Hace unos años recibimos una llamada un lunes por la mañana que todavía recuerdo con claridad. El gerente de una empresa de distribución de unos 45 empleados, con sede en Andalucía, nos llamó con la voz tensa: «Los ordenadores están bloqueados y hay un mensaje en ruso en las pantallas.»
Era ransomware. Variante de la familia LockBit. Había entrado por un RDP mal protegido que un técnico externo había dejado abierto meses antes para un mantenimiento puntual. En cuestión de horas, el ransomware había cifrado no solo los equipos de trabajo, sino también el servidor de ficheros, la copia de seguridad que tenían en un NAS conectado a la red, y parte de los datos en el servidor de contabilidad.
La empresa tenía backups. Solo que todos estaban en la misma red. Y todos se cifraron.
El coste real: más allá del rescate
Lo primero que pregunta siempre el cliente en ese momento es: «¿Pagamos el rescate?» La respuesta oficial siempre es no —porque no hay garantía de recuperación, porque financia a organizaciones criminales y porque en muchos sectores está directamente prohibido—. Pero la respuesta honesta es: en ese caso concreto, no había nada que pagar porque los atacantes ya habían desaparecido del servidor de mando y control.
El coste real fue este:
- 3 semanas sin acceso a datos históricos de clientes, pedidos y facturas.
- Reconstrucción manual de aproximadamente 60% de la información a partir de correos, PDFs en cuentas de email individuales y documentos en papel que por suerte aún guardaban.
- El 40% restante se perdió definitivamente.
- Dos clientes grandes cancelaron contratos porque no podían verificar el historial de pedidos ni emitir facturas rectificativas correctas.
- Coste estimado entre pérdida de negocio, horas de reconstrucción y el trabajo de nuestro equipo para limpiar y restaurar los sistemas: entre 35.000 y 50.000 euros.
Una licencia anual de backup con copia offline habría costado menos de 2.000 euros al año.
Por qué el backup en red no es un backup offline
Esto es lo primero que tengo que explicar en casi todas las reuniones con gerentes de pyme que creen que tienen las copias de seguridad resueltas. Si tu backup está en un NAS conectado a la misma red que los equipos, un ransomware moderno lo va a cifrar. No es que pueda: es que está diseñado específicamente para buscar unidades de red, carpetas compartidas y servidores accesibles y cifrarlos antes que nada.
Lo mismo aplica a las copias en unidades USB que se quedan conectadas permanentemente al servidor. Si está montada y accesible, está en riesgo.
Un backup offline, o con air-gap real, es aquel que en el momento del ataque está físicamente desconectado o es inaccesible desde la red comprometida. Eso puede ser:
- Una cinta LTO que rotas y sacas fuera de las instalaciones.
- Un disco externo que conectas para hacer la copia y luego desconectas y guardas bajo llave.
- Una copia en cloud con retención inmutable activada (donde ni el propio sistema puede borrar versiones antiguas durante un periodo definido).
La estrategia 3-2-1: simple, efectiva, obligatoria
En Bayma aplicamos la regla 3-2-1 como estándar mínimo para cualquier cliente al que gestionamos backups. No es ninguna novedad —la llevan predicando los especialistas en continuidad de negocio desde los años 90— pero todavía hoy la mayoría de pymes no la cumple.
La regla dice: 3 copias de los datos, en 2 soportes diferentes, con 1 copia fuera de las instalaciones (offsite).
En la práctica, para una empresa mediana española, lo implementamos así:
- Copia 1: backup local en NAS dedicado, en VLAN separada, con acceso restringido por credenciales independientes del dominio.
- Copia 2: backup en cloud con retención inmutable. Usamos Backblaze B2 o Wasabi para la mayoría de clientes, combinados con Veeam Backup & Replication como motor de copia.
- Copia 3: para clientes con datos muy críticos o requisitos legales estrictos, añadimos cinta LTO-8 o LTO-9 con rotación semanal y almacenamiento externo.
Veeam nos gusta porque tiene soporte nativo para inmutabilidad en repositorios compatibles, gestiona bien entornos mixtos físicos y virtuales, y el proceso de verificación de restauración es automatizable. Probamos la restauración de verdad, no solo que el job diga verde.
Cómo explicarle esto al gerente
La conversación más difícil no es técnica. Es la de convencer a alguien de que el backup que tienen no vale. Porque en su cabeza tienen backup —hay un job que corre cada noche y dice que ha terminado bien—.
La pregunta que siempre les hago es: «¿Cuándo fue la última vez que restaurasteis algo de ese backup?» El silencio que sigue suele ser elocuente.
Segundo argumento: el coste de la inactividad. Para una empresa de 30 empleados con costes salariales medios, una semana parada cuesta entre 15.000 y 25.000 euros solo en salarios improductivos, sin contar pérdida de negocio, sanciones por incumplimiento de plazos o el daño reputacional. La probabilidad de sufrir un ransomware en España en 2025 no es despreciable: según el CCN-CERT, los incidentes de ransomware en pymes españolas aumentaron un 40% entre 2022 y 2024.
Tercer argumento, que siempre cierra: el Reglamento General de Protección de Datos obliga a las empresas a tener medidas técnicas adecuadas para la disponibilidad de datos personales. Un ransomware que destruye datos de clientes puede derivar en una sanción de la AEPD. Tener una política de backup documentada y probada es parte de esa defensa.
Lo que aprendimos nosotros de ese caso
Ese cliente, por supuesto, lleva años con nosotros gestionando sus backups ahora. Pero lo que nos llevamos nosotros también fue una lección: no basta con ofrecer el servicio. Hay que ser más insistentes antes del incidente, no después.
Desde entonces, incluimos en todos los contratos de mantenimiento una revisión semestral del plan de backup con simulacro de restauración. No un informe de que los jobs están en verde: una restauración real de un conjunto de ficheros críticos, cronometrada, con acta firmada.
Si tienes dudas sobre si tu política de backup aguantaría un ransomware mañana por la mañana, la respuesta honesta es que probablemente no lo sabes. Y eso ya es suficiente razón para revisarlo.
Si quieres revisar tu política de backups, hacemos una auditoría gratuita. Sin compromiso, sin venta agresiva. Solo te decimos lo que vemos.