El cuestionario de ciber-seguro que firmaste hace tres años tenía dos preguntas sobre backups: si los tienes y con qué frecuencia los haces. El de este año tiene diez. Y la más importante es una que muchos dueños de negocios en Puerto Rico no saben contestar: ¿tus backups son inmutables?

Si no sabes qué significa eso, estás leyendo el artículo correcto. Y si crees que el disco externo conectado al servidor de tu oficina cuenta, necesitas leer esto antes de renovar tu póliza.


Por qué el mercado de ciber-seguros cambió tan rápido

En 2020, las aseguradoras perdieron más dinero pagando reclamaciones de ransomware que en cualquier año anterior. En 2021 perdieron más que eso. Las primas subieron entre 30% y 130% en dos años, y las compañías que antes aprobaban pólizas con una sola pregunta sobre antivirus ahora envían cuestionarios de 40 páginas.

El problema raíz es simple: el ransomware moderno no solo cifra tus archivos. Va específicamente a buscar y destruir tus backups primero.

Los grupos de ransomware como LockBit, BlackCat y Cl0p tienen playbooks documentados que incluyen, en orden: escalar privilegios en la red, moverse lateralmente a sistemas de backup, eliminar copias de sombra de Windows (Volume Shadow Copies), cifrar o destruir los backups conectados, y después cifrar los datos de producción. El objetivo es que cuando veas el mensaje de rescate, ya no tengas a dónde volver.

La CISA (Agencia de Ciberseguridad e Infraestructura de EE.UU.) documentó este patrón en su guía de mejores prácticas para ransomware y lo identifica como la razón principal por la que las organizaciones terminan pagando rescates: no es que no tengan backups, es que sus backups también fueron comprometidos. (CISA Ransomware Guide)

Cuando el mercado de seguros analizó los datos de miles de reclamaciones, llegó a una conclusión: las empresas que tenían backups inmutables y aislados de la red de producción se recuperaban sin pagar. Las que tenían backups convencionales conectados a la red —aunque fueran backups de hoy mismo— terminaban negociando el rescate o cerrando.

Eso cambió los cuestionarios.


Qué significa “inmutable” en este contexto

Un backup inmutable es una copia de tus datos que no puede ser modificada ni eliminada durante un período definido, incluso si un atacante obtiene credenciales de administrador en tu red.

La clave está en el “incluso si”. Los backups convencionales en un disco conectado, en un NAS (Network Attached Storage) accesible desde la red, o en una carpeta sincronizada con OneDrive o Dropbox pueden ser cifrados o eliminados por ransomware porque el sistema operativo tiene acceso a ellos. El ransomware hereda ese acceso.

La inmutabilidad se logra de dos maneras:

1. Aislamiento físico (air gap). La copia de backup no tiene conexión activa a la red. Un disco externo que se conecta solo durante la ventana de backup y se desconecta físicamente después cumple con este requisito —pero requiere disciplina operacional que pocas oficinas pequeñas mantienen de forma consistente.

2. Inmutabilidad técnica (write-once storage). El storage tiene una política configurada a nivel de plataforma que prohíbe modificar o borrar los datos durante X días, sin importar qué credenciales se usen. El ejemplo más común para PYMES en la nube es AWS S3 Object Lock o Azure Blob Storage con políticas de inmutabilidad. El backup se escribe, y ninguna operación puede sobreescribirlo o borrarlo hasta que expire el período configurado.

Tu aseguradora quiere saber si tienes al menos una copia con alguna de estas características. El disco externo que está conectado a tu servidor todo el tiempo no cuenta. La carpeta de OneDrive que se sincroniza en tiempo real no cuenta. El NAS en la misma red sin políticas de retención inmutables no cuenta.


Lo que vemos en oficinas de PR

En los assessments que hacemos a PYMES en Puerto Rico, el patrón más común es este: la empresa tiene backups, pero en el papel. En la práctica, hay tres errores que se repiten.

El disco externo permanentemente conectado. Es el más frecuente. El propietario compró un disco de 2TB, lo conectó al servidor, configuró el backup automático y nunca más lo tocó. Ese disco está visible en la red, tiene permisos de escritura, y el ransomware lo cifra en los primeros diez minutos del ataque. Cuando llega la reclamación de seguro, la aseguradora pide evidencia de la última restauración exitosa y de que el backup estaba aislado. No hay evidencia. La reclamación se complica.

La sincronización de nube como backup. OneDrive, Dropbox y Google Drive sincronizan archivos en tiempo real, lo que es excelente para colaboración y pésimo para recuperación de ransomware. Cuando el ransomware cifra tus archivos locales, la sincronización sube las versiones cifradas a la nube. Algunos servicios tienen historial de versiones que te permite recuperar, pero ese historial tiene una ventana limitada y requiere que la detección del ataque ocurra dentro de esa ventana. No es un control de backup —es una red de seguridad con huecos.

El backup que nadie ha probado restaurar. El backup se configura, el software reporta “éxito” cada noche, y nadie verifica si los datos se pueden restaurar realmente. En un assessment reciente, encontramos que los backups de un consultorio dental en Bayamón habían estado fallando silenciosamente durante 8 meses por un permiso mal configurado. El software marcaba las sesiones como completadas; los datos no se estaban copiando.


La regla 3-2-1-1-0: el estándar que piden las aseguradoras

El estándar de backup que la industria de ciber-seguros adoptó se llama 3-2-1-1-0:

  • 3 copias de tus datos
  • en 2 tipos de media distintos (no dos discos externos del mismo modelo en el mismo cuarto)
  • con 1 copia offsite (fuera de tu oficina física)
  • con 1 copia offline o inmutable (sin conexión activa a la red o con write-once enforcement)
  • con 0 errores verificados en la última restauración de prueba

Para una firma de CPAs con 8 computadoras en Caguas, esto se puede implementar así:

CopiaDóndeTipoFrecuencia
1Servidor local / NAS en la oficinaOnlineDiario
2Disco externo en rotación (llevado a casa o a bóveda)Offline (air gap manual)Semanal
3Cloud inmutable (Wasabi, AWS S3, Azure Blob con Object Lock)Inmutable por políticaDiario / automatizado

El costo de la tercera copia en cloud inmutable para 500 GB de datos es aproximadamente $3–7 USD al mes dependiendo del proveedor. No es un gasto que justifique no tenerla.

Qué decirle a tu aseguradora

Cuando el cuestionario pregunte sobre backups inmutables, la respuesta que estás buscando poder dar es:

“Tenemos backups diarios automatizados a [proveedor cloud] con Object Lock habilitado por 30 días, y una copia semanal en disco externo que se almacena offline. Realizamos pruebas de restauración trimestrales y tenemos registro de la última prueba exitosa.”

Si no puedes decir eso hoy, la aseguradora puede negarte la cobertura, aumentar tu prima, o incluir exclusiones específicas de ransomware en tu póliza.


Cómo empezar esta semana

No tienes que implementar el 3-2-1-1-0 completo en un día. El orden de prioridad que recomendamos:

Paso 1 (esta semana): Desconecta físicamente el disco externo de la red cuando no esté en ventana de backup. Si está conectado 24/7 al servidor, compra un segundo disco y haz rotación: uno conectado esta semana, uno guardado. Rota manualmente cada semana. Costo: $60–120 por un disco externo de 2TB.

Paso 2 (este mes): Configura una cuenta en un proveedor de cloud con inmutabilidad nativa. Wasabi es el más económico para PYMES ($7/TB/mes, sin cargos de egress). AWS S3 con Object Lock es más configurable. Azure Blob Storage con políticas de retención es buena opción si ya usas Microsoft 365 y quieres coherencia de stack. El setup básico toma 2–4 horas con asistencia técnica.

Paso 3 (este trimestre): Documenta una restauración de prueba. Restaura un archivo, una carpeta, o —si tu operación lo permite— un sistema completo desde backup. Guarda evidencia: fecha, qué se restauró, tiempo de recuperación. Eso es lo que la aseguradora va a pedir en la próxima renovación.

Paso 4 (en la próxima renovación): Actualiza el cuestionario con honestidad. Si tienes los controles, documentarlos correctamente puede bajar tu prima o eliminar exclusiones. Las aseguradoras premian evidencia —no afirmaciones.


El error más costoso

La conversación que más lamentamos tener es la que sucede después del incidente. Una empresa que pagó $45,000 de rescate porque sus backups estaban conectados a la red. Un consultorio que tardó 11 días en volver a operar porque el backup nunca se había probado. En ambos casos, la inversión para tener inmutabilidad real habría costado menos de $200 al año.

La temporada de huracanes en Puerto Rico ya es razón suficiente para tener backups offsite. El ransomware añade otra: que el backup offisite también sea inmutable. Son dos problemas distintos con la misma solución.

Si tienes dudas sobre qué tiene sentido para el tamaño y sector de tu negocio, escríbenos. Revisamos la postura de backup como parte de cualquier assessment de seguridad. No necesitas esperar a que llegue el problema para saber si estás preparado.

¿Tienes preguntas sobre backups para tu negocio en Puerto Rico? Escríbenos a [email protected] — revisamos tu setup actual sin costo en la primera conversación.

Este artículo forma parte de nuestro pillar sobre ciber-seguros. Próximamente: “Cuestionario de ciber-seguro 2026: las 12 preguntas que tu aseguradora va a hacer”. Mientras tanto, puedes leer nuestra guía de HIPAA para clínicas y consultorios pequeños en Puerto Rico.