Desde que el fotógrafo Peter Krogh la popularizó hace más de dos décadas, la regla 3-2-1 de backup se ha convertido en el punto de partida de toda política seria de respaldo. En 2025, con ransomware afectando a 1 de cada 4 empresas chilenas según cifras del CSIRT, la regla no solo sigue vigente: evolucionó hacia la variante 3-2-1-1-0, más robusta y alineada con amenazas modernas.

En esta guía explicamos qué significa exactamente la regla 3-2-1, cómo implementarla con tecnologías actuales (cloud, inmutabilidad, air-gap) y por qué sigue siendo el estándar de referencia citado por CISA y NIST.

Contenido

  1. ¿Qué es la regla 3-2-1 y de dónde viene?
  2. Tres copias: producción y dos respaldos
  3. Dos medios distintos: por qué importa
  4. Una copia offsite: tu salvavidas
  5. La evolución 3-2-1-1-0
  6. Implementación práctica con Veeam y cloud
  7. Errores comunes a evitar
  8. Preguntas frecuentes

¿Qué es la regla 3-2-1 y de dónde viene?

La formulación clásica es directa: conservar 3 copias de tus datos, almacenadas en 2 tipos de medios distintos, con 1 copia fuera del sitio principal (offsite). Cada número responde a un riesgo específico que la combinación busca mitigar.

En resumen: 3 copias te protegen contra corrupción, 2 medios contra fallas del hardware y 1 offsite contra desastres físicos (incendio, inundación, robo).

La regla aparece mencionada en la NIST SP 800-34 Rev. 1 (Contingency Planning Guide) y es referencia obligada en marcos como ISO/IEC 27001 Anexo A.8.13 (Information backup).

Tres copias: producción y dos respaldos

La "copia 1" es tu dato en producción: la base de datos SQL, el file server, el tenant de Microsoft 365. Las copias 2 y 3 son respaldos. ¿Por qué dos? Porque la probabilidad estadística de que ambas copias fallen simultáneamente es dramáticamente menor a que una sola lo haga.

Ejemplo para una PYME chilena de 50 empleados

Dos medios distintos: por qué importa

Si las dos copias viven en discos del mismo lote, un defecto de fábrica puede corromperlas a la vez. Un ejemplo real: el defecto "SMART C5" de ciertos modelos WD Red NAS en 2020 dejó a empresas sin copia útil porque todos sus HDDs eran del mismo batch.

MedioVentajasCasos de uso
Disco local (HDD/SSD)Restore rápido, bajo costoBackup primario diario
Cinta LTOAir-gap natural, retención >30 añosArchivado legal, compliance
Object storage (S3)Escalable, immutable, offsiteLong-term retention
NAS dedicadoSeparado de red de producciónRepository secundario

Una copia offsite: tu salvavidas

El offsite es la clave contra desastres catastróficos. Un incendio en el rack, una inundación del subterráneo, o peor, un actor malicioso que cifra todo lo accesible desde la red. La copia offsite debe estar geográficamente distante y idealmente fuera del dominio de autenticación de la red principal.

Contexto Chile: Para empresas con sede en Santiago, guardar la copia offsite en un datacenter de otra región (Valparaíso, Concepción) o directamente en cloud con región fuera del país mitiga el riesgo sísmico. Revisa las recomendaciones sobre cloud backup geográficamente distribuido.

La evolución 3-2-1-1-0

Veeam propuso en 2020 una extensión ampliamente adoptada hoy:

La adición del "1 inmutable" responde a una realidad brutal: los atacantes de ransomware modernos buscan activamente los respaldos y los eliminan o cifran antes de lanzar el ataque final. Una copia inmutable (WORM, Object Lock) no puede ser modificada ni borrada ni siquiera por un administrador con credenciales comprometidas. Profundizamos este tema en nuestra guía de backup inmutable contra ransomware.

Implementación práctica con Veeam y cloud

Aquí un diseño que implementamos habitualmente en clientes UpTech:

[Producción VMware/Hyper-V] ↓ (job diario incremental) [Veeam B&R + Repositorio Local ReFS/XFS] ← Copia 2 (disco) ↓ (Backup Copy Job con GFS) [Repositorio secundario en NAS dedicado] ← Copia 3 (disco distinto) ↓ (Copy to cloud, immutability 30d) [Wasabi S3 / Azure Blob con Object Lock] ← Copia offsite inmutable

Checklist de implementación

Errores comunes a evitar

1. Confundir replicación con backup

Un snapshot replicado en tiempo real no es backup: si el dato primario se corrompe o cifra, la replica reproducirá la corrupción en segundos. Backup implica separación temporal.

2. Guardar backups en el mismo dominio

Si el usuario "backup-admin" existe en tu Active Directory, un atacante con Domain Admin podrá llegar a él. Soluciones como Veeam Hardened Repository corren en Linux fuera del dominio, con cuentas locales y usuarios inmutables.

3. No probar restores

"Un backup no probado no es un backup". Medimos el Mean Time To Recovery (MTTR) en cada prueba y lo comparamos con el RTO comprometido con el negocio.

¿Implementamos tu estrategia 3-2-1-1-0?

UpTech diseña, implementa y opera respaldo empresarial con Veeam, Vembu y cloud inmutable en Chile.

Ver servicio de Respaldo →

Preguntas frecuentes

¿Qué significa la regla 3-2-1 de backup?

Mantener 3 copias de los datos, en 2 tipos de medios distintos, con 1 copia fuera del sitio principal. Protege contra fallas de hardware, corrupción y desastres físicos.

¿Qué es la regla 3-2-1-1-0?

Evolución moderna: 3 copias, 2 medios, 1 offsite, 1 inmutable o air-gapped y 0 errores de verificación. Agrega defensa explícita contra ransomware.

¿El cloud cuenta como copia offsite?

Sí, siempre que la región del proveedor sea distinta a la de producción, la copia esté cifrada en tránsito y reposo, y preferentemente protegida con Object Lock/WORM.

¿Con qué frecuencia debo probar los respaldos?

Restauraciones de prueba al menos una vez por trimestre y mensualmente para sistemas críticos. Veeam SureBackup y Vembu DR Verification automatizan el proceso.

¿Necesito cinta LTO en 2025?

Depende del cumplimiento. Para retención >7 años, archivado legal o industrias reguladas, la cinta sigue ofreciendo el mejor costo/GB y air-gap natural. Para retenciones cortas, object storage es más operativo.