Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es la estrategia de respaldo 3-2-1? Ejemplos y mejores prácticas
Cybersecurity 101/Ciberseguridad/Estrategia de respaldo 3-2-1

¿Qué es la estrategia de respaldo 3-2-1? Ejemplos y mejores prácticas

La estrategia de respaldo 3-2-1 requiere tres copias de los datos en dos tipos de medios, con una copia almacenada fuera del sitio. Conozca las variantes modernas y las mejores prácticas para la defensa contra ransomware.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es la estrategia de respaldo 3-2-1?
Cómo se relaciona la estrategia de respaldo 3-2-1 con la ciberseguridad
Componentes principales de la estrategia de respaldo 3-2-1
Variaciones modernas: Por qué 3-2-1 por sí solo no es suficiente
Arquitectura de la estrategia de respaldo 3-2-1
Cómo implementar una estrategia de respaldo 3-2-1
Paso 1: Identificar y clasificar los datos críticos
Paso 2: Seleccionar dos medios de almacenamiento distintos
Paso 3: Establecer su copia fuera del sitio
Paso 4: Automatizar y monitorear
Paso 5: Probar restauraciones y documentar resultados
Beneficios clave de la estrategia de respaldo 3-2-1
Desafíos y limitaciones de la estrategia de respaldo 3-2-1
Errores comunes en la estrategia de respaldo 3-2-1
Mejores prácticas para la estrategia de respaldo 3-2-1
Cómo el ransomware apunta a la infraestructura de respaldo
Conclusiones clave

Entradas relacionadas

  • ¿Qué es el Modelo Purdue? Definición, niveles y mejores prácticas
  • ¿Qué es Secure Web Gateway (SWG)? Defensa de red explicada
  • ¿Qué es la inyección de comandos del sistema operativo? Explotación, impacto y defensa
  • Estadísticas de malware
Autor: SentinelOne | Revisor: Arijeet Ghatak
Actualizado: May 25, 2026

¿Qué es la estrategia de respaldo 3-2-1?

La estrategia de respaldo 3-2-1, también llamada regla de respaldo 3-2-1, es un marco de protección de datos basado en tres reglas: mantener 3 copias de sus datos, almacenarlas en 2 tipos de medios diferentes y conservar 1 copia fuera del sitio. Peter Krogh formalizó el concepto en The DAM Book: Digital Asset Management for Photographers (O'Reilly Media, 2009), destilando las mejores prácticas existentes en un marco memorable y accionable. La guía de respaldos de CISA la cita como el estándar canónico de respaldo, y NIST CSF refuerza sus principios a través del control PR.DS-11: "Se crean, protegen, mantienen y prueban respaldos de datos."

El marco se originó en la fotografía, no en TI, lo que subraya su universalidad independiente de la tecnología. Pero la universalidad tiene límites. El 3-2-1 tradicional fue diseñado para fallas de hardware y desastres en el sitio, no para ataques adversarios contra la infraestructura de respaldo. Los operadores de ransomware ahora buscan primero los respaldos, destruyendo las opciones de recuperación antes de exigir el pago. Ese cambio ha producido variaciones modernas que vale la pena comprender antes de elegir una vía de implementación.

Cómo se relaciona la estrategia de respaldo 3-2-1 con la ciberseguridad

La estrategia de respaldo solía pertenecer a operaciones de TI. El ransomware la trasladó al escritorio del equipo de seguridad.

NIST SP 800-209 advierte explícitamente que el ransomware ha evolucionado para incluir también otros componentes de almacenamiento, como NAS y dispositivos de respaldo, permitiendo el robo de credenciales, la escalada de privilegios, la corrupción, pérdida o alteración de datos, y el compromiso de futuros respaldos. Cuando los atacantes comprometen su infraestructura de respaldo, la estrategia 3-2-1 se convierte en la diferencia entre un incidente recuperable y una interrupción prolongada.

Un informe sobre ransomware Beast describió las técnicas de destrucción de respaldos como una práctica deliberada compartida dentro del ecosistema de ransomware. Sus respaldos ya no son una red de seguridad. Son un objetivo principal de ataque, y su estrategia de respaldo es un control de seguridad. Comprender cada componente del marco es el primer paso para defenderlo.

Componentes principales de la estrategia de respaldo 3-2-1

Cada componente del marco 3-2-1 aborda un modo de falla específico. La guía de opciones de respaldo de CISA y los estándares de respaldo de NCCoE definen formalmente los tres:

  • Tres copias de los datos (1 primaria + 2 respaldos) Elimina puntos únicos de falla en todos los escenarios. Si un respaldo se corrompe o elimina, una segunda copia independiente sobrevive. Esta es su redundancia básica.
  • Dos tipos de medios diferentes Almacena copias en diferentes tecnologías de almacenamiento subyacentes, como un arreglo de discos y almacenamiento de objetos en la nube, o SSD y cinta. Una falla en el arreglo RAID no afectará su biblioteca de cintas. Una interrupción del proveedor de nube no afectará su almacenamiento local. La diversidad de medios protege contra fallas catastróficas específicas de la tecnología.
  • Una copia fuera del sitio Al menos una copia reside en una ubicación geográficamente separada de su sitio principal. Incendios, inundaciones, robo físico o ransomware que se propaga lateralmente en su red pueden destruir todo en un solo sitio. La separación geográfica rompe ese radio de impacto.

Estos tres componentes forman la base, pero los patrones de ataque modernos han expuesto brechas que el marco original nunca fue diseñado para abordar.

Variaciones modernas: Por qué 3-2-1 por sí solo no es suficiente

La regla tradicional de respaldo 3-2-1 asume que las fallas son accidentales, no adversarias. Los operadores de ransomware modernos apuntan activamente a los repositorios de respaldo, eliminan copias sombra y comprometen credenciales de administración de respaldos. Tres variaciones abordan esta brecha:

  • 3-2-1-1-0 (Estándar empresarial) Agrega una copia inmutable o aislada y cero errores mediante pruebas de recuperación verificadas. Esta variación se presenta ampliamente en la orientación moderna de respaldos como un enfoque empresarial más sólido. El "0" requiere monitoreo de respaldos y pruebas regulares de restauración, asegurando que nunca descubra un respaldo corrupto durante un incidente activo.
  • 3-2-1-1 (Enfoque intermedio) Agrega una copia fuera de línea o inmutable sin la verificación obligatoria de 3-2-1-1-0. Es un paso práctico para equipos que necesitan mayor resiliencia ante ransomware sin toda la complejidad operativa.
  • 4-3-2 (Enfoque en resiliencia geográfica) Mantiene cuatro copias en total en tres ubicaciones con dos copias almacenadas fuera del sitio en redes separadas. Esta variación prioriza la distribución geográfica y múltiples vías de recuperación para la continuidad del negocio, diferenciándose del enfoque de inmutabilidad de 3-2-1-1-0.
VariaciónFortaleza principalCompromiso clave
3-2-1Simplicidad, avalado por NIST/CISAInsuficiente contra ransomware dirigido a respaldos
3-2-1-1Agrega protección fuera de líneaSin garantía de recuperación verificada
3-2-1-1-0Inmutabilidad + verificaciónMayor costo de implementación y complejidad operativa
4-3-2Máxima resiliencia ante desastres a nivel de sitioComplejidad logística geográfica

Elegir una variación depende de su perfil de riesgo y madurez operativa. La siguiente sección desglosa cómo implementar la estrategia en la práctica.

Arquitectura de la estrategia de respaldo 3-2-1

La implementación abarca tres capas: arquitectura de almacenamiento, controles de protección y procesos de verificación.

  • Capa 1: Arquitectura de almacenamiento Despliega sus datos primarios en producción, un primer respaldo en almacenamiento local o conectado a la red para recuperación rápida, y un segundo respaldo en una ubicación geográficamente separada. Cada capa sirve a un escenario de recuperación diferente: los respaldos locales restauran archivos individuales rápidamente, los respaldos fuera del sitio recuperan ante desastres a nivel de sitio.
  • Capa 2: Controles de protección Cada copia requiere controles de acceso independientes. Según la guía de ransomware de CISA, los operadores de ransomware modernos "intentan eliminar instantáneas de respaldo, cifrar repositorios de respaldo, deshabilitar el software de respaldo, [y] acceder a sistemas de respaldo en la nube usando credenciales comprometidas." Las credenciales compartidas en todas las ubicaciones de respaldo significan que una sola cuenta comprometida otorga a los atacantes acceso a cada copia.

Para implementaciones 3-2-1-1-0, la copia inmutable utiliza bloqueos de retención que impiden la modificación o eliminación durante períodos de retención establecidos. Las copias aisladas requieren aislamiento físico o lógico de red con controles estrictos de proceso que regulan cuándo se conecta la brecha para la transferencia de datos.

  • Capa 3: Verificación La guía de defensa de CISA recomienda verificar que su equipo pueda restaurar datos que cubran al menos siete días de operaciones. La verificación mensual de restauración de archivos, pruebas trimestrales de recuperación a nivel de aplicación y ejercicios anuales de conmutación por error de todo el entorno forman una cadencia de pruebas práctica. El "0" en 3-2-1-1-0 existe porque los respaldos no probados no proporcionan recuperación confiable durante una crisis.

La plataforma Singularity de SentinelOne agrega una capa de defensa complementaria aquí. Su IA conductual rastrea continuamente las operaciones en los endpoints protegidos, habilitando la  recuperación por reversión ante ransomware a estados previos a la infección. El agente protege la infraestructura de Windows Volume Shadow Copy Service (VSS), que las variantes de ransomware suelen intentar eliminar antes de iniciar el cifrado.

Con las capas de implementación en su lugar, el siguiente paso es poner la estrategia en práctica.

Cómo implementar una estrategia de respaldo 3-2-1

Pasar del concepto a la producción requiere un despliegue estructurado. Los siguientes pasos recorren una secuencia práctica de implementación, desde el alcance hasta la validación.

Paso 1: Identificar y clasificar los datos críticos

Comience inventariando los datos sin los cuales su organización no puede operar. Esto incluye bases de datos de producción, configuraciones de aplicaciones, credenciales de autenticación, claves de cifrado y documentación de recuperación. Clasifique los datos por criticidad para el negocio para asignar la frecuencia de respaldo y los períodos de retención apropiados a cada nivel. No todo requiere instantáneas horarias; ajustar la cadencia de respaldo a los requisitos reales de  RTO y RPO evita tanto la sobreaprovisionamiento como las brechas.

Paso 2: Seleccionar dos medios de almacenamiento distintos

Elija dos tecnologías de almacenamiento con modos de falla independientes. Las combinaciones comunes incluyen:

  • Disco local o NAS + almacenamiento de objetos en la nube: Recuperación local rápida con separación geográfica vía nube
  • SSD + cinta (WORM): Respaldo primario de alta velocidad con copia secundaria físicamente fuera de línea
  • Arreglo local + segundo proveedor de nube: Redundancia multicloud contra el compromiso de un solo proveedor

El objetivo es garantizar que una falla que afecte a un medio, ya sea por hardware, software o credenciales, no alcance al otro.

Paso 3: Establecer su copia fuera del sitio

Su copia fuera del sitio debe estar geográfica y lógicamente separada de su sitio principal. El respaldo en la nube a una región o proveedor diferente cumple este requisito si se configura como un respaldo programado real, no una sincronización en tiempo real. Para organizaciones que implementan 3-2-1-1-0, aquí también se configura el  almacenamiento inmutable con bloqueos de retención y credenciales de acceso independientes.

Paso 4: Automatizar y monitorear

Los procesos manuales de respaldo fallan bajo presión operativa. Automatice la programación de respaldos, la aplicación de retención y las alertas por trabajos fallidos. Monitoree anomalías en los volúmenes de respaldo: actividad de cifrado inesperada, cambios masivos de archivos o acceso desde cuentas no relacionadas con respaldos indican posible compromiso. La guía de ransomware de CISA advierte específicamente que los atacantes apuntan al software y credenciales de respaldo, por lo que monitorear su infraestructura de respaldo es tan importante como monitorear los sistemas de producción.

Paso 5: Probar restauraciones y documentar resultados

Un respaldo que nunca se ha restaurado es una suposición, no un control. Realice restauraciones mensuales a nivel de archivo, pruebas trimestrales de recuperación de aplicaciones y conmutaciones por error anuales de todo el entorno. Documente los tiempos reales de recuperación de cada prueba para que sus objetivos de RTO reflejen la realidad, no estimaciones.

Con una implementación funcional, la estrategia ofrece varias ventajas concretas para organizaciones que enfrentan escenarios de pérdida de datos tanto accidentales como adversarios.

Beneficios clave de la estrategia de respaldo 3-2-1

Una estrategia de respaldo 3-2-1 implementada correctamente ofrece ventajas medibles en recuperación, cumplimiento y resiliencia operativa.

  • Recuperación ante ransomware sin pago de rescate: Las organizaciones con arquitecturas de respaldo adecuadas están mejor posicionadas para recuperar datos cifrados sin depender del pago de rescate. Los respaldos validados brindan a los respondedores una vía de recuperación que no depende de la cooperación del atacante.
  • Defensa en profundidad ante el compromiso de la infraestructura: Las arquitecturas de respaldo híbridas que combinan almacenamiento local y en la nube mantienen la capacidad de recuperación incluso cuando un entorno está completamente comprometido. Los respaldos locales permiten una recuperación rápida ante incidentes comunes, mientras que los respaldos en la nube proporcionan separación geográfica para escenarios de desastre.
  • Cumplimiento y alineación con auditorías: La estructura 3-2-1 se mapea directamente con el  NIST CSF, respaldando los requisitos básicos de protección de datos. Este mapeo puede simplificar la preparación de auditorías y los informes de cumplimiento.
  • Reducción del bloqueo de proveedor en la nube: Las arquitecturas de respaldo multicloud reducen su exposición a incidentes de seguridad de un solo proveedor. La guía de respaldos de CISA recomienda usar soluciones multicloud para protegerse contra escenarios en los que todas las cuentas bajo un proveedor se vean afectadas.
  • Gestión de RTO/RPO en operaciones distribuidas: Mantener copias locales permite restauraciones rápidas ante incidentes rutinarios, mientras que las copias fuera del sitio preservan la capacidad de recuperación ante eventos catastróficos. Este enfoque por niveles le permite ajustar  RTO y RPO a la criticidad real del negocio en lugar de aplicar un estándar único de recuperación a todas las cargas de trabajo.

Estos beneficios se potencian cuando se combinan con variaciones modernas como 3-2-1-1-0, que agregan inmutabilidad y recuperación verificada al marco básico.

Desafíos y limitaciones de la estrategia de respaldo 3-2-1

El marco 3-2-1 proporciona una protección fundamental sólida, pero tiene limitaciones que los entornos modernos exponen.

  • El ransomware destruye activamente los respaldos La limitación más significativa es el objetivo adversario. Los atacantes intentan rutinariamente corromper o eliminar respaldos para eliminar opciones de recuperación. El 3-2-1 tradicional no proporciona defensa específica contra este patrón. Si sus respaldos permanecen conectados a los sistemas de producción, los atacantes pueden comprometerlos antes de que comience la  respuesta a incidentes.
  • La infraestructura de respaldo es una superficie de ataque Las herramientas de respaldo tienen sus propias vulnerabilidades. Un  boletín de vulnerabilidad de CISA documenta CVE-2025-68435, una vulnerabilidad de omisión de autenticación en software de respaldo donde el middleware de autenticación no se aplica correctamente a los endpoints de la API. Debe aplicar la misma  disciplina de gestión de vulnerabilidades al software de respaldo que a cualquier otro sistema empresarial.
  • La sincronización en la nube no es respaldo Los servicios de sincronización en la nube no cumplen el requisito de copia fuera del sitio. La sincronización constante significa que si el ransomware cifra sus datos primarios, ambos conjuntos de datos se cifran. Esta idea errónea genera una falsa confianza sin protección real.
  • Conflictos entre inmutabilidad y cumplimiento Los requisitos de retención y eliminación de datos pueden entrar en conflicto con las configuraciones de inmutabilidad. Antes de implementar  almacenamiento inmutable basado en la nube en entornos regulados, puede necesitar una revisión legal para conciliar las obligaciones de protección de datos con los bloqueos de retención.

Estas limitaciones son gestionables, pero ignorarlas crea brechas que los atacantes explotan. Más allá de las limitaciones inherentes de la estrategia, los errores de implementación introducen riesgos adicionales.

Errores comunes en la estrategia de respaldo 3-2-1

Incluso implementaciones de respaldo bien intencionadas fallan cuando los equipos repiten algunos errores comunes. Evitar estos errores cierra las brechas de las que dependen los operadores de ransomware.

  • Compartir credenciales en todas las ubicaciones de respaldo: Una sola credencial comprometida otorga acceso a cada copia, anulando por completo la diversificación geográfica. Las credenciales del sistema de respaldo deben gestionarse por separado de los almacenes de credenciales de producción.
  • Tratar el almacenamiento conectado a la red como "fuera del sitio": Un servidor de respaldo en la misma red no es fuera del sitio. El ransomware que se propaga lateralmente alcanza el almacenamiento adyacente en la red. Se necesita aislamiento real de red y geográfico, lo que significa instalaciones separadas, no servidores separados en el mismo centro de datos.
  • No probar nunca las restauraciones: Una crítica experta en un boletín de SANS señaló que la estrategia tradicional de copias 3-2-1 no facilita la recuperación en horas o días para aplicaciones críticas. Si nunca ha probado una restauración completa, no tiene una estrategia de respaldo. Tiene una estrategia de esperanza.
  • Ejecutar solo cadenas de respaldos incrementales: La corrupción o eliminación de cualquier respaldo incremental rompe toda la cadena de restauración. Se requieren respaldos completos regulares para evitar la falla total de la cadena.
  • Otorgar privilegios excesivos a las cuentas de respaldo: Según la guía de respaldos de CISA, las cuentas de respaldo con acceso de administrador de dominio se convierten en objetivos de alto valor. Las cuentas con acceso root no deben usarse para operaciones diarias de respaldo. Aplique los principios de  zero-trust: solo los privilegios mínimos necesarios.
  • Ignorar los parches del software de respaldo: La infraestructura de respaldo tiene CVEs como cualquier otro software. Trate las consolas de gestión de respaldos con la misma urgencia de parches que su  seguridad de endpoints.
  • Excluir dependencias de recuperación del alcance del respaldo: Las directrices de respaldo de NIST especifican que los planes de respaldo deben incluir contraseñas, certificados digitales, claves de cifrado y otra información necesaria para reanudar operaciones rápidamente. Respaldar datos sin respaldar las claves para descifrarlos produce el mismo resultado que no tener respaldo alguno.

Cada uno de estos errores reduce la protección efectiva que brinda su arquitectura 3-2-1. Las siguientes mejores prácticas los abordan directamente.

Mejores prácticas para la estrategia de respaldo 3-2-1

Estas seis prácticas refuerzan su implementación 3-2-1 contra fallas accidentales y ataques deliberados a la infraestructura de respaldo.

  1. Implemente almacenamiento inmutable con bloqueos de retención Los repositorios de respaldo reforzados deben usar credenciales de un solo uso, acceso root deshabilitado y eliminación de protocolos innecesarios. El objetivo es un repositorio difícil de modificar incluso si se compromete un servidor de gestión.
  2. Establezca copias aisladas La guía de respaldo de NIST indica a las organizaciones que aseguren archivos de respaldo fuera de línea con intervalos de actualización que satisfagan los requisitos de RPO y RTO. Tanto el aislamiento físico como el lógico con controles de acceso estrictos son implementaciones válidas.
  3. Cifre todo, restrinja los permisos de restauración Cifre todos los datos de respaldo en reposo y en tránsito. De manera crítica, restrinja los permisos de restauración más estrictamente que los de respaldo. Si los atacantes obtienen acceso de escritura, controles de restauración más estrictos pueden ayudar a prevenir la extracción de datos.
  4. Implemente monitoreo conductual en la infraestructura de respaldo La plataforma Singularity de SentinelOne detecta anomalías de comportamiento en los volúmenes de respaldo en tiempo real, deteniendo el ransomware en la ejecución antes de que alcance los archivos de respaldo.
  5. Mantenga documentación de recuperación fuera de línea NIST IR 8374 establece que los planes de respuesta deben existir fuera de línea porque el incidente puede eliminar el acceso a copias digitales dentro de la red objetivo. Runbooks de recuperación impresos o en USB cifrado son un control legítimo de resiliencia.
  6. Diversifique medios y proveedores Use una combinación de disco, almacenamiento de objetos en la nube y cinta WORM (write-once-read-many) en varios proveedores. La cinta WORM sigue siendo viable precisamente porque está fuera de línea por defecto. Las estrategias multiproveedor reducen la exposición a compromisos de autenticación de un solo proveedor.

Aplicar estas prácticas fortalece su arquitectura, pero comprender cómo operan los atacantes muestra por qué son importantes. Los incidentes reales confirman que los atacantes tratan los sistemas de respaldo como objetivos principales.

Cómo el ransomware apunta a la infraestructura de respaldo

La destrucción de respaldos no es un efecto secundario de las operaciones de ransomware; es una fase deliberada y documentada. Los siguientes incidentes ilustran cómo los atacantes abordan la infraestructura de respaldo en la práctica.

  • Beast Ransomware: destrucción de respaldos como táctica documentada Un  informe sobre Beast ransomware reveló que el manual operativo de la banda incluía técnicas dirigidas a respaldos compartidas abiertamente dentro del ecosistema de ransomware, tratando la destrucción de respaldos como procedimiento estándar.
  • Negación de recuperación como fase formal de ataque Un  informe M-Trends 2026 describió atacantes dedicando más tiempo a mapear y comprometer sistemas de respaldo antes de la detonación. Si sus repositorios de respaldo son accesibles por red y no se monitorean de forma independiente, esa ventana extendida da a los atacantes más tiempo para comprometer los respaldos.
  • Disrupción en el sector público y presión de recuperación Una  encuesta de resiliencia de GovTech reportó disrupciones en el sector público relacionadas con ransomware, incluyendo oficinas fuera de línea e impactos en la respuesta de emergencia, con un mayor apoyo de liderazgo en ciberseguridad correlacionado con recuperaciones más exitosas.

Estos incidentes refuerzan que la estrategia de respaldo por sí sola no es suficiente. Combinar resiliencia con defensa activa en endpoints cierra la brecha entre tener respaldos y poder usarlos.

Ciberseguridad impulsada por la IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Conclusiones clave

La estrategia de respaldo 3-2-1 sigue siendo la base de la protección de datos, y el ransomware la ha elevado de una operación de TI a un control de seguridad. Los atacantes modernos apuntan a los respaldos como objetivo principal, lo que hace que variaciones como 3-2-1-1-0 con inmutabilidad y pruebas de recuperación verificadas sean cada vez más importantes para la resiliencia empresarial. 

Combine su arquitectura de respaldo con IA conductual y capacidades de reversión autónoma para detener el ransomware antes de que alcance sus respaldos y revertir el daño cuando lo haga.

Preguntas frecuentes

La estrategia de respaldo 3-2-1 (también conocida como la regla de respaldo 3-2-1) es un marco de protección de datos que requiere tres copias de sus datos, almacenadas en dos tipos de medios diferentes, con una copia mantenida fuera del sitio. CISA y NIST la respaldan como estándar básico. 

El marco protege contra fallos de hardware, desastres a nivel de sitio y corrupción de datos al garantizar que ningún evento único pueda destruir todas las copias de sus datos simultáneamente.

La estrategia 3-2-1 requiere tres copias, dos tipos de medios y una copia fuera del sitio. La 3-2-1-1-0 añade dos componentes: una copia inmutable o aislada que los atacantes no pueden modificar con credenciales comprometidas, y cero errores verificados mediante pruebas regulares de recuperación. 

Estas adiciones abordan específicamente la práctica de los operadores de ransomware de atacar y destruir la infraestructura de respaldo antes de cifrar los datos de producción.

El almacenamiento en la nube cumple con el requisito fuera del sitio solo si es una copia de seguridad real, no un servicio de sincronización. La sincronización en la nube refleja los cambios en tiempo real, lo que significa que el cifrado de ransomware se propaga a ambas copias simultáneamente. 

Una copia de seguridad adecuada en la nube utiliza instantáneas programadas con políticas de retención independientes, credenciales de acceso separadas y, idealmente, bloqueos de almacenamiento inmutables para evitar modificaciones.

Siga una cadencia escalonada: verificación mensual de restauración de archivos desde repositorios de respaldo aleatorios, pruebas trimestrales de recuperación a nivel de aplicación en entornos aislados y ejercicios anuales de conmutación por error de todo el entorno. 

CISA recomienda verificar que su equipo pueda restaurar al menos siete días de operaciones. Documente los tiempos reales de recuperación durante cada prueba para medir su RTO real frente al supuesto.

Las copias de seguridad inmutables correctamente configuradas no pueden ser cifradas, modificadas ni eliminadas durante el período de retención. Sin embargo, una inmutabilidad mal configurada, como bloqueos de retención con brechas o cuentas de gestión con privilegios excesivos, aún puede generar riesgos. 

El aislamiento físico proporciona un control complementario: la inmutabilidad protege contra la compromisión de credenciales, mientras que el aislamiento físico protege contra la compromisión de la infraestructura en general.

NIST especifica que los planes de respaldo deben cubrir contraseñas, certificados digitales, claves de cifrado y toda la información necesaria para reanudar las operaciones. 

Muchas organizaciones respaldan datos sin respaldar las credenciales y claves necesarias para acceder a ellos, lo que produce el mismo resultado que no tener respaldo. La documentación de recuperación, las configuraciones de red y las dependencias de aplicaciones también deben incluirse en el alcance de su respaldo.

Descubre más sobre Ciberseguridad

Estadísticas de filtraciones de datosCiberseguridad

Estadísticas de filtraciones de datos

Consulta las últimas estadísticas de filtraciones de datos en 2026 para ver a qué se enfrentan las empresas. Descubre cómo los actores de amenazas provocan filtraciones de datos, a quiénes están atacando y más detalles.

Seguir leyendo
Estadísticas de ataques DDoSCiberseguridad

Estadísticas de ataques DDoS

Los ataques DDoS son cada vez más frecuentes, breves y difíciles de ignorar. Nuestra publicación sobre estadísticas de ataques DDoS le muestra quiénes están siendo atacados actualmente, cómo se desarrollan las campañas y más.

Seguir leyendo
Estadísticas de amenazas internasCiberseguridad

Estadísticas de amenazas internas

Obtenga información sobre tendencias, novedades y más acerca de las últimas estadísticas de amenazas internas para 2026. Descubra a qué peligros se enfrentan actualmente las organizaciones, quiénes han sido afectados y cómo mantenerse protegido.

Seguir leyendo
¿Qué es un Infostealer? Cómo funciona el malware de robo de credencialesCiberseguridad

¿Qué es un Infostealer? Cómo funciona el malware de robo de credenciales

Los infostealers extraen de forma silenciosa contraseñas, cookies de sesión y datos del navegador de sistemas infectados. Las credenciales robadas alimentan el ransomware, la toma de cuentas y el fraude.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español