La regla 3-2-1 —tres copias, dos medios, una offsite— ya no detiene a los atacantes que borran backups antes de cifrar datos. La actualización 3-2-1-1-0 añade inmutabilidad y cero errores de restauración, pero exige tooling moderno como Restic o Borg para implementarlo sin depender de proveedores cloud.
¿Por qué la regla 3-2-1 clásica falla contra ransomware?
En 2012, el fotógrafo Peter Krogh popularizó la regla 3-2-1 como estándar de respaldo: tres copias de los datos, en dos medios distintos, con una copia offsite. El problema no es la regla en sí, sino su interpretación literal en un contexto donde los atacantes priorizan eliminar backups antes que cifrar archivos. Según el informe de Veeam 2023, el 93% de los ataques de ransomware intentan borrar o cifrar backups, y en el 75% de los casos lo logran.
El error común es asumir que "offsite" equivale a "seguro". Si el backup offsite está montado como unidad de red (ej: NAS sincronizado con cloud), el atacante con credenciales comprometidas puede acceder a él. Lo hemos documentado en CyberShield con PyMEs que perdieron datos críticos porque su "copia offsite" era un Google Drive sincronizado automáticamente: el ransomware borró los archivos locales y la sincronización propagó la eliminación.
La literatura disponible sugiere que el tiempo medio entre la infección inicial y el borrado de backups es de 4.5 horas (NIST SP 1800-25, 2020). Esto significa que cualquier backup accesible desde el sistema comprometido —incluso si está en otro servidor— es vulnerable.
La actualización 3-2-1-1-0: inmutabilidad y cero errores
Veeam propuso en 2019 la extensión 3-2-1-1-0, donde los dos dígitos adicionales son:
- 1 copia inmutable: almacenada en un medio que no puede ser modificado ni borrado durante un período definido (ej: object lock en S3, WORM en cinta).
- 0 errores de restauración: validación automática de que los backups son recuperables, no solo que existen.
La inmutabilidad es crítica porque el 60% de las PyMEs que pagan rescate lo hacen porque sus backups estaban corruptos o incompletos (Sophos, 2023). Sin embargo, implementarla en entornos pequeños choca con dos obstáculos:
- Los proveedores cloud cobran primas por object lock (ej: AWS S3 Glacier Deep Archive con object lock cuesta ~$0.0036/GB/mes vs $0.00099 sin lock).
- Las soluciones tradicionales como Veeam o Commvault requieren infraestructura compleja (servidores de backup, licencias, storage dedicado).
Para PyMEs, la alternativa pragmática es usar herramientas open-source que soporten cifrado y almacenamiento inmutable en medios económicos:
- Restic: soporta repositorios inmutables con `--append-only` y cifrado AES-256. Puede escribir en discos locales, SFTP, o buckets S3 con object lock.
- Borg: ofrece compresión y deduplicación, con repositorios append-only. Ideal para backups en discos externos cifrados.
- Duplicacy: permite backups incrementales con almacenamiento en múltiples destinos (ej: local + Backblaze B2 + disco USB).
Cómo implementar 3-2-1-1-0 con Restic: un ejemplo concreto
Supongamos una PyME con 500 GB de datos críticos (bases de datos, documentos, correos). La estrategia sería:
- Copias (3+):
- 1: disco local cifrado (ej: Veracrypt) con snapshots diarios.
- 2: repositorio Restic en un bucket S3 con object lock (retención de 30 días).
- 3: disco USB externo cifrado (LUKS) almacenado en una ubicación física separada (ej: caja de seguridad bancaria). Rotado semanalmente.
- Medios (2):
- 1: almacenamiento en disco (local + USB).
- 2: almacenamiento en objeto (S3).
- Offsite (1): el bucket S3 y el disco USB están fuera de la oficina.
- Inmutable (1): el bucket S3 tiene object lock configurado para 30 días. Restic se ejecuta con `--append-only` para evitar borrados accidentales.
- Cero errores (0): script de validación que restaura aleatoriamente un 1% de los archivos cada semana y verifica checksums.
El comando para inicializar el repositorio Restic en S3 sería:
restic -r s3:s3.amazonaws.com/bucket-name init --repository-version 2
restic -r s3:s3.amazonaws.com/bucket-name backup /datos --append-only
restic -r s3:s3.amazonaws.com/bucket-name forget --keep-last 30 --keep-daily 7 --group-by paths,tagsEl costo mensual para 500 GB en S3 con object lock sería ~$1.80 (vs $0.50 sin lock), pero la diferencia es marginal frente al riesgo de perder datos.
El mito del "backup en la nube" como solución única
Muchas PyMEs confían en servicios como Google Drive, Dropbox o OneDrive como su "copia offsite". Esto es peligroso por tres razones:
- Sincronización bidireccional: si el ransomware borra archivos locales, la sincronización los elimina también en la nube. Dropbox, por ejemplo, retiene versiones solo por 30 días en su plan básico.
- Falta de inmutabilidad: aunque algunos servicios ofrecen "versionado", no es lo mismo que object lock. Un atacante con credenciales puede borrar todas las versiones.
- Cifrado en tránsito ≠ cifrado en reposo: servicios como Google Drive cifran los datos en tránsito, pero no ofrecen cifrado del lado del cliente (client-side encryption). Esto significa que Google tiene las claves para descifrar los datos, lo que los hace vulnerables a brechas internas o requerimientos legales.
La alternativa es usar servicios que soporten cifrado del lado del cliente y repositorios inmutables, como:
- Backblaze B2 con object lock + Restic.
- Wasabi (compatible con S3) + Duplicacy.
- Tahoe-LAFS (para entornos con requisitos de privacidad extremos).
En CyberShield, hemos verificado que PyMEs que combinan Restic con Backblaze B2 logran un costo de ~$3/mes por 500 GB, con inmutabilidad y cifrado del lado del cliente.
El eslabón débil: la rotación de medios offline
La copia offline (ej: disco USB) es la más segura contra ransomware, pero también la más propensa a fallar por:
- Errores humanos: olvidar rotar el disco, almacenarlo en un lugar no seguro, o no cifrarlo.
- Degradación física: los discos USB tienen una vida útil de ~5 años. Si no se rotan, pueden fallar al intentar restaurar.
- Falta de validación: muchas PyMEs asumen que el disco "está bien" porque lo guardaron, pero no verifican que los datos sean recuperables.
La solución es automatizar la rotación y validación:
- Usar dos discos USB rotados semanalmente (ej: disco A la semana 1, disco B la semana 2).
- Almacenarlos en ubicaciones físicas separadas (ej: uno en la oficina, otro en una caja de seguridad bancaria).
- Validar automáticamente los backups con un script que monte el disco, verifique checksums y envíe una alerta si falla.
Un ejemplo de script de validación para Restic:
#!/bin/bash
DISCO_USB="/mnt/backup_usb"
RESTIC_REPO="restic -r $DISCO_USB::repo"
$RESTIC_REPO check --read-data-subset=1%
if [ $? -ne 0 ]; then
echo "Error en backup USB" | mail -s "ALERTA: Backup corrupto" admin@empresa.com
fiTradeoffs: ¿qué sacrificar cuando el presupuesto es limitado?
Implementar 3-2-1-1-0 en una PyME con recursos limitados requiere priorizar. Estos son los tradeoffs que hemos observado en CyberShield:
| Prioridad | Qué sacrificar | Qué no sacrificar |
|---|---|---|
| 1. Inmutabilidad | Usar object lock solo en la copia más crítica (ej: bases de datos). | Nunca sacrificar la inmutabilidad de al menos una copia. |
| 2. Cifrado | Usar cifrado del lado del cliente solo para datos sensibles (ej: documentos legales). | Nunca almacenar backups sin cifrado en reposo. |
| 3. Validación | Validar solo un subconjunto de archivos (ej: 10%) en lugar de todos. | Nunca asumir que un backup es recuperable sin probarlo. |
| 4. Offsite | Usar un disco USB en una ubicación física separada (ej: casa del dueño) en lugar de cloud. | Nunca tener todas las copias en el mismo lugar físico. |
El peor tradeoff es sacrificar la inmutabilidad. Sin ella, un atacante puede borrar todas las copias, y la regla 3-2-1-1-0 se reduce a 0-0-0-0-0.
La resiliencia de una PyME contra ransomware no depende de herramientas caras, sino de disciplina operativa: backups cifrados, inmutables y validados, almacenados en medios diversos y ubicaciones separadas. La regla 3-2-1-1-0 no es un producto, es un proceso que exige tooling moderno como Restic o Borg para ser viable sin depender de proveedores cloud. En un contexto donde el 60% de las PyMEs cierran después de un ataque de ransomware (National Cyber Security Alliance, 2023), la pregunta no es si puedes permitirte implementar esta regla, sino si puedes permitirte no hacerlo.
El equipo de CyberShield opera ciberseguridad 24/7 para PyMEs LATAM con un stack propio que incluye monitoreo de CVE en tiempo real y response automatizado. En un entorno donde los atacantes evolucionan más rápido que los presupuestos, la única ventaja sostenible es la que construyes tú mismo: backups que no puedan ser borrados, cifrados ni corrompidos.
Fuentes
- NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf
- Veeam (2023). 3-2-1-1-0 Backup Rule: Modern Data Protection Strategy. Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html
- Restic Documentation (2023). Append-Only Mode. URL: https://restic.readthedocs.io/en/latest/070_troubleshooting.html#append-only-mode
- Sophos (2023). The State of Ransomware 2023. Report. URL: https://www.sophos.com/en-us/state-of-ransomware
- National Cyber Security Alliance (2023). Small Business Study: The Impact of Cyberattacks. URL: https://staysafeonline.org/resources/small-business-study-the-impact-of-cyberattacks/
- Borg Backup Documentation (2023). Append-Only Mode. URL: https://borgbackup.readthedocs.io/en/stable/usage/notes.html#append-only-mode
- AWS (2023). S3 Object Lock. Documentation. URL: https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html
