FraudeDigital // defensa: copias-seguridad clase: guía dual · público + técnico
Defensa Básica · Resiliencia de Datos

Copias de Seguridad: la única defensa que funciona de verdad contra el ransomware

Para todos: la regla 3-2-1 explicada sin tecnicismos, y cómo automatizarla en 15 minutos. Para profesionales: inmutabilidad, air-gapping y por qué el backup también puede ser cifrado por el atacante.

Miguel Ángel Carriazo 3 julio 2026 4 min de lectura
← Volver a Defensas
01 // Para todos Público general

¿Por qué la copia de seguridad es tu única red de rescate real?

Cuando el ransomware cifra tus archivos (fotos, documentos, todo), pagar el rescate no garantiza recuperarlos, y además financia al criminal para el siguiente ataque. La única garantía real de recuperación es tener una copia de esos archivos en otro lugar, hecha antes del ataque.

Piensa en la copia de seguridad no como algo técnico, sino como un seguro: no evita que pase el problema, pero hace que sus consecuencias sean gestionables en vez de catastróficas.

⚠️ Ejemplo real que te puede pasar mañana:

Abres un adjunto de una factura falsa (ver nuestro expediente de Ransomware como Estafa). En segundos, todos tus documentos, fotos familiares y archivos de trabajo quedan cifrados con extensión desconocida. Aparece una nota pidiendo 500€ en Bitcoin. Sin copia de seguridad, tu única opción real es perder esos archivos para siempre o pagar sin garantías.

La regla que lo resume todo: 3-2-1

  • 3 copias de tus datos importantes: el original + 2 copias.
  • 2 soportes distintos: por ejemplo, tu disco duro + un disco externo. No sirve tener 3 copias en el mismo disco.
  • 1 copia fuera de casa (en la nube, o un disco externo que no esté siempre conectado). Si un ransomware cifra tu ordenador y el disco externo está conectado permanentemente, cifra también ese disco.
✅ Regla de oro: al menos una copia debe estar desconectada de tu red habitual (un disco externo que solo conectas para hacer backup, o un servicio en la nube con versionado). Si todo está siempre conectado, todo puede cifrarse a la vez.
02 // Para todos Cómo automatizarlo en 15 minutos

Cómo montar tu copia de seguridad sin complicarte

No necesitas ser técnico. Con esto tienes cubierto lo esencial:

  1. Activa el backup automático en la nube que ya tienes: Google Fotos/Drive, iCloud, OneDrive. La mayoría de móviles ya suben fotos automáticamente si lo activas en ajustes.
  2. Para documentos importantes del ordenador, usa la carpeta sincronizada de tu servicio en la nube (Google Drive, Dropbox, OneDrive) — cualquier archivo que guardes ahí queda respaldado automáticamente.
  3. Añade un disco externo como segunda capa para todo lo que no cabe cómodamente en la nube gratuita (vídeos, archivos grandes). Conéctalo una vez a la semana, copia, desconecta.
  4. Verifica que funciona — de vez en cuando abre un archivo desde la copia para confirmar que realmente se puede recuperar. Un backup que nunca has probado no es un backup fiable.

El tiempo real de configuración inicial: 15 minutos para activar el backup en la nube. El disco externo añade otros 10 minutos de compra + configuración inicial.

🛡️ A PARTIR DE AQUÍ · PARA ADMINISTRADORES Y TÉCNICOS 🛡️
03 // Para técnicos Inmutabilidad · Air-gapping

Por qué el ransomware moderno también ataca los backups

El ransomware actual no se limita a cifrar archivos activos: busca activamente destruir también las copias de seguridad antes de exigir el rescate, para eliminar la vía de recuperación gratuita.

🔹 Enumeración y borrado de shadow copies

Familias como Conti o LockBit ejecutan comandos (vssadmin delete shadows /all) para eliminar las copias de sombra de Windows antes de cifrar, impidiendo la restauración local nativa del sistema operativo.

🔹 Backups conectados = backups vulnerables

Si el disco de backup está permanentemente montado con permisos de escritura (NAS en red, disco externo siempre conectado), el ransomware puede cifrarlo igual que cualquier otro volumen accesible.

🔹 Backups en la nube con acceso comprometido

Si las credenciales de la cuenta de backup en la nube están comprometidas (por reutilización de contraseña, ver nuestra guía de contraseñas), el atacante puede eliminar también esas copias antes de cifrar el equipo local.

Concepto clave — air-gapping: una copia verdaderamente resiliente debe estar físicamente o lógicamente desconectada la mayor parte del tiempo, de forma que ningún proceso malicioso en ejecución pueda alcanzarla.

04 // Para técnicos Estrategia organizativa

Estrategia de backup a nivel organizativo

Para empresas y organizaciones, la regla 3-2-1 se refuerza con capas adicionales:

🔹 Backups inmutables (WORM)

Soluciones tipo Object Lock (S3 Object Lock, Azure Immutable Blob Storage) permiten configurar copias que no pueden ser modificadas ni eliminadas durante un periodo fijo, ni siquiera por una cuenta administrativa comprometida.

🔹 Segregación de credenciales de backup

Las credenciales de acceso al sistema de backup deben ser distintas de las credenciales de administración habituales, idealmente con MFA reforzado (FIDO2) y sin pertenecer al mismo dominio/tenant que podría verse comprometido.

🔹 Pruebas de restauración periódicas (DR drills)

Un backup sin prueba de restauración periódica es una suposición, no una garantía. La cadencia recomendada depende de la criticidad, pero como mínimo debe validarse trimestralmente en un entorno aislado.

Resumen: la regla 3-2-1 sigue siendo la base, pero contra ransomware dirigido hay que añadir inmutabilidad y segregación de credenciales — de lo contrario, el atacante con acceso administrativo puede destruir también la red de rescate.

Sobre el autor
Miguel Ángel Carriazo · vCISO

vCISO · Arquitecto de Soluciones de Infraestructura y Ciberseguridad | Gobierno, Riesgo y Cumplimiento (GRC) | Gobierno de IA · ISO 42001 | Fundador de FraudeDigital.es

Compartir artículo