Procedimientos 10 minutos de lectura

COPIAS DE SEGURIDAD: NO EXISTEN HASTA QUE LAS PRUEBAS

Introducción

En ciberseguridad hay verdades incómodas. Una de ellas: no tienes copia de seguridad hasta que la restauras.
Muchas organizaciones descubren que sus backups no funcionan justo el día que más los necesitan. Y lo peor: rara vez es por falta de tecnología, sino por exceso de confianza.

En la mayoría de los casos, las copias existen, pero:

  • No se verifican.
  • No se prueban.
  • No se aíslan.
  • No se protegen frente a ransomware.

Tener un sistema de backup no equivale a estar protegido. Lo importante no es guardar, sino poder recuperar.

Qué exige la ISO/IEC 27002 sobre copias de seguridad

La ISO/IEC 27002:2022 dedica el control A.8.13 “Gestión de copias de seguridad” a este proceso. Su objetivo es garantizar que la información, los sistemas y las configuraciones críticas se puedan restaurar cuando sea necesario.

El estándar no habla solo de hacer copias: exige definir frecuencia, almacenamiento, pruebas y roles. En otras palabras: convertir la copia en un proceso gestionado, auditable y alineado con la continuidad del negocio.

Tipos de copias de seguridad

  • Completa: se guarda todo. Es la base, pero consume más espacio y tiempo.
  • Incremental: copia solo los cambios desde la última ejecución. Eficiente, pero dependiente de la anterior.
  • Diferencial: guarda lo modificado desde la última copia completa. Equilibrada en tiempo y riesgo.
  • Inmutable (WORM): no se pueden modificar ni eliminar. Clave frente a ransomware.
  • Off-site / 3-2-1-2-0: múltiples soportes y ubicaciones, al menos una fuera del entorno principal.

Ejemplo práctico: una restauración que marca la diferencia

Una pyme sufre un ataque de ransomware y todos sus servidores quedan cifrados. Sus backups estaban bien configurados, pero nunca se había probado una restauración completa.
Resultado: los ficheros sí existían, pero el sistema de gestión de pedidos no arrancaba por falta de configuraciones y dependencias.
Tardaron 10 días en recuperar la operación. Lo que falló no fue la copia: fue la ausencia de simulacros.
Restaurar no es copiar archivos: es reconstruir la operativa.

Errores más comunes en backups

  • Respaldar, pero no probar la restauración.
  • Guardar las copias en el mismo entorno comprometido.
  • No separar privilegios (el atacante cifra también los backups).
  • Desconocer qué se copia o cuándo.
  • No incluir configuraciones críticas (DNS, firewalls, claves o scripts).

Buenas prácticas esenciales

  • Aplica la regla 3-2-1-2-0: 3 copias, 2 medios distintos, 1 fuera del entorno, 2 inmutables, 0 errores verificados.
  • Prueba la restauración periódicamente: al menos una vez al trimestre, y documenta los resultados.
  • Automatiza alertas: el fallo de una copia no puede pasar desapercibido.
  • Separa roles y privilegios: quien copia no debe poder borrar.
  • Protege contra ransomware: almacenamiento inmutable y desconectado.
  • Incluye configuraciones: sin ellas, los datos se restauran pero no funcionan.

Checklist rápida de supervivencia

  1. ¿Existe calendario de copias y revisiones?
  2. ¿Sabes exactamente qué datos y sistemas se copian?
  3. ¿Tienes al menos una copia fuera del entorno principal (off-site o nube)?
  4. ¿Las copias son inmutables o aisladas del entorno operativo?
  5. ¿Has probado restauraciones parciales y totales en los últimos 6 meses?
  6. ¿Quién autoriza y documenta los procesos de restauración?

Relación con la continuidad del negocio

Las copias de seguridad son la base técnica de la continuidad operativa. Sin copias fiables, ningún plan de continuidad (BCP) o plan de recuperación ante desastres (DRP) puede funcionar.
Una copia sin restauración verificada es solo un archivo comprimido que da una falsa sensación de control.

En términos de la ISO/IEC 27001, las copias son el puente entre la gestión de incidentes y la resiliencia organizativa. No solo protegen los datos: aseguran que el negocio siga existiendo después del fallo.

Errores estratégicos (nivel dirección)

  • Tratar los backups como tarea técnica, no como política de negocio.
  • No asignar responsables ni presupuesto para revisión y pruebas.
  • No medir tiempos de recuperación (RTO/RPO) frente a objetivos reales.
  • No auditar la cadena completa: copiar → almacenar → restaurar → validar.

Reflexión final

El día que se pierden los datos no es el día del fallo: es el examen de todo el plan de seguridad. Un backup sin restauración es solo una esperanza comprimida en un archivo .zip. La seguridad se demuestra, no se asume.
Si tu empresa depende de datos, tu seguridad depende de tus copias. Pero no de que existan: de que funcionen.

Conclusión

Las copias de seguridad son el último muro entre la pérdida total y la recuperación. Pero ese muro solo se sostiene si se prueba, se audita y se documenta.
En Gondor ayudamos a implantar políticas de backup verificables y medibles, para que la seguridad no sea una ilusión, sino un proceso continuo.