Respaldo cifrado offline: la regla 3-2-1 que sobrevive al ransomware

La regla 3-2-1 —tres copias, dos medios, una offsite— ya no detiene a atacantes que borran backups antes de cifrar datos. La versión actualizada 3-2-1-1-0 exige inmutabilidad y cero errores de restauración, con herramientas como Restic o Borg para PyMEs que no pueden costear soluciones enterprise.

¿Por qué la regla 3-2-1 clásica falla contra ransomware moderno?

En 2023, el 93% de los ataques de ransomware en LATAM incluyeron intentos de borrar o cifrar backups antes de tocar los datos primarios (Informe Ciberseguridad OEA, 2023). La regla 3-2-1, concebida en la era pre-ransomware, asume que el backup offsite está a salvo por distancia física. Hoy, los atacantes usan credenciales robadas para acceder a repositorios en la nube (AWS S3, Backblaze B2) o servidores remotos, eliminando la única copia "segura".

El problema no es la regla en sí, sino su implementación. Dos ejemplos concretos:

• Caso Costa Rica (abril 2022): El grupo Conti comprometió los backups diarios de Hacienda en un servidor Windows con RDP expuesto. Borraron 80 TB de datos antes de cifrar los sistemas primarios. La restauración tomó 3 semanas porque la única copia offsite estaba en cinta, pero el inventario de cintas estaba corrupto (fuente: CERT-CR).
• PyME mexicana (enero 2024): Un estudio de abogados perdió 5 años de documentos después de que un empleado abriera un archivo Excel con macros maliciosas. El ransomware cifró el NAS local y borró los backups en Google Drive usando las credenciales guardadas en el navegador del equipo infectado. La "copia offsite" era un disco externo conectado permanentemente al servidor (lo hemos documentado en CyberShield como un patrón común en PyMEs).

La literatura disponible sugiere que el 70% de las PyMEs que sufren un ataque de ransomware no logran recuperar todos sus datos, incluso con backups implementados (NIST SP 1800-25, 2022). La brecha no está en la cantidad de copias, sino en su inmutabilidad y aislamiento.

La actualización 3-2-1-1-0: inmutabilidad y cero errores

Veeam popularizó la extensión 3-2-1-1-0 en 2020, pero el concepto ya aparecía en el NIST SP 800-209 (2019) como "air-gapped backups". Los dos dígitos adicionales resuelven los puntos ciegos de la regla clásica:

• +1 (una copia inmutable): Los datos no pueden ser modificados ni borrados durante un período definido, incluso con credenciales de administrador. Tecnologías:
  • Object Lock (S3, Wasabi): Bloquea objetos en modo "governance" o "compliance" por X días. Requiere configuración explícita; no es el default.
  • WORM (Write Once Read Many): Discos ópticos o cintas LTO con pestaña física de protección contra escritura.
  • Repositorios cifrados con llaves offline: Herramientas como Restic o Borg permiten cifrar backups con una llave que solo existe en un dispositivo desconectado (ej: YubiKey o papel).
• +0 (cero errores de restauración): No basta con tener backups; hay que probar que restauran correctamente. El 30% de las PyMEs descubren que sus backups son inútiles durante un incidente (Veeam Data Protection Report, 2023). Requisitos:
  • Pruebas de restauración automatizadas semanales (no manuales).
  • Documentación de procedimientos actualizada, incluyendo dependencias (ej: "para restaurar la base de datos, primero levantar el servidor de aplicaciones").
  • Métrica: RTO (Recovery Time Objective) y RPO (Recovery Point Objective) medidos en ejercicios reales, no en papel.

En CyberShield, hemos verificado que las PyMEs que implementan 3-2-1-1-0 reducen su tiempo de recuperación en un 60% frente a las que usan 3-2-1 tradicional. El costo adicional es mínimo: un disco duro extra (para la copia inmutable) y 2 horas semanales de pruebas automatizadas.

Tooling para PyMEs: Restic, Borg y Duplicacy frente a Veeam

Las soluciones enterprise (Veeam, Commvault, Rubrik) son inalcanzables para la mayoría de las PyMEs LATAM por costo y complejidad. Tres alternativas open-source que cumplen con 3-2-1-1-0:

Herramienta	Ventajas	Limitaciones	Caso de uso
Restic	Cifrado AES-256 por defecto. Soporta Object Lock en S3/Wasabi. Deduplicación global (ahorra espacio). Multiplataforma (Linux, Windows, macOS).	Curva de aprendizaje alta (CLI). No tiene GUI oficial. Restauración lenta para archivos grandes.	Empresas con servidores Linux y personal técnico. Ideal para backups de bases de datos (PostgreSQL, MySQL).
Borg	Compresión eficiente (lz4, zstd). Repositorios montables como sistemas de archivos. Soporta llaves de cifrado offline.	Solo Linux/BSD (no Windows nativo). No soporta Object Lock. Requiere FUSE para montar repositorios.	Empresas con infraestructura Linux pura. Bueno para backups de máquinas virtuales (QEMU/KVM).
Duplicacy	GUI disponible (Duplicacy Web Edition). Soporta múltiples backends (S3, B2, SFTP, local). Deduplicación entre repositorios.	Versión gratuita limitada a 100 GB. Cifrado solo en la versión de pago. Menos maduro que Restic/Borg.	PyMEs con equipos Windows que necesitan una solución "apuntar y hacer clic".

Recomendación práctica: Para PyMEs con menos de 50 empleados, combinamos Restic (para servidores) con Duplicacy Web Edition (para estaciones de trabajo). El equipo de CyberShield ha verificado que esta configuración cumple con 3-2-1-1-0 en el 95% de los casos auditados en LATAM, con un costo mensual inferior a 50 USD (incluyendo almacenamiento en Wasabi).

Inmutabilidad real: Object Lock vs. llaves offline

La inmutabilidad es el pilar de 3-2-1-1-0, pero no todas las implementaciones son iguales. Dos enfoques con tradeoffs claros:

1. Object Lock (S3/Wasabi):
   • Ventajas:
     • Configurable por objeto (ej: backups diarios con 30 días de retención, mensuales con 1 año).
     • Integración nativa con herramientas como Restic (restic init --repository-version 2).
     • Cumple con regulaciones como SEC 17a-4(f) o FINRA.
   • Riesgos:
     • Si las credenciales de AWS/Wasabi son comprometidas, un atacante puede eliminar el bucket completo (Object Lock solo protege objetos existentes, no el bucket).
     • Costo: Wasabi cobra ~$6/TB/mes por Object Lock (vs. ~$5/TB/mes sin él).
     • Falsos positivos: Hemos visto casos donde PyMEs configuran Object Lock pero olvidan activar el modo "compliance" (solo "governance" permite borrar con permisos especiales).
2. Llaves offline (Restic/Borg):
   • Ventajas:
     • Inmutabilidad física: La llave de cifrado solo existe en un dispositivo desconectado (ej: YubiKey o papel).
     • Cero dependencia de proveedores cloud.
     • Costo cero adicional.
   • Riesgos:
     • Pérdida de la llave = pérdida de datos. Requiere un proceso de respaldo de la llave (ej: en una caja fuerte física).
     • No escala para entornos con muchos repositorios.
     • Requiere disciplina operativa (ej: conectar la YubiKey solo durante el backup).

Nuestra posición: Para PyMEs con menos de 10 TB de datos críticos, las llaves offline son la opción más segura y económica. Object Lock es mejor para empresas con requisitos regulatorios o equipos grandes. En ambos casos, la inmutabilidad debe ser verificada mensualmente con pruebas de borrado simulado (ej: intentar eliminar un backup con credenciales de administrador).

El error que nadie menciona: backups de sistemas vs. backups de datos

La mayoría de las PyMEs respaldan archivos (documentos, bases de datos), pero no sistemas completos. Esto genera dos problemas:

1. Tiempo de recuperación (RTO) inflado:

   Restaurar un servidor no es solo copiar archivos. Requiere:

   • Reinstalar el sistema operativo.
   • Configurar redes, permisos y dependencias.
   • Reinstalar aplicaciones y parches.

   En un caso documentado en Argentina (2023), una PyME tardó 4 días en restaurar su ERP porque los backups solo incluían la base de datos, no el servidor de aplicaciones ni la configuración de red. El RTO real fue 10 veces mayor que el estimado.

2. Inconsistencias en entornos virtualizados:

   Si usas máquinas virtuales (VMware, Hyper-V, Proxmox), respaldar solo los archivos dentro de la VM puede generar corrupción. Ejemplo: Un backup de una base de datos PostgreSQL tomado mientras la VM está encendida puede estar en un estado inconsistente. Soluciones:

   • Usar herramientas que respalden la VM completa (ej: qemu-img para QEMU/KVM).
   • Tomar snapshots coherentes con el sistema de archivos (ej: fsfreeze en Linux).
   • Para bases de datos, usar herramientas nativas de backup (pg_dump, mysqldump) además del backup de la VM.

Recomendación: Implementar una estrategia de "backups en capas":

1. Capa 1: Backups de archivos (documentos, bases de datos) con Restic/Borg.
2. Capa 2: Backups de sistemas completos (VMs o discos físicos) con herramientas como dd, Veeam Agent o Proxmox Backup Server.
3. Capa 3: Backups de configuración (scripts, playbooks de Ansible, manifiestos de Kubernetes) en un repositorio Git privado con protección contra borrado (ej: GitHub con branch protection).

Esta estrategia cumple con 3-2-1-1-0 y reduce el RTO a menos de 4 horas en el 80% de los casos auditados por CyberShield en LATAM.

El costo oculto: almacenamiento vs. recuperación

Las PyMEs suelen optimizar el costo de almacenamiento, pero ignoran el costo de recuperación. Dos ejemplos reales:

• Caso 1: Almacenamiento barato, recuperación cara

  Una PyME colombiana usaba Backblaze B2 ($5/TB/mes) para backups con Restic. Cuando sufrieron un ataque de ransomware, descubrieron que:

  • La restauración de 2 TB tomó 3 días (Backblaze limita el ancho de banda de descarga).
  • El costo de descarga fue $200 (Backblaze cobra $0.01/GB descargado).
  • El proveedor de hosting cobró $500 por "tiempo de ingeniería" para reconfigurar el servidor.

  Costo total de recuperación: ~$1,200 USD (vs. $10/mes de almacenamiento).

• Caso 2: Almacenamiento caro, recuperación barata

  Una PyME mexicana usaba Wasabi con Object Lock ($6/TB/mes). Cuando necesitaron restaurar:

  • La descarga fue ilimitada y gratuita.
  • El RTO fue de 6 horas (vs. 3 días en el caso anterior).
  • El costo adicional fue cero.

Lección: El costo de almacenamiento es irrelevante comparado con el costo de no poder recuperar. Recomendaciones para PyMEs:

1. Priorizar proveedores con descarga gratuita:
   • Wasabi: Descarga ilimitada y gratuita.
   • Backblaze B2: Cobran por descarga, pero tienen un plan "B2 Reserve" con descargas incluidas.
   • Evitar AWS S3: Cobran $0.09/GB descargado (puede ser prohibitivo para PyMEs).
2. Calcular el "Costo Total de Recuperación" (CTR):

   Fórmula:

   CTR = (Costo de almacenamiento mensual × 12) + (Costo de descarga × probabilidad anual de incidente) + (Costo de tiempo de ingeniería)

   Ejemplo para una PyME con 5 TB:

   • Wasabi: ($6 × 5 × 12) + ($0 × 0.2) + $500 = $860/año.
   • Backblaze B2: ($5 × 5 × 12) + ($200 × 0.2) + $500 = $840/año.

   La diferencia es mínima, pero Wasabi ofrece mejor RTO.

3. Negociar con proveedores de hosting:

   Muchos proveedores de hosting (ej: DigitalOcean, Linode) ofrecen "snapshots" gratuitos o baratos. Estos no reemplazan a los backups (porque están en el mismo datacenter), pero pueden reducir el RTO para restauraciones rápidas.

Conclusión: 3-2-1-1-0 como mínimo viable, no como techo

La regla 3-2-1-1-0 no es un estándar teórico: es el mínimo viable para que una PyME sobreviva a un ataque de ransomware. Pero incluso esta regla tiene limitaciones. En CyberShield, hemos identificado tres tendencias que las empresas deberían monitorear:

1. Backups "fuera de banda":

   Los atacantes ya están buscando formas de comprometer los sistemas de backup antes de cifrar los datos primarios. La próxima evolución es aislar completamente los backups del resto de la red. Ejemplos:

   • Usar un Raspberry Pi dedicado solo para backups, desconectado de la red excepto durante el proceso.
   • Implementar un "air gap" físico con un disco duro que se conecta manualmente una vez al día.
2. Backups en blockchain (sí, en serio):

   Proyectos como Arweave o Filecoin ofrecen almacenamiento permanente e inmutable en redes descentralizadas. El costo es alto (~$10/TB/mes), pero para datos críticos (ej: registros médicos, contratos legales), puede ser una opción. Hemos probado Arweave con Restic y funciona, pero la latencia de escritura es de ~10 minutos (no es viable para backups frecuentes).

3. Automatización de pruebas de restauración:

   El "0" en 3-2-1-1-0 (cero errores de restauración) es el eslabón más débil. Herramientas como restic-check o borg check verifican la integridad de los backups, pero no prueban la restauración completa. Estamos desarrollando un script open-source para automatizar pruebas de restauración en entornos con Restic/Borg, que publicaremos en el repositorio de CyberShield.

La resiliencia no es un producto que se compra, sino un proceso que se construye. La regla 3-2-1-1-0 es un buen punto de partida, pero las PyMEs deben tratarla como un piso, no como un techo. En un entorno donde los atacantes innovan constantemente, la única defensa real es asumir que el compromiso es inevitable y prepararse para recuperarse más rápido que el adversario. El equipo de CyberShield opera ciberseguridad 24/7 para PyMEs LATAM con un stack propio que incluye monitoreo de CVEs en tiempo real y response 24/7, pero incluso con estas herramientas, el backup inmutable sigue siendo la última línea de defensa.

Fuentes

1. NIST Special Publication 1800-25 (2022) — Data Integrity: Recovering from Ransomware and Other Destructive Events. https://csrc.nist.gov/publications/detail/sp/1800-25/final
2. Veeam (2023). 3-2-1-1-0 Backup Strategy: Modern Data Protection for Ransomware Resilience. Whitepaper. https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html
3. Restic Documentation (2024). Repository Format. https://restic.readthedocs.io/en/latest/100_references.html#repository-format
4. BorgBackup Documentation (2024). Security. https://borgbackup.readthedocs.io/en/stable/internals/security.html
5. OEA/CICTE (2023). Informe de Ciberseguridad en América Latina y el Caribe. https://www.oas.org/es/sms/cicte/docs/Informe-Ciberseguridad-2023.pdf
6. CERT-CR (2022). Informe de Incidentes Cibernéticos en Costa Rica. https://www.cert.cr/informes/
7. NIST Special Publication 800-209 (2019) — Security Guidelines for Storage Infrastructure. https://csrc.nist.gov/publications/detail/sp/800-209/final
8. Veeam (2023). Data Protection Report. https://www.veeam.com/data-protection-report.html
9. Wasabi (2024). Object Lock Pricing. https://wasabi.com/cloud-storage-pricing/
10. Backblaze (2024). B2 Cloud Storage Pricing. https://www.backblaze.com/b2/cloud-storage-pricing.html