El 93 % de las empresas que pierden acceso a sus datos durante más de diez días cierran en el plazo de un año. La cifra procede de estudios de continuidad de negocio recopilados por el INCIBE y por la agencia europea ENISA, y se repite en cada informe del sector porque sigue siendo cierta. Sin embargo, la mayoría de las pymes españolas confunden tener un backup en la nube con poder restaurar ese backup cuando lo necesitan. Son cosas muy distintas.
Este artículo explica, sin rodeos, qué hace que un backup cloud sea realmente útil, cómo probarlo antes de que ocurra el desastre, cuánto cuesta un servicio bien configurado y qué señales deberían alertarte de que tu solución actual es un placebo de seguridad.
El error más común: confundir copia con recuperación
Un backup es un proceso de dos fases. La primera —copiar los datos— es la que todo el mundo ve y contrata. La segunda —restaurarlos en un tiempo razonable y con integridad garantizada— es la que casi nadie prueba hasta que la necesita. Ese desfase es la causa de la mayoría de los incidentes graves que atendemos desde Summum Sistemas.
Los fallos más frecuentes que encontramos al auditar backups cloud en pymes son:
- Copias incompletas: el job de backup excluye bases de datos activas o ficheros bloqueados por el sistema operativo, y nadie lo detecta hasta la restauración.
- Copias corruptas: un error de red, una cuota de almacenamiento alcanzada a medias o un cifrado mal configurado genera ficheros que no se pueden leer.
- RPO y RTO no verificados: la empresa contrató un servicio con «recuperación en 4 horas», pero nadie ha comprobado si ese tiempo es real para su volumen de datos.
- Retención insuficiente: el ransomware lleva semanas activo antes de cifrar, y la ventana de retención solo cubre los últimos siete días, que ya están comprometidos.
- Ausencia de inmutabilidad: el propio ransomware o un administrador malintencionado puede borrar las copias almacenadas en una cuenta accesible con las mismas credenciales que los sistemas de producción.
Qué debe tener un backup cloud que sirva de algo
Antes de comparar precios, conviene tener clara la lista de requisitos técnicos mínimos para un backup cloud empresarial. La siguiente tabla resume los más relevantes y los relaciona con el problema que resuelven:
| Característica | Qué resuelve | Sin ella... |
|---|---|---|
| Cifrado en tránsito y en reposo (AES-256) | Protege los datos frente a accesos no autorizados en la nube | Incumplimiento del RGPD y riesgo de brecha de datos |
| Almacenamiento inmutable (WORM) | Impide que el ransomware o un insider borren las copias | El backup desaparece con el ataque |
| Restauración verificada periódicamente | Confirma que los datos son legibles e íntegros | Descubres el fallo cuando no hay vuelta atrás |
| Retención mínima 30 días (recomendado 90) | Cubre el tiempo de incubación medio de un ransomware moderno | Restauras datos ya infectados |
| RPO definido y probado (<24 h para datos críticos) | Limita la pérdida máxima de información ante un incidente | Puedes perder días o semanas de transacciones |
| RTO definido y probado (<4 h para sistemas críticos) | Garantiza que el negocio vuelve a funcionar en un tiempo aceptable | La parada puede durar días aunque la copia exista |
| Cuentas separadas (regla 3-2-1-1) | Aísla el backup del entorno de producción | Un solo vector de ataque compromete todo |
| Alertas automáticas de fallo de job | Detecta copias fallidas antes de que el silencio se vuelva permanente | Semanas sin backup sin que nadie lo sepa |
La regla 3-2-1-1 en 2025: por qué la original ya no es suficiente
La regla clásica de backup —tres copias, en dos soportes diferentes, una fuera de las instalaciones— sigue siendo válida como punto de partida. Sin embargo, la proliferación del ransomware dirigido ha obligado a añadir un cuarto elemento: una copia inmutable y aislada (air-gapped o WORM) que no pueda modificarse ni borrarse aunque las credenciales de la empresa queden comprometidas.
Proveedores como Veeam, Acronis y Commvault ofrecen almacenamiento con bloqueo de objetos compatible con S3 (AWS, Azure Blob, Backblaze B2) que garantiza esta inmutabilidad. El coste de almacenamiento en la nube para la copia inmutable es relativamente bajo —entre 0,005 y 0,023 euros por GB/mes según el proveedor y la región—, pero el valor que aporta es desproporcionado respecto a ese coste.
Cómo verificar que tu backup restaura de verdad: el test de restauración
La única forma de saber si un backup funciona es restaurarlo. No en producción, sino en un entorno de prueba aislado. El procedimiento mínimo recomendado para una pyme es el siguiente:
- Planificar el test trimestral: fijar una fecha y un entorno de prueba (una máquina virtual temporal, un servidor de staging o un sandbox en la nube).
- Seleccionar el punto de restauración: elegir un backup de hace entre 7 y 30 días (no el más reciente, que puede estar recién comprometido).
- Restaurar el sistema o la aplicación crítica: no solo los ficheros, sino el servicio completo, con base de datos y configuración.
- Ejecutar un checklist funcional: verificar que la aplicación arranca, que los datos son coherentes con la fecha del backup y que los usuarios de prueba pueden operar con normalidad.
- Medir el tiempo real de restauración: compararlo con el RTO contratado. Si el RTO era de 4 horas y la restauración real ha tardado 11, hay un problema de configuración o de ancho de banda que hay que corregir antes del incidente real.
- Documentar y archivar el resultado: un registro escrito del test sirve también como evidencia de diligencia debida ante auditorías de ciberseguridad o ante aseguradoras de riesgos cibernéticos.
Desde nuestro servicio de backup cloud para pymes incluimos estos tests de restauración de forma programada y entregamos un informe documentado con cada prueba. No porque sea un extra, sino porque sin esa verificación el backup no tiene valor real.
Cuánto cuesta un backup cloud verificado para una pyme: rangos reales 2025-2026
El coste de un backup cloud depende de varios factores: el volumen de datos, el número de sistemas protegidos, la frecuencia de copia, la retención y si el servicio incluye gestión y monitorización activa o es autoservicio puro. A continuación se presentan rangos orientativos de mercado basados en la oferta disponible en España a principios de 2026, sin incluir tarifas propias:
| Escenario | Descripción | Rango de coste mensual (mercado) |
|---|---|---|
| Autoservicio básico | 1-2 servidores, 500 GB, sin gestión, retención 7 días (ej. Acronis True Image o Veeam Essentials con almacenamiento propio en Azure/AWS) | 30 – 80 €/mes |
| Servicio gestionado pyme pequeña | 3-5 servidores/VMs, hasta 2 TB, retención 30 días, monitorización y alertas, sin test de restauración incluido | 150 – 350 €/mes |
| Servicio gestionado pyme mediana | 5-15 servidores/VMs, 2-10 TB, retención 90 días, tests de restauración trimestrales, inmutabilidad WORM, SLA con RTO/RPO documentado | 350 – 900 €/mes |
| BDR completo (Backup + Disaster Recovery) | Entorno replicado en nube lista para arrancar (failover), protección de M365/Google Workspace incluida, tests mensuales, cobertura de ransomware | 900 – 2.500 €/mes |
Fuentes de referencia para estos rangos: tarifas públicas de Veeam Cloud & Service Provider (VCSP), Acronis Cloud Partner Program, Datto SIRIS y comparativas sectoriales de Gartner Peer Insights (2025). Los precios varían según el volumen negociado y la región del data center.
Factores que mueven el precio hacia arriba
- Bases de datos grandes o de crecimiento rápido (PostgreSQL, SQL Server, Oracle): requieren agentes específicos y ventanas de backup más largas.
- Retención extendida (más de 90 días): el coste de almacenamiento crece linealmente; los archivos fríos (Glacier, Archive) reducen este impacto.
- Replicación geográfica en dos regiones distintas: duplica aproximadamente el coste de almacenamiento.
- Protección de entornos Microsoft 365 o Google Workspace: requieren licencias específicas (Veeam Backup for M365, Acronis Cyber Cloud para SaaS).
- RTO muy exigente (<1 hora): obliga a mantener una réplica caliente lista para arrancar, lo que implica coste de cómputo permanente en la nube.
- Entornos mixtos (servidores físicos + VMs + SaaS + equipos de usuario): la complejidad de la integración eleva el coste de implantación inicial.
Las señales de que tu backup actual es un placebo
Hay síntomas claros de que una solución de backup no está dando la protección que promete. Si reconoces alguno de estos en tu empresa, conviene revisar la configuración antes de que sea tarde:
- Nadie sabe cuándo fue el último backup exitoso sin tener que entrar al panel del software.
- El último test de restauración fue «cuando instalaron el sistema» o directamente no se recuerda.
- La copia se almacena en un NAS conectado a la misma red que los equipos de producción, sin segregación de credenciales.
- La retención es de 7 días o menos.
- El correo de alertas de backup va a una bandeja que nadie revisa.
- No hay un documento que recoja el RTO y el RPO acordados internamente.
- El proveedor cloud del backup es el mismo que el de la infraestructura principal, con las mismas cuentas de usuario.
Backup cloud y cumplimiento normativo: RGPD, ENS y NIS2
Más allá de la continuidad operativa, el backup cloud tiene implicaciones normativas que en 2025-2026 se han vuelto más relevantes para las pymes españolas:
- RGPD: el artículo 32 del Reglamento (UE) 2016/679 exige medidas técnicas para garantizar la disponibilidad e integridad de los datos personales, lo que incluye copias de seguridad. Si la empresa sufre una brecha por pérdida de datos y no tenía backup adecuado, la AEPD puede considerar que no se aplicaron medidas de seguridad proporcionadas.
- Esquema Nacional de Seguridad (ENS): las empresas privadas que prestan servicios a la Administración Pública están obligadas a cumplir el ENS (RD 311/2022). La medida op.cont.2 del ENS exige planes de continuidad que incluyan copias de seguridad verificadas.
- NIS2 (Directiva UE 2022/2555): en proceso de transposición en España, incluye la gestión de copias de seguridad como uno de los controles de seguridad básicos exigibles a entidades esenciales e importantes. Su aplicación ampliará el perímetro de obligados más allá de los sectores críticos tradicionales.
Si tu empresa trabaja con la Administración o pertenece a sectores regulados (salud, alimentación, transporte, finanzas), disponer de un backup cloud verificado no es una opción sino una obligación auditable. El equipo de Summum Sistemas puede acompañarte tanto en la implantación técnica como en la documentación necesaria para superar auditorías.
Backup cloud de Microsoft 365 y Google Workspace: el punto ciego más frecuente
Uno de los malentendidos más peligrosos que encontramos en pymes es creer que Microsoft o Google hacen backup de sus datos de correo, calendarios y ficheros de Drive o SharePoint. No es así.
Tanto Microsoft 365 como Google Workspace ofrecen alta disponibilidad y recuperación ante fallos de su propia infraestructura, pero no protegen contra el borrado accidental por parte del usuario, la eliminación malintencionada por un empleado o un ataque de ransomware que encripta o elimina los datos desde dentro de la cuenta. La política de retención en la papelera de Microsoft 365 es de 93 días por defecto; pasado ese plazo, los datos desaparecen definitivamente.
Para cubrir este punto ciego existen soluciones específicas de backup para SaaS: Veeam Backup for Microsoft 365, Acronis Cyber Cloud para M365 y Backupify para Google Workspace, entre otras. Su coste ronda los 2-5 euros por usuario y mes según el proveedor y el volumen, un gasto muy menor comparado con el riesgo que cubre.
Preguntas frecuentes
¿Con qué frecuencia debo hacer el backup de mis datos empresariales?
Depende de tu tolerancia a la pérdida de datos (RPO). Para sistemas transaccionales —ERP, CRM, bases de datos de clientes— lo habitual en pymes es un backup diario completo con backups incrementales cada 1-4 horas durante el horario laboral. Para ficheros de trabajo compartido (SharePoint, servidores de ficheros), un backup nocturno suele ser suficiente. El criterio clave no es la frecuencia en abstracto, sino cuántas horas de trabajo estás dispuesto a perder si ocurre un incidente a las 17:59.
¿Cuánto tiempo debo guardar las copias de seguridad?
El mínimo recomendado en 2026 es de 30 días, aunque 90 días es el estándar de facto en entornos con riesgo de ransomware. Informes de ciberseguridad de referencia (Mandiant M-Trends 2024, Sophos Active Adversary Report 2024) indican que la mediana del tiempo de permanencia del ransomware antes de activarse (dwell time) se situaba entre 5 y 16 días en 2024, con tendencia a acortarse en ataques dirigidos. Con una retención de 7 días, muchas empresas restaurarían datos ya comprometidos. Para obligaciones legales (RGPD, contabilidad), considera además los plazos normativos: en España, la documentación contable debe conservarse durante al menos 6 años (Código de Comercio, art. 30).
¿Es seguro guardar los backups en el mismo proveedor cloud que uso para mi infraestructura?
No es recomendable si las cuentas están vinculadas o las credenciales son las mismas. Si un atacante compromete tu cuenta de Azure o AWS y tiene acceso también al almacenamiento de backups, puede eliminar ambos. La buena práctica es usar cuentas de almacenamiento separadas, con usuarios de solo escritura para el proceso de backup y sin posibilidad de borrado desde las mismas credenciales de producción. Muchos servicios BCDR modernos ofrecen almacenamiento aislado con bloqueo de objetos (WORM) precisamente para cubrir este escenario.
¿Qué diferencia hay entre un backup cloud y un servicio de disaster recovery en la nube?
Un backup cloud almacena copias de tus datos y sistemas; para restaurar, necesitas tiempo (horas o días) para reconstruir el entorno. Un servicio de disaster recovery (DR) en la nube mantiene una réplica funcional de tus sistemas lista para arrancar en minutos en caso de fallo del entorno principal. El DR es más caro porque implica mantener cómputo activo o semicaliente en la nube, pero el RTO puede bajar de horas a minutos. Para la mayoría de las pymes, un backup cloud bien gestionado con RTO de 4-8 horas es suficiente; el DR completo se justifica cuando la parada tiene un impacto económico medible por hora (hostelería, comercio electrónico, servicios financieros).