> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/es/refuerza-tu-entorno/readme.md).

# Implementar copias de seguridad seguras

{% hint style="info" %}
Toda la información y los ejemplos de este artículo son recomendaciones de implementación para copias de seguridad seguras.

Nada de aquí es vinculante contractualmente.
{% endhint %}

Las copias de seguridad son tu última línea de defensa durante ataques de ransomware y ataques destructivos.

El éxito de la recuperación depende de la calidad, la frecuencia, la retención de las copias de seguridad y de la capacidad de restaurar rápidamente.

### Condiciones del seguro cibernético de Stoik

El seguro cibernético de Stoïk establece requisitos de copia de seguridad durante la suscripción.

Requisito mínimo: **al menos una copia de seguridad semanal** debe ser:

* **sin conexión**, o
* en **almacenamiento inmutable**

Con una **retención mínima de 2 semanas**.

Si no es posible usar sin conexión o inmutable, una opción menos recomendada es una **copia de seguridad segura en línea**.

El sistema de copias de seguridad permanece conectado, pero debe cumplir **todos** los requisitos siguientes:

* El sistema de copias de seguridad está **fuera del dominio de AD**
* El sistema de copias de seguridad está **segmentado** (firewall + acceso mediante lista de permitidos)
* La eliminación/modificación de las copias de seguridad solo es posible mediante una **consola web protegida por MFA**

Objetivo: incluso con un administrador de dominio o de nube comprometido, un atacante sigue sin poder borrar las copias de seguridad.

### Tipos de copias de seguridad (y qué cuenta)

| Tipo                                                   | Ejemplos típicos                                                             | Por qué importa                                                         | ¿Cumple el requisito?                                                            |
| ------------------------------------------------------ | ---------------------------------------------------------------------------- | ----------------------------------------------------------------------- | -------------------------------------------------------------------------------- |
| Copias de seguridad sin conexión                       | Unidades externas, medios USB, NAS sin conexión, cintas magnéticas (LTO/DLT) | Máxima protección. No es accesible a través de la red.                  | <i class="fa-check" style="color:$success;">:check:</i>                          |
| Copias de seguridad inmutables en línea (nube)         | AWS S3 Object Lock, blobs inmutables de Azure (WORM), Wasabi Object Lock     | Accesibles en línea, pero no se pueden modificar ni eliminar.           | <i class="fa-check" style="color:$success;">:check:</i>                          |
| Copias de seguridad en línea (local / centro de datos) | Servidor de copias de seguridad dedicado con acceso restringido              | Puede ser aceptable **solo si** el acceso está fuertemente aislado.     | <i class="fa-check" style="color:$success;">:check:</i> (solo si está reforzado) |
| “Almacenamiento” en línea no inmutable (nube)          | Dropbox, Google Drive, OneDrive sin WORM                                     | Fácil de usar, fácil de borrar si las cuentas se comprometen.           | <i class="fa-xmark" style="color:$danger;">:xmark:</i>                           |
| Copias de seguridad locales                            | Discos locales, copia de archivos en el mismo servidor, duplicación RAID     | Se cifra o se elimina junto con el host. No es un plan de recuperación. | <i class="fa-xmark" style="color:$danger;">:xmark:</i>                           |

**“Copia de seguridad en línea segura”** significa “resistente frente a un procedimiento típico de ransomware que intenta borrar todas las copias de seguridad”.

### Opciones de copia de seguridad sin conexión

Usa rotación. Mantén **al menos una** copia reciente desconectada.

| Opción                         | Cómo hacerlo de forma segura                                                                                                                                       |
| ------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Cintas magnéticas (LTO/DLT)    | Rota al menos 2 cintas. Mantén siempre 1 cinta fuera del sitio y sin conexión.                                                                                     |
| NAS sin conexión               | Conéctalo solo durante la ventana de copia de seguridad. Desconéctalo al terminar el trabajo. Rota varios dispositivos si es posible.                              |
| Unidades externas / medios USB | Conéctalos solo durante la ventana de copia de seguridad. Desconéctalos al terminar el trabajo. Guárdalos en un lugar cerrado con llave. Rota varios dispositivos. |

### Opciones de copia de seguridad inmutable

#### Copias de seguridad inmutables alojadas en la nube

| Proveedor                   | Función de inmutabilidad                                                                              | Guía / documentación                                                                                                                            |
| --------------------------- | ----------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------- |
| AWS                         | [S3 Object Lock](https://aws.amazon.com/s3/features/object-lock/) (y/o Glacier)                       | [Copias de seguridad S3 inmutables](broken://pages/a9c262e53b8883582f863f94a2d563566c2df0bc)                                                    |
| Azure                       | [Blobs inmutables (WORM)](https://learn.microsoft.com/azure/storage/blobs/immutable-storage-overview) | [Soluciones de copia de seguridad en la nube](broken://pages/1afaca0594dec1d2f250ed0944b729e3c8850392)                                          |
| Wasabi                      | [S3 Object Lock](https://wasabi.com/cloud-object-storage/s3-object-lock)                              | [Haz copia de seguridad de tus datos con Wasabi](broken://pages/72fd9a59950274158411b111d25e7c9d9aae89fc)                                       |
| Acronis Cyber Protect Cloud | Modo de cumplimiento (comprueba tu plan/versión)                                                      | [Documentación de Acronis 1](https://kb.acronis.com/content/69814), [Documentación de Acronis 2](https://kb.acronis.com/content/71557)          |
| Scaleway                    | Object Storage (comprueba la compatibilidad con Object Lock)                                          | [Conceptos de Scaleway Object Storage](https://www.scaleway.com/en/docs/storage/object/concepts/)                                               |
| OVHcloud                    | Object Lock para S3 Object Storage                                                                    | [Guía de OVHcloud](https://help.ovhcloud.com/csm/en-public-cloud-storage-s3-managing-object-lock?id=kb_article_view\&sysparm_article=KB0047399) |
| Fast LTA                    | “Almacenamiento sin pérdida”                                                                          | [Resumen de Fast LTA](https://www.fast-lta.de/en/topic/zero-loss)                                                                               |

#### Copias de seguridad inmutables alojadas localmente

| Proveedor / producto            | Requisitos previos                                      | Guía / documentación                                                                                                                                                                                                                         |
| ------------------------------- | ------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Veeam Linux Hardened Repository | Veeam >= 11. Requiere reforzar el host del repositorio. | [Referencia de Veeam](https://cloud.ibm.com/docs/vmwaresolutions?topic=vmwaresolutions-veeam-cr-sa-lhr)                                                                                                                                      |
| Synology                        | DSM >= 7.2. Requiere modelos compatibles.               | [Modelos compatibles](https://kb.synology.com/DSM/tutorial/which_synology_nas_models_support_WriteOnce_and_secure_snapshots), [Documentación de instantáneas inmutables](https://kb.synology.com/DSM/tutorial/what_is_an_immutable_snapshot) |
| Dell Data Domain                | Usa el modo de cumplimiento.                            | [Documento técnico de Dell](https://education.dell.com/content/dam/dell-emc/documents/en-us/2020KS_Steen_Immutable_Data_Protection_for_Any_Application.pdf)                                                                                  |

### Ejemplos de copias de seguridad “no seguras”

Estos son patrones comunes que fallan cuando los atacantes toman el control de cuentas de administrador.

| Ejemplo                                                       | Por qué falla                                                                                                                |
| ------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------- |
| Dropbox / Google Drive / OneDrive / SharePoint (sin WORM)     | Un administrador comprometido puede eliminar datos y también vaciar las papeleras de reciclaje / la retención.               |
| NAS “inmutable” implementado solo en software                 | Si el sistema operativo del NAS se ve comprometido, el atacante aún puede destruir los volúmenes.                            |
| Centro de datos externalizado con un enlace de red permanente | Funcionalmente similar a un servidor de archivos en línea. El ransomware puede cifrar/eliminar a través del enlace.          |
| Almacenamiento en la nube no inmutable                        | Si se compromete el administrador de la nube, el atacante puede eliminar buckets, copias de seguridad y reglas de retención. |

### Controles operativos (recomendados)

Incluso con almacenamiento sin conexión o inmutable, los controles operativos a menudo determinan el éxito de la recuperación:

* **Prueba las restauraciones** según un calendario (al menos una vez al mes para sistemas críticos).
* Usa **cuentas separadas de administrador de copias de seguridad**. No las sincronices desde AD.
* Exija **MFA** en las consolas de copia de seguridad y en las cuentas en la nube.
* Mantén **las credenciales de copia de seguridad** fuera de los endpoints de usuario (sin contraseñas guardadas en scripts).
* Habilitar **alertas** sobre fallos de trabajos de copia de seguridad, cambios de retención e intentos de eliminación.
* Documenta el runbook de restauración y conserva una copia **sin conexión**.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/es/refuerza-tu-entorno/readme.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
