Backups en la nube que restauran de verdad: cómo verificarlos

·

El 93 % de las empresas que pierden acceso a sus datos durante más de diez días cierran en el plazo de un año. La cifra procede de estudios de continuidad de negocio recopilados por el INCIBE y por la agencia europea ENISA, y se repite en cada informe del sector porque sigue siendo cierta. Sin embargo, la mayoría de las pymes españolas confunden tener un backup en la nube con poder restaurar ese backup cuando lo necesitan. Son cosas muy distintas.

Este artículo explica, sin rodeos, qué hace que un backup cloud sea realmente útil, cómo probarlo antes de que ocurra el desastre, cuánto cuesta un servicio bien configurado y qué señales deberían alertarte de que tu solución actual es un placebo de seguridad.

El error más común: confundir copia con recuperación

Un backup es un proceso de dos fases. La primera —copiar los datos— es la que todo el mundo ve y contrata. La segunda —restaurarlos en un tiempo razonable y con integridad garantizada— es la que casi nadie prueba hasta que la necesita. Ese desfase es la causa de la mayoría de los incidentes graves que atendemos desde Summum Sistemas.

Los fallos más frecuentes que encontramos al auditar backups cloud en pymes son:

Qué debe tener un backup cloud que sirva de algo

Antes de comparar precios, conviene tener clara la lista de requisitos técnicos mínimos para un backup cloud empresarial. La siguiente tabla resume los más relevantes y los relaciona con el problema que resuelven:

Característica Qué resuelve Sin ella...
Cifrado en tránsito y en reposo (AES-256) Protege los datos frente a accesos no autorizados en la nube Incumplimiento del RGPD y riesgo de brecha de datos
Almacenamiento inmutable (WORM) Impide que el ransomware o un insider borren las copias El backup desaparece con el ataque
Restauración verificada periódicamente Confirma que los datos son legibles e íntegros Descubres el fallo cuando no hay vuelta atrás
Retención mínima 30 días (recomendado 90) Cubre el tiempo de incubación medio de un ransomware moderno Restauras datos ya infectados
RPO definido y probado (<24 h para datos críticos) Limita la pérdida máxima de información ante un incidente Puedes perder días o semanas de transacciones
RTO definido y probado (<4 h para sistemas críticos) Garantiza que el negocio vuelve a funcionar en un tiempo aceptable La parada puede durar días aunque la copia exista
Cuentas separadas (regla 3-2-1-1) Aísla el backup del entorno de producción Un solo vector de ataque compromete todo
Alertas automáticas de fallo de job Detecta copias fallidas antes de que el silencio se vuelva permanente Semanas sin backup sin que nadie lo sepa

La regla 3-2-1-1 en 2025: por qué la original ya no es suficiente

La regla clásica de backup —tres copias, en dos soportes diferentes, una fuera de las instalaciones— sigue siendo válida como punto de partida. Sin embargo, la proliferación del ransomware dirigido ha obligado a añadir un cuarto elemento: una copia inmutable y aislada (air-gapped o WORM) que no pueda modificarse ni borrarse aunque las credenciales de la empresa queden comprometidas.

Proveedores como Veeam, Acronis y Commvault ofrecen almacenamiento con bloqueo de objetos compatible con S3 (AWS, Azure Blob, Backblaze B2) que garantiza esta inmutabilidad. El coste de almacenamiento en la nube para la copia inmutable es relativamente bajo —entre 0,005 y 0,023 euros por GB/mes según el proveedor y la región—, pero el valor que aporta es desproporcionado respecto a ese coste.

Cómo verificar que tu backup restaura de verdad: el test de restauración

La única forma de saber si un backup funciona es restaurarlo. No en producción, sino en un entorno de prueba aislado. El procedimiento mínimo recomendado para una pyme es el siguiente:

  1. Planificar el test trimestral: fijar una fecha y un entorno de prueba (una máquina virtual temporal, un servidor de staging o un sandbox en la nube).
  2. Seleccionar el punto de restauración: elegir un backup de hace entre 7 y 30 días (no el más reciente, que puede estar recién comprometido).
  3. Restaurar el sistema o la aplicación crítica: no solo los ficheros, sino el servicio completo, con base de datos y configuración.
  4. Ejecutar un checklist funcional: verificar que la aplicación arranca, que los datos son coherentes con la fecha del backup y que los usuarios de prueba pueden operar con normalidad.
  5. Medir el tiempo real de restauración: compararlo con el RTO contratado. Si el RTO era de 4 horas y la restauración real ha tardado 11, hay un problema de configuración o de ancho de banda que hay que corregir antes del incidente real.
  6. Documentar y archivar el resultado: un registro escrito del test sirve también como evidencia de diligencia debida ante auditorías de ciberseguridad o ante aseguradoras de riesgos cibernéticos.

Desde nuestro servicio de backup cloud para pymes incluimos estos tests de restauración de forma programada y entregamos un informe documentado con cada prueba. No porque sea un extra, sino porque sin esa verificación el backup no tiene valor real.

Cuánto cuesta un backup cloud verificado para una pyme: rangos reales 2025-2026

El coste de un backup cloud depende de varios factores: el volumen de datos, el número de sistemas protegidos, la frecuencia de copia, la retención y si el servicio incluye gestión y monitorización activa o es autoservicio puro. A continuación se presentan rangos orientativos de mercado basados en la oferta disponible en España a principios de 2026, sin incluir tarifas propias:

Escenario Descripción Rango de coste mensual (mercado)
Autoservicio básico 1-2 servidores, 500 GB, sin gestión, retención 7 días (ej. Acronis True Image o Veeam Essentials con almacenamiento propio en Azure/AWS) 30 – 80 €/mes
Servicio gestionado pyme pequeña 3-5 servidores/VMs, hasta 2 TB, retención 30 días, monitorización y alertas, sin test de restauración incluido 150 – 350 €/mes
Servicio gestionado pyme mediana 5-15 servidores/VMs, 2-10 TB, retención 90 días, tests de restauración trimestrales, inmutabilidad WORM, SLA con RTO/RPO documentado 350 – 900 €/mes
BDR completo (Backup + Disaster Recovery) Entorno replicado en nube lista para arrancar (failover), protección de M365/Google Workspace incluida, tests mensuales, cobertura de ransomware 900 – 2.500 €/mes

Fuentes de referencia para estos rangos: tarifas públicas de Veeam Cloud & Service Provider (VCSP), Acronis Cloud Partner Program, Datto SIRIS y comparativas sectoriales de Gartner Peer Insights (2025). Los precios varían según el volumen negociado y la región del data center.

Factores que mueven el precio hacia arriba

Las señales de que tu backup actual es un placebo

Hay síntomas claros de que una solución de backup no está dando la protección que promete. Si reconoces alguno de estos en tu empresa, conviene revisar la configuración antes de que sea tarde:

Backup cloud y cumplimiento normativo: RGPD, ENS y NIS2

Más allá de la continuidad operativa, el backup cloud tiene implicaciones normativas que en 2025-2026 se han vuelto más relevantes para las pymes españolas:

Si tu empresa trabaja con la Administración o pertenece a sectores regulados (salud, alimentación, transporte, finanzas), disponer de un backup cloud verificado no es una opción sino una obligación auditable. El equipo de Summum Sistemas puede acompañarte tanto en la implantación técnica como en la documentación necesaria para superar auditorías.

Backup cloud de Microsoft 365 y Google Workspace: el punto ciego más frecuente

Uno de los malentendidos más peligrosos que encontramos en pymes es creer que Microsoft o Google hacen backup de sus datos de correo, calendarios y ficheros de Drive o SharePoint. No es así.

Tanto Microsoft 365 como Google Workspace ofrecen alta disponibilidad y recuperación ante fallos de su propia infraestructura, pero no protegen contra el borrado accidental por parte del usuario, la eliminación malintencionada por un empleado o un ataque de ransomware que encripta o elimina los datos desde dentro de la cuenta. La política de retención en la papelera de Microsoft 365 es de 93 días por defecto; pasado ese plazo, los datos desaparecen definitivamente.

Para cubrir este punto ciego existen soluciones específicas de backup para SaaS: Veeam Backup for Microsoft 365, Acronis Cyber Cloud para M365 y Backupify para Google Workspace, entre otras. Su coste ronda los 2-5 euros por usuario y mes según el proveedor y el volumen, un gasto muy menor comparado con el riesgo que cubre.

Preguntas frecuentes

¿Con qué frecuencia debo hacer el backup de mis datos empresariales?

Depende de tu tolerancia a la pérdida de datos (RPO). Para sistemas transaccionales —ERP, CRM, bases de datos de clientes— lo habitual en pymes es un backup diario completo con backups incrementales cada 1-4 horas durante el horario laboral. Para ficheros de trabajo compartido (SharePoint, servidores de ficheros), un backup nocturno suele ser suficiente. El criterio clave no es la frecuencia en abstracto, sino cuántas horas de trabajo estás dispuesto a perder si ocurre un incidente a las 17:59.

¿Cuánto tiempo debo guardar las copias de seguridad?

El mínimo recomendado en 2026 es de 30 días, aunque 90 días es el estándar de facto en entornos con riesgo de ransomware. Informes de ciberseguridad de referencia (Mandiant M-Trends 2024, Sophos Active Adversary Report 2024) indican que la mediana del tiempo de permanencia del ransomware antes de activarse (dwell time) se situaba entre 5 y 16 días en 2024, con tendencia a acortarse en ataques dirigidos. Con una retención de 7 días, muchas empresas restaurarían datos ya comprometidos. Para obligaciones legales (RGPD, contabilidad), considera además los plazos normativos: en España, la documentación contable debe conservarse durante al menos 6 años (Código de Comercio, art. 30).

¿Es seguro guardar los backups en el mismo proveedor cloud que uso para mi infraestructura?

No es recomendable si las cuentas están vinculadas o las credenciales son las mismas. Si un atacante compromete tu cuenta de Azure o AWS y tiene acceso también al almacenamiento de backups, puede eliminar ambos. La buena práctica es usar cuentas de almacenamiento separadas, con usuarios de solo escritura para el proceso de backup y sin posibilidad de borrado desde las mismas credenciales de producción. Muchos servicios BCDR modernos ofrecen almacenamiento aislado con bloqueo de objetos (WORM) precisamente para cubrir este escenario.

¿Qué diferencia hay entre un backup cloud y un servicio de disaster recovery en la nube?

Un backup cloud almacena copias de tus datos y sistemas; para restaurar, necesitas tiempo (horas o días) para reconstruir el entorno. Un servicio de disaster recovery (DR) en la nube mantiene una réplica funcional de tus sistemas lista para arrancar en minutos en caso de fallo del entorno principal. El DR es más caro porque implica mantener cómputo activo o semicaliente en la nube, pero el RTO puede bajar de horas a minutos. Para la mayoría de las pymes, un backup cloud bien gestionado con RTO de 4-8 horas es suficiente; el DR completo se justifica cuando la parada tiene un impacto económico medible por hora (hostelería, comercio electrónico, servicios financieros).