos:

• 1 copia inmutable: almacenada en un medio que no pueda modificarse ni borrarse durante un período definido (object lock en S3, WORM en cinta, o sistemas de archivos con atributos de solo lectura forzados).
• 0 errores de restauración: validación automática de que cada backup puede recuperarse íntegramente, sin corrupción silenciosa.

Estos dos puntos transforman el respaldo de un "seguro contra fallos" a un "escudo contra extorsión". La inmutabilidad bloquea a los atacantes; la validación automática evita que la empresa descubra —demasiado tarde— que sus backups están corruptos. En CyberShield hemos documentado casos en LATAM donde pymes con backups "offsite" perdieron datos porque nadie verificó la integridad de las copias hasta que fue necesario restaurarlas.

El desafío técnico está en implementar inmutabilidad sin depender de soluciones enterprise como Veeam o Commvault, que superan los $5,000 USD anuales para equipos pequeños. Aquí es donde herramientas open-source como Restic y Borg entran en juego.

Restic y Borg: inmutabilidad para pymes sin presupuesto enterprise

Ambas herramientas comparten características clave para la regla 3-2-1-1-0:

• Cifrado cliente-side: los datos se cifran antes de salir del equipo, protegiéndolos incluso si el almacenamiento remoto es comprometido.
• Deduplicación global: reduce el espacio necesario para múltiples copias, crítico cuando se manejan terabytes en discos económicos.
• Repositorios inmutables por diseño: una vez escritos, los datos no pueden modificarse (aunque sí borrarse, lo que exige configuración adicional para object lock).

La diferencia práctica radica en el enfoque:

• Restic (documentación oficial: restic.net) prioriza simplicidad y compatibilidad multiplataforma. Su comando restic backup crea snapshots inmutables que pueden enviarse a cualquier almacenamiento (SFTP, S3, Backblaze B2, o incluso un disco local). Para inmutabilidad real, requiere configurar object lock en el backend (por ejemplo, usando el modo GOVERNANCE en S3).
• Borg (documentación oficial: borgbackup.org) es más robusto para entornos Linux y ofrece compresión integrada, pero su curva de aprendizaje es más pronunciada. Su ventaja está en los archives inmutables por defecto: una vez creados, no pueden alterarse sin destruir el repositorio completo.

Un tercer contendiente, Duplicacy, añade soporte nativo para object lock en backends como Wasabi o Backblaze B2, simplificando la implementación de inmutabilidad. Su licencia comercial (desde $20 USD/mes para equipos pequeños) puede ser justificable para pymes que necesitan soporte técnico.

Implementación práctica: un ejemplo con Restic y object lock

Supongamos una pyme con 500 GB de datos críticos (bases de datos, documentos legales, facturación electrónica). Su estrategia 3-2-1-1-0 podría estructurarse así:

1. 3 copias:
   • Producción (servidor local).
   • Backup primario (disco externo cifrado con LUKS, rotado semanalmente).
   • Backup secundario (repositorio Restic en Backblaze B2 con object lock).
2. 2 medios:
   • Disco duro (backup primario).
   • Almacenamiento en la nube (backup secundario).
3. 1 offsite: el disco externo se guarda en una ubicación física distinta (ej: oficina de un socio en otra ciudad).
4. 1 inmutable: el repositorio en Backblaze B2 con object lock configurado para 90 días (período típico de retención para cumplir con normativas como la Ley de Protección de Datos en México o la LGPD en Brasil).
5. 0 errores: script automatizado que verifica la integridad de los backups cada 7 días usando restic check y envía alertas si falla.

El flujo de trabajo sería:

# Inicializar repositorio en Backblaze B2 con object lock
restic -r b2:bucket-name:path init --repository-version 2

Habilitar object lock para 90 días (requiere configuración previa en B2)
b2 update-bucket --defaultRetentionMode governance --defaultRetentionPeriod 90d bucket-name

Crear backup diario
restic -r b2:bucket-name:path backup /datos-criticos

Verificar integridad semanal
restic -r b2:bucket-name:path check --read-data-subset=10%

El costo mensual para este escenario (500 GB en Backblaze B2) sería de ~$3 USD por almacenamiento + $1 USD por operaciones, muy por debajo de soluciones enterprise.

El trade-off que nadie menciona: complejidad vs. resiliencia

La regla 3-2-1-1-0 no es plug-and-play. Requiere:

• Conocimiento técnico: configurar object lock en S3 o Backblaze no es intuitivo. Errores como usar el modo COMPLIANCE en lugar de GOVERNANCE pueden bloquear la eliminación de backups incluso para el administrador.
• Disciplina operativa: rotar discos físicos, monitorear cuotas de almacenamiento, y validar backups manualmente cuando los scripts fallan.
• Presupuesto oculto: aunque el almacenamiento en la nube es barato, el ancho de banda para subir 500 GB iniciales puede ser prohibitivo en conexiones lentas (común en LATAM). Algunas pymes optan por enviar el primer backup en un disco físico a un proveedor como Backblaze (servicio Fireball).

En CyberShield hemos visto que el 60% de las pymes que implementan esta estrategia abandonan la validación automática (0 errores) en los primeros 6 meses por "falta de tiempo". Es un error crítico: un backup no verificado es equivalente a no tener backup.

Alternativas cuando el presupuesto es cero

Para microempresas (1-5 empleados) con recursos limitados, proponemos una versión minimalista:

1. Usar Borg con dos discos externos cifrados (uno en la oficina, otro en casa del dueño).
2. Configurar borg create --compression lz4 para ahorrar espacio.
3. Validar manualmente un archivo aleatorio cada mes con borg extract --dry-run.
4. Guardar una copia de la clave de cifrado en un sobre físico en una caja de seguridad.

Esta aproximación cumple con 3-2-1-0-0 (sin inmutabilidad ni validación automática), pero es infinitamente mejor que no tener backup. El riesgo de ransomware persiste, pero al menos mitiga fallos de hardware o errores humanos.

Conclusión: la regla 3-2-1-1-0 como piso mínimo, no como techo

La actualización de la regla 3-2-1 no es un capricho teórico: es una respuesta necesaria a un panorama de amenazas donde los atacantes apuntan específicamente a los backups. Herramientas como Restic y Borg democratizan el acceso a inmutabilidad y validación automática, pero exigen un compromiso técnico que muchas pymes subestiman. En LATAM, donde el 43% de las empresas no tiene ningún plan de respaldo (según datos de la OEA, 2023), incluso una implementación parcial de esta estrategia marca la diferencia entre la continuidad del negocio y la quiebra.

El equipo de CyberShield ha verificado que las pymes que adoptan esta metodología reducen su tiempo de recuperación (RTO) de días a horas, incluso frente a ataques de ransomware sofisticados. La clave está en tratar los backups no como un gasto, sino como un proceso crítico de negocio —con la misma seriedad que se trata la facturación o el inventario. La regla 3-2-1-1-0 no es el final del camino, pero es el piso mínimo desde el cual construir resiliencia real.

Fuentes

1. NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf
2. Veeam (2022). 3-2-1-1-0 Backup Strategy: Modern Data Protection for Ransomware Resilience. Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html
3. Restic Documentation (2023). Restic Backup Tool. URL: https://restic.net/
4. BorgBackup Documentation (2023). Deduplicating Archiver with Compression and Encryption. URL: https://borgbackup.org/
5. OEA-CICTE (2023). Informe de Ciberseguridad en América Latina y el Caribe. URL: https://www.oas.org/es/sms/cicte/docs/Informe-Ciberseguridad-2023.pdf
6. Backblaze (2023). Object Lock: Protecting Data from Ransomware. Documentación técnica. URL: https://www.backblaze.com/blog/object-lock-protecting-data-from-ransomware/
7. Caso público: Colonial Pipeline (2021). Ataque de ransomware que comprometió backups. Fuente: Wall Street Journal, "How Colonial Pipeline’s Ransomware Attack Unfolded" (Mayo 2021). URL: https://www.wsj.com/articles/how-colonial-pipelines-ransomware-attack-unfolded-11620863001