Mejores prácticas de la política de retención de copias de seguridad: Guía completa

¿Qué es la retención de copias de seguridad?

La retención de copias de seguridad es la práctica de mantener copias de datos críticos durante períodos de tiempo definidos, regida por requisitos regulatorios, legales y de ciberseguridad. Determina cuánto tiempo se conservan los puntos de recuperación, dónde se almacenan y cómo se protegen frente a los ataques que comprometen el entorno de producción.

Las consecuencias son reales. En el incidente de ransomware de MGM Resorts en 2023, la empresa reveló un impacto de aproximadamente 100 millones de dólares en el EBITDA ajustado en una presentación ante la SEC. Cuando los atacantes acceden o corrompen tus copias de seguridad, el impacto empresarial va más allá del tiempo de inactividad de TI y se convierte en un evento financiero a nivel corporativo.

Muchas empresas aún tratan la retención de copias de seguridad como un problema logístico de almacenamiento. La diferencia entre las organizaciones que se recuperan y las que pagan rescates radica en cómo diseñan, implementan y aplican sus políticas de retención de copias de seguridad.

La Guía #StopRansomware de CISA designa la retención de copias de seguridad como el Objetivo de Desempeño de Ciberseguridad Intersectorial 2.R: mantener copias de seguridad fuera de línea, cifradas, de datos críticos y probar regularmente su disponibilidad e integridad. Este es un estándar federal de ciberseguridad.

Los grupos de ransomware ahora apuntan a la infraestructura de copias de seguridad como objetivo principal. Tu política de retención de copias de seguridad es el plan que determina si esas copias sobreviven.

Relación de la política de retención de copias de seguridad con la ciberseguridad

La política de retención de copias de seguridad es un control defensivo. El Marco de Ciberseguridad NIST 2.0 lo codifica en la Subcategoría PR.DS-11, exigiendo que las copias de seguridad se creen, protejan, mantengan y prueben. Esto sitúa la retención de copias de seguridad dentro de la arquitectura de controles de protección junto con la protección de endpoints, la gestión de accesos y la segmentación de red.

La relevancia en ciberseguridad se hace evidente al analizar el comportamiento de los atacantes. Según NIST SP 800-209, los atacantes pueden interferir con el propio proceso de copia de seguridad, envenenando gradualmente las copias futuras hasta que las únicas disponibles ya están corrompidas. La duración de la retención determina directamente si se mantiene un punto de recuperación limpio anterior al compromiso.

Durante el incidente de ransomware de Colonial Pipeline en 2021, el Departamento de Justicia de EE. UU. describió un pago de rescate de 4,4 millones de dólares en su comunicado. La retención de copias de seguridad no detiene el ransomware por sí sola, pero determina si puedes restaurar y reanudar sin negociar.

Tu política de retención de copias de seguridad define hasta qué punto puedes restaurar, cuán rápido puedes recuperarte y si los atacantes pueden eliminar tu capacidad de rechazar una demanda de rescate.

Cómo funcionan las políticas de retención de copias de seguridad

Una política de retención de copias de seguridad regula el ciclo de vida de cada copia de seguridad que crea tu organización. Especifica la frecuencia de creación, ubicaciones de almacenamiento, mecanismos de protección, duración de la retención y procedimientos de eliminación para cada nivel de clasificación de datos.

El marco 3-2-1-1-0

El estándar de la industria ha evolucionado de la regla 3-2-1 hacia el marco 3-2-1-1-0 para abordar las tácticas actuales de ransomware.

El marco exige:

• 3 copias de seguridad además de los datos de producción
• 2 tipos de medios diferentes para proteger contra distintas clases de amenazas
• 1 copia almacenada fuera del sitio para separación geográfica
• 1 copia inmutable o aislada (air-gapped), más 0 errores en las pruebas de verificación de copias de seguridad

El cumplimiento de todos estos requisitos reduce la probabilidad de que un solo compromiso elimine todas las opciones de recuperación.

Niveles de retención y duración

Tu política de retención de copias de seguridad debe definir los períodos de retención según la clasificación de datos, los requisitos regulatorios y los objetivos de recuperación. Según la Peer Community de Gartner, los profesionales empresariales suelen distinguir entre copias de seguridad para recuperación ante desastres (30 a 90 días) y datos archivados para cumplimiento (regidos por mandatos sectoriales).

Dos objetivos basados en el tiempo impulsan cada decisión de retención:

1. Recovery Point Objective (RPO): La antigüedad máxima aceptable de los datos para la restauración. Un RPO de cuatro horas significa que no puedes perder más de cuatro horas de datos.
2. Recovery Time Objective (RTO): El tiempo máximo aceptable de inactividad. Esto determina cuán rápido tu infraestructura de retención debe entregar puntos de recuperación utilizables.

En conjunto, RPO y RTO determinan la frecuencia de creación de copias de seguridad y la rapidez con la que tu infraestructura de retención debe servirlas durante un incidente.

Inmutabilidad y controles de acceso

Las copias de seguridad inmutables utilizan tecnología WORM (Write Once Read Many) para evitar la modificación o eliminación, incluso por administradores con privilegios completos. NIST SP 1800-25 establece que los sistemas de copias de seguridad deben restringir el acceso a una sola cuenta de servicio en máquinas conocidas, aplicando control de acceso basado en roles, MFA y marcos de autenticación separados de producción.

Estos mecanismos sientan las bases, pero la forma en que estructuras tus copias de seguridad determina cuán eficazmente tu política de retención protege cada nivel de datos.

Tipos de copias de seguridad y estrategias de retención

Tu política de retención de copias de seguridad debe considerar los diferentes métodos de copia de seguridad que utiliza tu organización. Cada tipo crea una cadena de recuperación diferente con distintos compromisos de almacenamiento, velocidad y riesgo.

• Copias de seguridad completas: Una copia de seguridad completa copia todos los datos seleccionados en una sola operación. NIST SP 800-34 recomienda que las políticas especifiquen la frecuencia de copia de seguridad según la criticidad de los datos y la tasa de incorporación de nueva información. Las copias completas se restauran más rápido porque solo se necesita un conjunto de copia, pero consumen más almacenamiento y tardan más en completarse.
• Copias de seguridad incrementales: Una copia incremental captura solo los datos que cambiaron desde la última copia de cualquier tipo. Cada incremental es pequeña y rápida, pero la restauración requiere la última copia completa más cada incremental en secuencia. Si algún eslabón de esa cadena está corrupto, se pierde el acceso a todos los puntos de recuperación posteriores.
• Copias de seguridad diferenciales: Una copia diferencial captura todos los cambios desde la última copia completa, independientemente de cuántas diferenciales se hayan realizado desde entonces. Las diferenciales crecen cada día, pero se restauran más rápido que las incrementales porque solo se necesitan dos conjuntos: la última completa y la última diferencial.
• Combinación de métodos con rotación GFS: La mayoría de las empresas combinan estos métodos usando una rotación Grandfather-Father-Son (GFS): copias completas semanales retenidas durante meses, diferenciales o incrementales diarias retenidas por semanas y copias archivadas mensuales o anuales retenidas para cumplimiento. Tu calendario de retención debe especificar diferentes duraciones para cada nivel. Por ejemplo, los incrementales diarios pueden expirar tras 14 días, las completas semanales tras 90 días y las copias archivadas mensuales tras uno a siete años según los requisitos regulatorios.

El tipo de copia de seguridad que elijas también afecta tu RPO. Los incrementales horarios ofrecen un RPO más ajustado que las diferenciales diarias, pero crean cadenas de restauración más largas que aumentan tu RTO. Asocia cada nivel de clasificación de datos con el método de copia y la duración de retención que equilibren estos objetivos.

Mejores prácticas para la política de retención de copias de seguridad

Una política de retención de copias de seguridad en papel solo es tan sólida como su implementación. Cada buena práctica a continuación aborda un modo de fallo específico observado en incidentes reales, desde el envenenamiento de copias y el compromiso de identidades hasta restauraciones no probadas y monitoreo insuficiente.

1. Aplicar almacenamiento inmutable de copias de seguridad durante un mínimo de 30 a 90 días

Configura períodos de retención inmutables según el tiempo promedio de permanencia de amenazas en tu organización. La advertencia LockBit de CISA exige que todos los datos de copia de seguridad estén cifrados, sean inmutables y cubran toda la infraestructura de datos de la organización.

Una ventana de 90 días cubre los compromisos lentos y persistentes que NIST SP 800-209 describe como envenenamiento de copias de seguridad, donde los atacantes corrompen copias gradualmente durante semanas antes de activar el cifrado en los sistemas de producción. Ventanas más cortas de 30 días protegen contra ataques detectados rápidamente pero pueden no cubrir tiempos de permanencia extendidos.

2. Implementar almacenamiento aislado físicamente o lógicamente

Tus copias de seguridad inmutables pierden su valor si los atacantes pueden acceder a ellas por las mismas rutas de red que usaron para comprometer la producción. La guía de NIST NCCoE enfatiza el aislamiento completo mediante air-gapping físico (cinta offline o medios extraíbles sin conectividad de red) o air-gapping lógico (almacenamiento online con políticas de retención a nivel de objeto y fuerte separación de identidades). En cualquier caso, los atacantes no deben poder pivotar desde el plano de identidad de producción al plano de control de copias de seguridad.

3. Probar la recuperación con tolerancia cero a errores

El "0" en 3-2-1-1-0 significa tolerancia cero a procedimientos de recuperación no probados. El Marco de Ciberseguridad NIST 2.0 exige explícitamente que las copias de seguridad se prueben, elevando esto de una práctica recomendada a un requisito formal de resultado de ciberseguridad.

Establece una cadencia de pruebas acorde a tu perfil de riesgo:

• Validar la recuperación de sistemas críticos mensualmente
• Realizar pruebas completas de restauración simulando escenarios de ransomware trimestralmente
• Ejecutar ejercicios de restauración completa semestral o anualmente para preparación de auditoría ISO 27001

Cada prueba debe medir el tiempo real de recuperación frente a tu RTO y verificar la integridad de los datos mediante checksums. Trata cualquier prueba fallida como un incidente P1 y remedia antes del siguiente ciclo.

4. Desplegar entornos de recuperación aislados

La guía de NIST NCCoE recomienda Entornos de Recuperación Aislados (IRE) con Bóvedas de Datos Inmutables (IDV). Son entornos seguros y aislados donde restaurar y analizar datos de copia de seguridad sin reintroducir malware. Tu IRE necesita marcos de autenticación separados, segmentos de red dedicados y rutas de acceso administrativo independientes.

5. Cifrar las copias de seguridad y separar la gestión de claves

Aplica cifrado AES-256 en reposo y TLS 1.3 en tránsito según la guía ISO 27001. Almacena las claves de cifrado separadas de los datos de copia de seguridad con asignaciones de roles distintas. Exige MFA para operaciones de eliminación de claves. Si un atacante compromete tus datos de copia de seguridad y las claves de cifrado por la misma vía de acceso, el cifrado no ofrece protección.

6. Integrar la telemetría de copias de seguridad con las operaciones de seguridad

Tu infraestructura de copias de seguridad genera señales que tu SOC debe monitorear. NIST SP 800-61 establece que los sistemas de copias de seguridad deben integrarse con las capacidades de respuesta a incidentes. Envía la telemetría de copias de seguridad a tu SIEM o XDR y vigila:

• Cambios repentinos en el tamaño o duración de las copias de seguridad
• Tareas de copia de seguridad omitidas o fallidas
• Patrones de inicio de sesión inusuales en la infraestructura de copias de seguridad
• Intentos inesperados de modificación o eliminación

Estas anomalías suelen aparecer antes de que el ransomware active el cifrado. La Singularity Platform de SentinelOne puede correlacionar esta telemetría junto con señales de endpoint y nube, proporcionando a tus analistas contexto a lo largo de toda la cadena de ataque.

7. Mantener imágenes doradas y copias de seguridad de infraestructura como código

La Guía #StopRansomware de CISA indica a las organizaciones mantener imágenes doradas de sistemas críticos y usar infraestructura como código (IaC) para desplegar recursos en la nube, manteniendo copias de plantillas fuera de línea. Controla versiones de tus plantillas IaC y audita los cambios para permitir la reconstrucción completa del entorno.

8. Implementar aprobación basada en quórum para operaciones destructivas

Ningún administrador individual debe poder eliminar o modificar copias de seguridad inmutables. Exige aprobación basada en quórum (varias personas autorizadas) para cualquier operación que reduzca copias de seguridad, acorte períodos de retención o desactive la inmutabilidad. Esto protege tanto frente a amenazas internas como a cuentas privilegiadas comprometidas.

Una vez implementados estos controles, mapea los períodos de retención y la evidencia de pruebas a tus marcos de cumplimiento.

Requisitos regulatorios de cumplimiento para la retención de copias de seguridad

Los períodos de retención de copias de seguridad no son solo decisiones de seguridad. Son obligaciones de cumplimiento con consecuencias legales y de auditoría. El reto es que diferentes marcos imponen requisitos distintos, y muchas organizaciones están sujetas a más de uno. Cuando los marcos regulatorios entran en conflicto, implementa el requisito de retención de copias de seguridad más largo aplicable y documenta la justificación para cada nivel de clasificación de datos.

HIPAA

HIPAA no especifica períodos de retención de datos de copia de seguridad pero exige procedimientos para crear y mantener copias exactas recuperables de información de salud electrónica protegida (ePHI) bajo 45 CFR § 164.308(a)(7). La serie HIPAA de HHS exige un período mínimo de retención de seis años para la documentación de seguridad.

GDPR

Las Directrices 4/2019 del EDPB exigen la eliminación de datos personales cuando ya no sean necesarios. GDPR trata las copias de seguridad como tratamiento según las Directrices 9/2022 del EDPB, sometiéndolas a todos los requisitos de protección de datos. Documenta la justificación empresarial para cada período de retención.

PCI-DSS

El requisito 10.7 de PCI-DSS exige un año de retención de registros de auditoría con tres meses disponibles de inmediato. El requisito 3.1 exige la verificación trimestral de que los datos almacenados que exceden los períodos de retención se eliminan de forma segura.

SOC 2

SOC 2 no prescribe períodos de retención. Define los tuyos, documéntalos, síguelos de forma consistente y demuestra la operación efectiva del control durante las auditorías.

La alineación con el cumplimiento es necesaria pero no suficiente. También debes planificar los modos de fallo que rompen la retención de copias de seguridad en la práctica.

Desafíos y limitaciones de las políticas de retención de copias de seguridad

Incluso las políticas de retención bien diseñadas enfrentan barreras de implementación que surgen durante incidentes reales y no en la planificación. Los fallos más comunes comparten un patrón: las organizaciones construyen la política correctamente pero subestiman cómo los atacantes, las brechas de infraestructura y los puntos ciegos operativos erosionan su eficacia con el tiempo.

Los grupos de ransomware apuntan primero a las copias de seguridad

Los atacantes buscan credenciales de copia de seguridad, explotan soluciones de copia sin parches y corrompen deliberadamente la infraestructura de recuperación antes de activar el cifrado en los sistemas de producción. Si tu infraestructura de copias de seguridad comparte el mismo almacén de identidades que producción, una cuenta de administrador de dominio comprometida puede eliminar toda tu capacidad de recuperación.

El punto ciego de la infraestructura de identidad

Si Active Directory, los sistemas de autenticación y la gestión de accesos privilegiados no están incluidos en tu alcance de retención, enfrentas una paradoja de recuperación: existen copias de seguridad inmutables de datos, pero no puedes restaurar el acceso a ellas. Tu política de retención de copias de seguridad debe cubrir la infraestructura de identidad como objetivo prioritario de copia de seguridad.

Conflictos de cumplimiento entre marcos

El principio de minimización de datos de GDPR puede entrar en conflicto con requisitos de retención más largos de HIPAA o PCI-DSS. Gestionar estos conflictos requiere calendarios de retención granulares y específicos por tipo de dato, con base legal documentada y revisión legal continua.

Brechas de monitoreo y fallos silenciosos

Si nadie revisa los registros o alertas de copias de seguridad, los fallos pasan desapercibidos durante meses. El almacenamiento se llena, las tareas de copia se omiten sin notificación y las organizaciones descubren corrupción solo durante intentos reales de recuperación. Integrar la telemetría de copias de seguridad en tu stack de monitoreo de seguridad cierra esta brecha de visibilidad.

Momento de ataque en fines de semana y festivos

Los atacantes explotan ventanas de monitoreo reducido. Los grupos de ransomware programan ataques deliberadamente en periodos con menor cobertura del personal de TI, aumentando la ventana en la que los compromisos de copias de seguridad pasan desapercibidos. Las capacidades autónomas de monitoreo y respuesta abordan esta vulnerabilidad de manera más eficaz que la supervisión manual.

Estos desafíos apuntan a una brecha común: las políticas de retención de copias de seguridad requieren aplicación continua, no solo documentación. Cerrar esa brecha requiere una plataforma de seguridad que opere de forma autónoma y brinde visibilidad en todo tu entorno de recuperación.

Mejora la retención de copias de seguridad con SentinelOne

Tu política de retención de copias de seguridad define las reglas. Tu plataforma de seguridad determina si esas reglas se mantienen bajo ataque. La Singularity Platform de SentinelOne refuerza la retención de copias de seguridad deteniendo el ransomware antes de que alcance tu infraestructura de copias y proporcionando la visibilidad que tu SOC necesita para detectar comportamientos dirigidos a copias de seguridad en tiempo real.

Reversión autónoma de ransomware

SentinelOne utiliza IA conductual para identificar y detener la actividad de ransomware en la ejecución, reduciendo la probabilidad de que el cifrado alcance sistemas críticos, incluidos los servidores de copias de seguridad. Cuando el ransomware cifra archivos en endpoints Windows, la función de reversión de la plataforma utiliza instantáneas de Volume Shadow Copy para restaurar los archivos afectados a su estado previo al ataque.

Protección de la infraestructura de copias de seguridad

Singularity Cloud Workload Security extiende la protección en tiempo real a las máquinas virtuales, servidores, contenedores y clústeres de Kubernetes que alojan tu infraestructura de copias de seguridad. La plataforma proporciona prevención de amenazas en tiempo de ejecución y respuesta autónoma en nubes públicas, privadas y centros de datos locales, aislando sistemas afectados y revirtiendo a un estado seguro conocido sin intervención de analistas.

Integración con AWS Backup

SentinelOne se integra con AWS Backup para agilizar los flujos de trabajo de recuperación en la nube. Cuando Singularity Cloud Workload Security identifica una instancia EC2 comprometida, consulta AWS Backup para obtener información de recuperación y presenta un enlace de restauración directamente desde la consola de SentinelOne.

Purple AI para investigación de anomalías en copias de seguridad

Purple AI permite a tus analistas investigar patrones sospechosos de acceso a copias de seguridad mediante consultas conversacionales, reduciendo el tiempo necesario para validar opciones de recuperación durante la respuesta a incidentes. Los primeros usuarios informan que Purple AI acelera la búsqueda de amenazas y las investigaciones hasta en un 80%.

Singularity™ AI SIEM

Singularity™ AI SIEM de SentinelOne para el SOC autónomo es la plataforma abierta más rápida de la industria para todos tus datos y flujos de trabajo. Está construida sobre nuestro data lake y te brinda protección en tiempo real con IA para toda la empresa. Obtienes escalabilidad ilimitada y retención de datos sin restricciones. Acelera tus flujos de trabajo con Hiperautomatización. Protege tus endpoints, nubes, redes, identidades, correos electrónicos y más. Transmite tus datos para detección en tiempo real y habilita protección a velocidad de máquina con IA autónoma. También obtienes mayor visibilidad para investigaciones y detecciones con la única experiencia de consola unificada de la industria. Haz el recorrido.

Solicita una demostración con SentinelOne para ver cómo la protección autónoma de copias de seguridad se integra en tu entorno.

Conclusiones clave

La retención de copias de seguridad es un control de ciberseguridad que determina si tu organización se recupera de un ransomware o paga. Implementa el marco 3-2-1-1-0 con copias inmutables y aisladas. Prueba la recuperación trimestralmente con tolerancia cero a errores. 

Alinea los calendarios de retención de copias de seguridad con HIPAA, GDPR, PCI-DSS y SOC 2. Integra la telemetría de copias de seguridad en tu SOC. La Singularity Platform de SentinelOne refuerza estas estrategias con respuesta autónoma y visibilidad en tiempo real en todo tu entorno de recuperación.